Aumento dos ataques cibernéticos a bancos

Como as instituições de médio porte podem reagir

Os ataques cibernéticos a bancos evoluíram de incidentes isolados para ameaças persistentes e estratégicas. O que antes era considerado um risco de TI é agora uma preocupação no nível do conselho administrativo, influenciando diretamente a propensão ao risco, a alocação de capital e a estabilidade a longo prazo. No cenário atual, a resiliência digital e a confiança institucional são inseparáveis.

A Agência da União Europeia para a Segurança Cibernética (ENISA) emitiu um alerta severo: entre janeiro de 2023 e junho de 2024, o setor financeiro da UE registrou 488 incidentes cibernéticos divulgados publicamente. Esse número reflete uma pressão contínua sobre a integridade operacional e os fundamentos de confiança das instituições financeiras da região. Por doze anos consecutivos, o setor financeiro tem arcado com o maior custo médio de violações de dados em nível global, o que reflete os altos riscos envolvidos.

Uma lacuna perigosa em matéria de vulnerabilidades

Embora os grandes bancos internacionais dominem as manchetes, são as instituições de médio porte — incluindo caixas econômicas, bancos cooperativos e instituições de crédito regionais — que ocupam uma posição particularmente precária. Esses bancos detêm dados e ativos de alto valor que atraem agentes mal-intencionados sofisticados; no entanto, muitas vezes carecem dos recursos de suas contrapartes maiores, criando um desequilíbrio estrutural entre a exposição e a capacidade defensiva. Essa assimetria os coloca em séria desvantagem em uma disputa cada vez mais acirrada contra adversários altamente organizados e, em alguns casos, patrocinados pelo Estado.

Nesse contexto, a segurança cibernética proativa e orientada por inteligência não é mais um gasto opcional, mas um fator determinante para o sucesso de longo prazo de um banco. A narrativa deve evoluir da percepção da segurança cibernética como um centro de custos para a resiliência como um impulsionador estratégico da confiança e do crescimento.

Padrões típicos de ataques cibernéticos a bancos

Compreender as táticas mais comuns utilizadas pelos cibercriminosos é essencial para desenvolver uma defesa eficaz. Os métodos de ataque evoluíram de simples explorações de vulnerabilidades para campanhas em várias etapas e altamente coordenadas, voltadas para a tecnologia, os processos e as pessoas.

Phishing e engenharia social: explorando a confiança

Os ataques de phishing já não estão repletos de erros ortográficos e táticas rudimentares. A engenharia social moderna é uma operação sofisticada. Atualmente, os invasores utilizam Inteligência Artificial para produzir conteúdo bem elaborado e personalizado, empregam tecnologia de voz deepfake para imitar executivos e recorrem ao phishing por código QR (“quishing”) para contornar os filtros de e-mail.

Essas técnicas servem cada vez mais como ponto de entrada para campanhas mais amplas de fraude e invasão. Um relatório de 2024 da Tietoevry documentou um aumento de 156% nos golpes de manipulação social e um aumento de 77% nos ataques de phishing, destacando o crescimento explosivo dessa ameaça. A ENISA confirma que as instituições financeiras são os principais alvos, com invasores se passando por bancos em 36% dos casos de engenharia social, enganando clientes e funcionários para que revelem informações confidenciais ou aprovem transações fraudulentas.

Ransomware: da criptografia à extorsão

O ransomware se tornou uma atividade industrializada. O surgimento das plataformas de Ransomware-as-a-Service (RaaS) na dark web significa que kits de ferramentas altamente eficazes agora podem ser alugados por apenas US$ 40, reduzindo a barreira de entrada para os criminosos e alimentando uma explosão no número de ataques. Relatórios do setor indicam que o intervalo entre o comprometimento inicial e a interrupção das operações diminuiu significativamente nos últimos anos.

Pior ainda, os invasores adotaram uma estratégia de “dupla extorsão”. Antes de criptografar os dados, eles extraem grandes quantidades de dados confidenciais da empresa e dos clientes. Se o resgate não for pago, eles ameaçam divulgar publicamente essas informações, agravando os danos à reputação, regulatórios e operacionais. Uma pesquisa da Allianz Commercial mostra que o número de casos envolvendo exfiltração de dados quase dobrou, passando de 40% em 2019 para quase 80% em 2022, com os números de 2023 apontando para um aumento ainda maior.

Vulnerabilidades na cadeia de suprimentos: invasões de fora para dentro

Os ataques cibernéticos têm obtido sucesso cada vez mais não por terem como alvo direto os bancos, mas por explorarem vulnerabilidades em suas cadeias de suprimentos digitais. Prestadores de serviços terceirizados, incluindo fornecedores de nuvem, empresas de software e processadores de dados, tornaram-se um importante vetor de ataque. Uma análise recente da SecurityScorecard revelou que 96% das 100 principais instituições financeiras da Europa foram afetadas por pelo menos uma violação envolvendo terceiros no último ano, um aumento em relação aos 78% registrados no ano anterior.

O risco à reputação é significativo. O público raramente culpa o terceiro; a responsabilidade e as consequências recaem sobre a instituição principal. A vulnerabilidade do MOVEit em 2023, originada em um único produto de transferência de arquivos, provocou um efeito cascata global, comprometendo milhares de organizações a jusante e causando prejuízos estimados em mais de US$ 65 bilhões. Esse incidente ressalta a importância de uma gestão abrangente dos riscos relacionados a terceiros.

Ameaças internas: riscos vindos de dentro

As ameaças internas são de dois tipos. A primeira é o colaborador mal-intencionado, um funcionário insatisfeito ou comprometido que rouba dados ou sabota sistemas deliberadamente. A Bitkom relata que 36% das empresas afetadas identificaram ações intencionais de colaboradores como a origem de um ataque.

Na maioria das vezes, os incidentes decorrem de erros internos não maliciosos. Trata-se de incidentes não intencionais causados por erro humano. De acordo com os relatórios da ENISA sobre a Diretiva NIS, 73% dos incidentes não foram maliciosos, decorrentes de falhas no sistema (64%) e erros dos usuários (9%). Servidores mal configurados, atualizações de software com falhas ou o não cumprimento dos protocolos estabelecidos podem expor as organizações a riscos graves, mesmo sem intenção maliciosa.

Por que os bancos de médio porte são especialmente vulneráveis

Embora todas as instituições financeiras enfrentem ameaças crescentes, os bancos de médio porte em toda a UE operam em uma posição de vulnerabilidade única. Eles são grandes o suficiente para atrair invasores sofisticados, mas muitas vezes carecem da escala, da infraestrutura e dos recursos necessários para montar defesas comparáveis.

As perturbações cibernéticas têm implicações econômicas mais amplas. Se uma instituição de médio porte for paralisada, isso pode afetar regiões inteiras ou setores da economia. Para os adversários que buscam desestabilizar os sistemas financeiros, essas instituições são alvos prioritários.

A lacuna em termos de recursos e conhecimentos especializados

O principal desafio para os bancos de médio porte é o desequilíbrio entre o fato de serem alvos atraentes para os invasores e suas capacidades defensivas. Eles processam fluxos financeiros substanciais e armazenam dados confidenciais, mas enfrentam restrições decorrentes de orçamentos e equipes limitados.

Essa lacuna apresenta dois problemas principais:

• Orçamento: A segurança cibernética exige investimento contínuo em ferramentas modernas, monitoramento e testes. As empresas de médio porte enfrentam dificuldades para priorizar esses aspectos em relação a outras necessidades comerciais.
• Talento: A escassez global de profissionais de segurança cibernética gerou uma concorrência acirrada. Os bancos de médio porte muitas vezes não conseguem oferecer os mesmos salários, benefícios ou oportunidades de carreira oferecidos por grandes corporações ou empresas de tecnologia.

Infraestrutura de TI desatualizada 

Uma vulnerabilidade significativa para muitos bancos de médio porte reside nos sistemas bancários centrais legados. As plataformas criadas há décadas não foram projetadas para os ambientes atuais, orientados por APIs e integrados à nuvem. Muitas dessas instituições utilizam plataformas bancárias centrais com décadas de idade, escritas em linguagens como COBOL e rodando em sistemas mainframe que, embora historicamente estáveis, tornaram-se um risco significativo no ambiente atual de ameaças. Uma pesquisa com executivos bancários revelou que mais de 53% estavam preocupados com sua dependência da tecnologia legada e com a “dívida técnica” acumulada que ela representa. 

Esses sistemas legados representam riscos de várias maneiras. Em primeiro lugar, eles ampliam drasticamente a superfície de ataque. Eles nunca foram projetados para o ecossistema digital hiperconectado e orientado por APIs de hoje. À medida que os bancos sobrepõem aplicativos móveis e web modernos a esses núcleos antigos, criam ambientes híbridos complexos e frágeis, repletos de possíveis vulnerabilidades de integração. Esses sistemas mais antigos carecem, por natureza, de recursos modernos de segurança, como gerenciamento granular de identidade e acesso (IAM) e ferramentas sofisticadas de monitoramento, o que dificulta sua proteção e deixa pontos cegos perigosos para as equipes de segurança. 

O Fator Humano

O erro humano continua sendo a vulnerabilidade mais imprevisível. Seja ao cair no golpe de um e-mail de phishing ou ao configurar incorretamente um sistema de segurança, os funcionários podem, sem querer, expor a organização a riscos graves.

A formação tradicional e genérica já não é suficiente. A Autoridade Bancária Europeia (EBA) exige agora programas específicos para cada função e atualizados regularmente, que abordem as técnicas modernas de ataque, incluindo aquelas aprimoradas pela IA.

Medidas imediatas para fortalecer a resiliência cibernética

Para os bancos de médio porte, a prioridade deve ser elevar o padrão mínimo. As principais medidas incluem:

• Gerenciamento contínuo de vulnerabilidades: Adote a verificação de vulnerabilidades em tempo real. Priorize sistemas externos, como VPNs e portais de acesso remoto.
• Detecção e resposta em terminais (EDR) modernas: Substitua as ferramentas antivírus desatualizadas por sistemas de detecção comportamental em tempo real.
• Resposta a incidentes e exercícios simulados: Desenvolva planos de resposta estruturados, alinhados a estruturas reconhecidas, como a NIST SP 800-61. Realize regularmente exercícios de simulação com a alta administração.
• Autenticação multifatorial (MFA): Amplie a MFA para todos os sistemas essenciais, não apenas para e-mail ou VPNs. Combine-a com políticas de acesso baseadas no princípio do privilégio mínimo.

Estratégias de longo prazo para a resiliência

Implementar uma infraestrutura de segurança desde o início é a chave para a segurança a longo prazo. Uma estratégia de continuidade de negócios é uma abordagem abrangente para criar sistemas de resposta e recuperação , um esforço contínuo para garantir sua segurança.

No entanto, os controles básicos são apenas o começo. A resiliência a longo prazo contra ataques cibernéticos a bancos exige um modelo de segurança moderno: o Zero Trust.

Arquitetura Zero Trust

A arquitetura Zero Trust baseia-se em um princípio simples: a confiança implícita é eliminada e a verificação é contínua. Ela substitui suposições ultrapassadas sobre segurança interna ao tratar todos os usuários e dispositivos como potencialmente comprometidos.

Os principais elementos incluem:

• IAM robusto: a identidade é o novo perímetro. Um IAM robusto garante que apenas usuários verificados tenham acesso.
• Microsegmentação: Divida as redes em zonas seguras. Impedir que os invasores se desloquem lateralmente uma vez que tenham entrado no sistema.
• Acesso com privilégios mínimos: conceda apenas as permissões mínimas necessárias para cada usuário ou processo.
• Monitoramento contínuo: acompanhe todo o tráfego, o comportamento dos usuários e o estado dos dispositivos em tempo real. Revogue o acesso quando surgirem anomalias.

Confira uma visão geral mais detalhada em nosso white paper, que destaca as vantagens do ZTNA em comparação com a VPN.

Serviços de Segurança Gerenciados

Para muitos bancos de médio porte, implantar uma infraestrutura de Zero Trust por conta própria não é viável. Para muitos bancos de médio porte, a parceria com um provedor de serviços de segurança gerenciados (MSSP) oferece acesso escalável a recursos que, de outra forma, seriam difíceis de desenvolver internamente.

Os benefícios incluem:

• Conhecimento especializado sob demanda: tenha acesso a profissionais de alto nível nas áreas de inteligência contra ameaças, análise forense, conformidade e muito mais.
• Tecnologia de nível empresarial: Aproveite ferramentas avançadas como SIEM, EDR e feeds de ameaças em tempo real.
• Eficiência de custos: Transforme despesas de capital em custos operacionais previsíveis, sem necessidade de investimento inicial.

Um MSSP permite que os bancos implementem monitoramento 24 horas por dia, 7 dias por semana, resposta a incidentes e detecção contínua de ameaças — componentes essenciais da estratégia Zero Trust em ação.

A confiança é a nova moeda

No atual cenário financeiro digitalizado e interdependente, a segurança cibernética não é mais apenas uma questão técnica; ela é fundamental para a confiança, a reputação e a competitividade no mercado.

Os bancos de médio porte da UE precisam estar à altura desse desafio. Eles devem deixar de tratar a segurança cibernética como um problema de TI e passar a encarar a resiliência como uma vantagem estratégica.

No ecossistema financeiro atual, a segurança cibernética não é um complemento defensivo; ela é fundamental para a confiança, a conformidade regulatória e a estabilidade institucional.

Os bancos de médio porte devem tratar a resiliência como uma disciplina estratégica — integrando governança, arquitetura, monitoramento e preparação da força de trabalho em uma postura de segurança coesa.

Aqueles que conseguirem colmatar a lacuna entre o nível de sofisticação das ameaças e a capacidade defensiva não apenas reduzirão o risco, mas também fortalecerão a confiança do mercado em uma época em que a confiança é o principal fator de diferenciação.

Próximo passo: agende uma conversa com nossa equipe de atendimento ou solicite uma apresentação executiva personalizada de acordo com as necessidades da sua instituição.