A Maior Vulnerabilidade Não Está No Código

Belo Horizonte, 28 de junho de 2026

Durante muitos anos, a cibersegurança foi uma disputa dual entre atacantes e defensores. De um lado, os hackers tentando explorar falhas em sistemas. Do outro, os especialistas desenvolvendo mecanismos para bloqueá-los. Era uma corrida tecnológica. Um jogo de gato e rato.

Mas essa visão já não explica o cenário atual.

Em 2026, a cibersegurança deixou de ser apenas uma disputa entre sistemas. Tornou-se uma disputa por confiança, governança e capacidade de reação.

A transformação é silenciosa. A próxima ameaça dificilmente começará derrubando um firewall ou explorando uma vulnerabilidade inédita. Ela entra no sistema por uma credencial legítima, por um agente de inteligência artificial mal configurado, por uma decisão automatizada ou simplesmente por uma pessoa convencida de que estava fazendo a coisa certa.

Em outras palavras, a maior vulnerabilidade já não está no código. Ela está na confiança.

Sempre que utilizamos um aplicativo bancário, aprovamos uma transferência, respondemos a uma mensagem no WhatsApp, participamos de uma videoconferência ou utilizamos um assistente de IA, tomamos pequenas decisões baseadas em confiança. Confiamos que aquela voz pertence realmente ao nosso gerente. Confiamos que aquela imagem representa uma pessoa real. Confiamos que uma IA tomou uma decisão correta.

E é justamente essa confiança que passou a ser o principal alvo dos ataques.

A inteligência artificial acelerou essa mudança.

Nos últimos anos, a IA foi apresentada como a grande aliada da defesa digital. E, de fato, ela revolucionou centros de operações de segurança, automatizou análises de eventos, reduziu tempos de resposta e ampliou significativamente a capacidade de detectar ameaças.

Mas toda tecnologia possui duas faces.

A mesma IA que identifica ataques em segundos também produz campanhas de phishing altamente personalizadas, clona vozes, cria vídeos sintéticos convincentes, automatiza o reconhecimento de alvos e desenvolve códigos maliciosos com velocidade inédita. O atacante também ganhou um copiloto.

Os relatórios recentes convergem para esse diagnóstico. A IA tornou-se simultaneamente o principal mecanismo de proteção e o principal acelerador das ameaças cibernéticas. Segundo o relatório Global Cybersecurity Outlook 2026, do Fórum Econômico Mundial, 94% dos especialistas apontam a inteligência artificial como a tecnologia que mais transformará a cibersegurança, enquanto 87% enxergam nela uma fonte crescente de novos riscos.

Mas talvez a mudança mais profunda ainda esteja por vir.

Estamos entrando na era da IA agêntica.

Diferentemente dos modelos tradicionais, os agentes inteligentes não apenas respondem perguntas. Eles planejam ações, acessam sistemas, tomam decisões, interagem com outros agentes e executam tarefas com autonomia crescente. Em muitas organizações, esses agentes começam a assumir atividades que antes dependiam exclusivamente de pessoas.

Isso cria uma superfície de ataque completamente nova.

Se antes protegíamos usuários humanos, agora também precisaremos proteger identidades não humanas, agentes autônomos e cadeias inteiras de decisões automatizadas. Um único agente comprometido influencia outros sistemas, propagando erros ou ataques em cascata. Nesse contexto, proteger apenas os dados não basta; será necessário proteger também a lógica, o contexto e o processo de tomada de decisão.

Ao mesmo tempo, outro fenômeno preocupa especialistas: o crescimento da chamada dívida técnica de IA. As organizações incorporam rapidamente novos modelos, conectores, APIs e agentes inteligentes sem revisar arquiteturas legadas, controles de acesso ou mecanismos de auditoria. O resultado é uma infraestrutura cada vez mais complexa, com pontos cegos que permanecem invisíveis até o momento do incidente.

Enquanto isso, o ransomware continua evoluindo.

Os ataques deixaram de buscar apenas o roubo de dados. Hoje seu objetivo principal é interromper operações, comprometer cadeias de suprimentos, explorar ambientes em nuvem e pressionar organizações por meio da indisponibilidade de seus serviços. A extorsão tornou-se um modelo de negócio altamente profissionalizado, impulsionado pelo ransomware como serviço (RaaS), reduzindo a barreira de entrada para grupos criminosos e aumentando a escala das campanhas.

Outro movimento importante começa a ganhar espaço. A preparação para a computação quântica avança.

Embora computadores quânticos capazes de quebrar os algoritmos criptográficos atuais ainda não sejam realidade operacional, cresce a preocupação com a estratégia conhecida como *harvest now, decrypt later*, ou seja, dados criptografados são roubados hoje para serem descriptografados futuramente, quando a tecnologia estiver madura. Por isso, conceitos como criptografia pós-quântica e criptoagilidade deixam de ser temas acadêmicos para entrar no planejamento estratégico das organizações.

Diante desse cenário, surge uma tentação perigosa. A tentação de acreditar que a próxima ferramenta resolverá todos os problemas.

Não resolverá.

A história da cibersegurança mostra exatamente o contrário.

As organizações mais resilientes raramente são aquelas que possuem mais tecnologia. São aquelas que possuem melhor governança, processos bem definidos, monitoramento contínuo, autenticação forte, gestão de identidades, planos de resposta a incidentes e uma cultura organizacional capaz de transformar cada colaborador em parte da defesa.

Em outras palavras, a cibersegurança deixa de ser um produto. Ela passa a ser uma capacidade organizacional.

Talvez a habilidade mais importante da próxima década não seja desenvolver modelos de IA mais sofisticados, mas aprender a conviver com eles de forma segura, transparente e responsável. Isso exige supervisão humana, auditoria contínua, governança de agentes inteligentes e decisões capazes de equilibrar inovação com responsabilidade.

A grande lição de 2026 até o momento é simples. O ataque mais perigoso não é necessariamente o mais sofisticado no sentido de usar tecnologias mais avançadas. É aquele que encontra uma organização distraída pela própria narrativa de inovação.

Quem enxerga a cibersegurança apenas como tecnologia continuará reagindo a incidentes.

Quem a entende como estratégia estará construindo confiança, que é o ativo mais valioso nos nossos dias.

No final das contas, cibersegurança nunca foi apenas sobre computadores.

Ela sempre foi, e continuará sendo, sobre pessoas, decisões e confiança.

Esta matéria foi escrita por Michele Nogueira do Departamento de Ciência da Computação da UFMG.

Se você gostou desta matéria, talvez possa se interessar também por essas abaixo:

Como citar esta matéria:

NOGUEIRA, Michele. A maior vulnerabilidade não está no código. SBC Horizontes, junho 2026. ISSN 2175-9235. Acesso em: DD mês. AAAA.

Compartilhe: