A escalada de vulnerabilidades impulsionada por IA nos Estados Unidos e a resposta do Banco Central no Brasil colocam a gestão de identidade (IAM) no centro da estratégia de cibersegurança — enquanto muitas empresas ainda tratam o tema como infraestrutura de TI
Por Regina Tupinambá
A descoberta de vulnerabilidades críticas por modelos avançados de inteligência artificial nos Estados Unidos acendeu um alerta que já não pode mais ser tratado como hipótese futura.
O que está em curso é uma mudança estrutural no equilíbrio entre ataque e defesa no ciberespaço — e ela está acontecendo agora.
Nos últimos dias, segundo reportagens de veículos especializados como Tom’s Hardware e cobertura baseada em informações divulgadas pela própria Anthropic – empresa de pesquisa e segurança em IA que trabalha para construir sistemas de IA confiáveis, interpretáveis e controláveis.
O novo modelo criado pela Anthropic demonstrou capacidade de identificar, de forma autônoma, falhas históricas em sistemas amplamente utilizados, incluindo vulnerabilidades com mais de uma década de existência em softwares considerados robustos. A identificação de milhares de potenciais brechas — envolvendo sistemas como OpenBSD, FFmpeg e FreeBSD — não representa apenas um avanço técnico, mas uma ruptura no modelo de segurança vigente.
Esse movimento ganhou tração na semana de 7 de abril, em Washington, quando autoridades do Tesouro dos Estados Unidos e do Federal Reserve convocaram uma reunião com os principais bancos do país para tratar o tema como risco sistêmico.
O encontro, liderado pelo secretário do Tesouro Scott Bessent e pelo presidente do Fed Jerome Powell, reuniu executivos de instituições como Goldman Sachs, Citigroup, Morgan Stanley, Bank of America e Wells Fargo. A pauta foi dominada pelas preocupações com o modelo de inteligência artificial Claude Mythos, da Anthropic, apontado por especialistas como capaz de explorar vulnerabilidades críticas em sistemas financeiros.
A lógica clássica da cibersegurança sempre foi desigual: defensores precisam proteger tudo; atacantes precisam encontrar apenas uma brecha.
Não posso me privar de citar Kevin Mitnick, considerado o maior hacker do mundo, “é muito mais fácil hackear um sistema do que protegê-lo” — uma advertência que ressoa fortemente diante dos riscos discutidos em Washington.
A nova assimetria da cibersegurança: quando a IA muda o jogo
Com a introdução de modelos capazes de varrer códigos complexos e identificar vulnerabilidades de forma autônoma, essa assimetria se amplia de maneira exponencial.
Não se trata mais de ataques sofisticados conduzidos por grupos especializados, mas da possibilidade de que ferramentas baseadas em IA reduzam a barreira técnica para exploração de falhas. Isso altera o risco não apenas em volume, mas em velocidade.
Outro fator crítico é o legado tecnológico. Grande parte das infraestruturas críticas — especialmente no setor financeiro — opera sobre camadas de código acumuladas ao longo de décadas. Sistemas interligados, APIs modernas conectadas a estruturas antigas e baixa visibilidade sobre dependências criam um ambiente propício para exploração.
O Brasil já percebeu — mas ainda não reagiu na mesma escala
No Brasil, o alerta não começou agora.
O Banco Central já vinha sinalizando, inclusive em fóruns recentes do setor financeiro, que a cibersegurança precisa deixar de ser tratada como uma função operacional de TI para assumir caráter institucional.
Em diversas ocasiões, a autoridade monetária reforçou que a proteção contra ataques digitais deve ser incorporada à governança das instituições financeiras, com envolvimento direto dos conselhos e da alta administração.
Assim como nos Estados Unidos, onde o tema foi elevado ao nível de risco sistêmico, o Brasil também reconhece que a fragilidade digital pode comprometer a estabilidade do sistema financeiro. Essa convergência mostra que, em diferentes latitudes, reguladores entendem que a assimetria entre atacantes e defensores exige respostas coordenadas e estratégicas.
A diretriz é clara: segurança digital não é mais um tema técnico — é um tema de governança.
Esse movimento inclui iniciativas regulatórias voltadas à prevenção de fraudes, ao uso de inteligência artificial e à proteção de infraestruturas críticas. Também ganha força a discussão sobre riscos emergentes, como o envenenamento de dados (data poisoning), que pode comprometer sistemas de crédito, autenticação e detecção de fraude.
Mas há um ponto que permanece estruturalmente negligenciado: a gestão de identidade.
Um ponto cego na cibersegurança: identidade digital ainda tratada como infraestrutura
Enquanto o risco cibernético evolui em escala global, muitas organizações ainda mantêm a gestão de identidade e acesso (IAM — Identity and Access Management) sob responsabilidade exclusiva de áreas de infraestrutura de TI.
Esse modelo já não responde à realidade atual.
Identidade é o novo perímetro de segurança. Em um ambiente onde redes são distribuídas, aplicações estão na nuvem e usuários operam fora do perímetro corporativo tradicional, o controle de identidade passa a ser o principal mecanismo de proteção.
Dentro desse contexto, ganha relevância o PAM (Privileged Access Management), responsável por controlar e monitorar acessos privilegiados — hoje um dos principais vetores explorados em incidentes críticos.
E, ainda assim, o tema permanece subdimensionado em muitas organizações.
A ausência de uma estratégia robusta de identidade — que inclua autenticação forte, governança de credenciais, rastreabilidade e mecanismos de confiança — amplia significativamente a superfície de ataque. Em um cenário onde vulnerabilidades podem ser descobertas em escala por IA, qualquer fragilidade na camada de identidade se torna um vetor direto de exploração.
Segurança não é mais diferencial — é infraestrutura crítica
Outro aspecto que ganha relevância nesse novo contexto é a necessidade de colaboração. A ideia de que segurança pode ser tratada como vantagem competitiva começa a perder espaço para uma visão mais pragmática: a segurança é tão forte quanto o elo mais fraco da cadeia.
No setor financeiro, essa percepção já começa a se consolidar, com iniciativas de compartilhamento de informações em tempo real para prevenção de fraudes. Em um ambiente hiperconectado, o risco deixa de ser individual — ele passa a ser coletivo.
O tempo encurtou
Até recentemente, a indústria se preparava para ameaças futuras, como o impacto da computação quântica na criptografia. Havia um horizonte — anos para adaptação, planejamento e transição.
A evolução da inteligência artificial aplicada à descoberta de vulnerabilidades altera esse cenário. O risco não está mais no futuro previsível — ele já se materializa no presente.
Isso reduz drasticamente a janela de resposta das organizações.
O debate ganha palco — e urgência
Esse cenário não será discutido apenas nos bastidores.
Aproveitando, gostaria de informar que na próxima semana – 22 e 23 de abril de 2026 – estaremos acompanhando de perto o IAM Tech Day 2026, idealizado por Alfredo Santos — um evento que vem crescendo a cada edição e que, neste ano, passa a ocupar o Transamerica Expo Center para acomodar o aumento de expositores e participantes.
Nós, do Crypto ID, estaremos lá — como estivemos desde a primeira edição — acompanhando, registrando e trazendo para nossos leitores e seguidores os principais movimentos, debates e sinais do mercado.
Se você atua com identidade digital, gestão de acesso, governança corporativa ou segurança privilegiada, este é um encontro que deixou de ser opcional.
É onde o mercado começa a ajustar o discurso à realidade.
O sinal está dado
O que vimos nos Estados Unidos não é um episódio isolado. E o posicionamento do Banco Central no Brasil tampouco é apenas preventivo.
Ambos estão apontando na mesma direção.
A diferença é que o tempo entre o alerta e o impacto está cada vez menor.
Quando os Estados Unidos tratam o risco cibernético como sistêmico e o Banco Central exige que ele saia do TI para o nível institucional, a mensagem é inequívoca: o tempo de reagir já passou — agora é hora de estruturar.
REGINA TUPINAMBÁ | CCO – Chief Content Officer – Crypto ID. Publicitária formada pela PUC Rio. Como publicitária atuou em empresas nacionais e internacionais atendendo marcas de grande renome entre elas Coca-Cola, Grupo L’Oréal, Nestlé, McDonald’s, Exxon, General Motors, Petrobras, Banco do Brasil, CAIXA e Ambev, participando da definição e implementação de estratégias de posicionamento, comunicação e construção de marca. Em 1999, migrou sua atuação para empresas do universo de segurança digital onde passou ser a principal executiva das áreas comercial e marketing em uma Autoridade Certificadora Brasileira. Acompanhou a criação da AC Raiz da ICP-Brasil e participou diretamente da implementação e homologação de inúmeras Autoridades Certificadoras. Foi, também, responsável pelo desenvolvimento do mercado de SSL no Brasil. É CEO da Insania Publicidade e como CCO do Portal Crypto ID dirige a área de conteúdo do Portal desde 2014. Acesse seu LinkedIn.
Leia outros artigos escritos por Regina, aqui!
IAM: Segurança que vai além do acesso
Em um ambiente sem perímetro definido, é a identidade que define quem acessa, como acessa e até onde pode ir.
O Crypto ID, referência editorial em tecnologia e segurança digital, mantém uma coluna especializada em IAM – Identity and Access Management (Gerenciamento de Identidade e Acesso). Acesse a COLUNA IAM, riquíssima em conteúdo e insights.
CRYPTO ID É PARCEIRO DE MÍDIA IAM TECH DAY 2026
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
