Inspirada em Kevin Mitnick, Regina Tupinambá, cofundadora do Crypto ID, defende a modernização da PKI nas organizações
Invadir continua mais fácil que proteger: 86% das empresas pararam no último ano por certificados expirados, e apenas 17% os enxergam em tempo real, aponta estudo de especialistas globais em confiança digital e gestão do ciclo de vida de certificados. O atacante precisa de um único certificado esquecido; o defensor precisa enxergar todos. É essa assimetria que a modernização da PKI veio corrigir.
Por Regina Tupinambá

Escrevi este artigo ontem, exatamente no dia em que, três anos atrás, perdemos um dos maiores hackers de todos os tempos. Kevin Mitnick faleceu em 16 de julho de 2023, aos 59 anos, vítima de um câncer no pâncreas.
O mundo, porém, só soube dias depois: a família e a KnowBe4, empresa da qual era sócio, mantiveram a partida em silêncio até 20 de julho, preservando a despedida íntima. Até na morte, Mitnick, mestre da engenharia social, controlou a informação.
Mitnick nos deixou uma frase que continua mais atual do que nunca:
“É mais fácil roubar dados que os proteger”.
Kevin Mitnick
Essa frase resume a assimetria fundamental da segurança digital.
O atacante precisa encontrar apenas um único certificado esquecido, expirado ou emitido fora de política. O defensor precisa enxergar, governar e renovar todos eles, o tempo todo.
Pensar como um hacker, como o próprio Mitnick recomendava, significa começar por essa pergunta incômoda: quantos certificados digitais a sua organização possui, onde estão e quem responde por cada um deles?
Na maioria das empresas, ninguém sabe responder com precisão. E é exatamente por isso que a modernização da Infraestrutura de Chaves Públicas, a PKI, deixou de ser um tema de bastidores da tecnologia e passou a ocupar a agenda estratégica dos negócios.
De infraestrutura invisível a ativo crítico
Durante décadas, a PKI funcionou como encanamento: essencial, mas invisível. Esse tempo acabou.
Hoje, praticamente toda interação digital depende de um certificado. São certificados que autenticam servidores e APIs, assinam documentos e códigos, protegem conexões entre nuvens, identificam medidores inteligentes, câmeras, veículos e dispositivos da Internet das Coisas, credenciam aplicações e começam a credenciar agentes de inteligência artificial que agem em nome das organizações.
Como defendi em meu artigo Por que precisamos expandir o debate sobre credenciais verificáveis, publicado aqui no Crypto ID, a arquitetura de confiança digital precisa ir além dos indivíduos. Credenciais de pessoas, empresas, aplicações, agentes de IA e objetos conectados precisam andar juntas, sustentadas pela mesma disciplina de emissão, gestão e revogação. E a base tecnológica que emite e sustenta todas essas credenciais é uma só: a PKI – Public Key Infrastructure, que em português é Infraestrutura de Chaves Públicas. Se ela permanecer fragmentada, manual e invisível, toda a pirâmide de confiança construída sobre ela fica comprometida.
O custo real da invisibilidade
Os números mostram o tamanho da lacuna. Pesquisa da Keyfactor conduzida com a Wakefield Research revela que 86% das empresas sofreram ao menos uma interrupção no último ano causada por certificados expirados ou mal gerenciados, e quase um terço delas convive com interrupções pelo menos uma vez por trimestre. Dados da mesma Keyfactor apontam que uma em cada dez organizações enfrenta uma interrupção relacionada a certificados toda semana, e apenas 17% possuem visibilidade em tempo real do seu parque de certificados.
A raiz do problema raramente é tecnológica. É de governança. Certificados são emitidos por times de infraestrutura, desenvolvimento, nuvem e segurança, cada um com suas ferramentas e planilhas, sem inventário unificado e sem dono claro. É a chamada shadow PKI: certificados que ninguém sabe que existem até o dia em que expiram e derrubam um serviço essencial. Quando a propriedade é fragmentada, a pergunta “quem responde por este certificado?” fica sem resposta. E o que não tem dono não tem gestão.
Automação não é conveniência, é condição de sobrevivência
Se a gestão manual já era arriscada, agora se tornou matematicamente inviável.
A decisão do CA/Browser Forum de reduzir gradualmente a validade dos certificados TLS públicos, que começou a valer em março de 2026 com a queda para 200 dias e chegará a apenas 47 dias em 2029, multiplica o volume de renovações a um ritmo que nenhuma equipe humana acompanha com planilhas. Descoberta contínua, renovação e revogação automatizadas deixaram de ser diferencial para se tornarem requisito mínimo de operação.
A automação também é a porta de entrada para a agilidade criptográfica, condição indispensável para a migração à criptografia pós-quântica. Nenhuma organização substituirá algoritmos em milhares de sistemas sem antes saber onde estão suas chaves e certificados e sem mecanismos automatizados para trocá-los. E há retorno mensurável: estudo Total Economic Impact conduzido pela Forrester Consulting apontou retorno sobre investimento de 356% em três anos, com payback em menos de seis meses, para organizações que modernizaram a PKI e automatizaram o ciclo de vida de certificados.
Agentes de IA: proteger não basta, é preciso controlar
Aqui cabe um alerta direto: não adianta apenas proteger. É preciso ter controle total dos seus certificados e atenção permanente sobre quem os utiliza. Quem traduz essa exigência com precisão é a AET Europe, referência europeia em confiança digital: ter a tecnologia implementada não significa ter o controle.
No artigo Certificate Chaos: How Shrinking Validity Windows Are Exposing Critical Gaps for CISOs, a AET Europe faz um alerta: de nada serve o aviso de que um certificado está prestes a expirar se ninguém o vê, o entende ou tem autoridade para agir. Por isso, a gestão de certificados começa por pessoas e processos, com donos nomeados, aprovações definidas e trilha de auditoria documentada, antes de qualquer ferramenta
Os exemplos lembrados pela AET Europe dispensam dispensam explicação
Em abril de 2021, o Fortnite saiu do ar para milhões de jogadores no mundo inteiro; em maio de 2022, os podcasts do Spotify ficaram nove horas indisponíveis. Nenhum ataque, nenhuma falha de servidor. Apenas um certificado expirado que ninguém monitorava.
E a AET Europe projeta o que vem pela frente
Com a validade caminhando para menos de 50 dias, os certificados expirarão cerca de 20 vezes mais frequentemente do que hoje, transformando a gestão de certificados de manutenção periódica em monitoramento contínuo. É essa a lógica da plataforma BlueX eID Management, da AET Europe, que une visibilidade sobre onde cada certificado está e de quais sistemas depende, mecanismos de controle proativo e automação de renovação sob governança, integrada à verificação de identidade e ao controle de acesso por meio da plataforma ConsentID.
Esse controle ganha urgência máxima com a chegada dos agentes de inteligência artificial às operações. Pesquisa da Keyfactor de janeiro de 2026 mostra que 69% dos profissionais de cibersegurança consideram as vulnerabilidades de agentes de IA uma ameaça maior que o mau uso humano da IA, e apenas 28% acreditam ser capazes de impedir que um agente descontrolado cause danos.
A conclusão é inevitável: As pessoas que têm voz de comando sobre agentes de IA dentro das organizações devem, obrigatoriamente, se autenticar a partir de um certificado PKI.
E tanto os certificados quanto os acessos devem ser rigorosamente monitorados com ferramentas de Gestão de Identidades e Acessos, o IAM. A Governança e Administração de Identidades, o IGA, fecha esse ciclo: enquanto o IAM responde quem acessa o quê neste momento, o IGA responde quem deveria ter esse acesso, quem o aprovou e quando ele será revisado, gerando a trilha de auditoria que reguladores e conselhos já começam a exigir.
Os passos práticos
O caminho da modernização escalável é conhecido.
- Primeiro, inventariar: descobrir todos os certificados, públicos e privados, em todos os ambientes.
- Segundo, atribuir propriedade: cada certificado com dono nomeado e política clara.
- Terceiro, automatizar o ciclo de vida completo, da emissão à revogação.
- Quarto, construir agilidade criptográfica, preparando a organização para trocar algoritmos, autoridades certificadoras e chaves sem interromper o negócio, com a era pós-quântica no horizonte.
Três anos após a partida de Kevin Mitnick, sua lição permanece.
Enquanto invadir for mais fácil que proteger, a única resposta racional das organizações é reduzir essa assimetria. Visibilidade tira o atacante da vantagem do certificado esquecido. Governança elimina a terra de ninguém da propriedade fragmentada. Automação devolve ao defensor a escala que o adversário sempre teve.
A PKI moderna não é apenas defesa: é a condição para que pessoas, empresas, aplicações, agentes de IA e objetos conectados possam confiar uns nos outros. Proteger continuará difícil. Mas não precisa continuar mais difícil do que deveria ser.
Kevin Mitnick, o maior hacker do mundo morre aos 59 anos
ID Talk com GlobalSign e Soluti: redução do ciclo de vida dos certificados TLS/SSL e Code Signing
Por que precisamos expandir o debate sobre credenciais verificáveis
A IA tem crachá? O risco invisível dos “funcionários virtuais”

REGINA TUPINAMBÁ | CCO – Chief Content Officer – Crypto ID. Publicitária formada pela PUC Rio. Como publicitária atuou em empresas nacionais e internacionais atendendo marcas de grande renome entre elas Coca-Cola, Grupo L’Oréal, Nestlé, McDonald’s, Exxon, General Motors, Petrobras, Banco do Brasil, CAIXA e Ambev, participando da definição e implementação de estratégias de posicionamento, comunicação e construção de marca. Em 1999, migrou sua atuação para empresas do universo de segurança digital onde passou ser a principal executiva das áreas comercial e marketing em uma Autoridade Certificadora Brasileira. Acompanhou a criação da AC Raiz da ICP-Brasil e participou diretamente da implementação e homologação de inúmeras Autoridades Certificadoras. Foi, também, responsável pelo desenvolvimento do mercado de SSL no Brasil. É CEO da Insania Publicidade e como CCO do Portal Crypto ID dirige a área de conteúdo do Portal desde 2014. Acesse seu LinkedIn.
Leia outros artigos escritos por Regina, aqui!
Criptografia Forte é o Padrão que Mantém Bilhões de Pessoas Seguras Todos os Dias!
Leia sobre Criptografia no canal que fala a sua língua! Acesse agora!
Inteligência Editorial que Orienta Cenários

Temos como propósito apresentar informações completas, contextualizadas e tecnicamente relevantes. Não disputamos a corrida pela notícia imediata. Nosso compromisso é produzir conteúdos que ajudem efetivamente nossos leitores a tomar decisões, especialmente nos mercados brasileiro e latino-americano. E há ainda um resultado que confirma essa estratégia: a audiência expressiva que conquistamos também entre as plataformas e os mecanismos de busca baseados em inteligência artificial.
Faça parte desse contexto! contato@cryptoid.com.br








