O que você pode esperar neste blog:
A inteligência artificial (IA) está mudando a segurança de identidade ao acelerar as ações de atacantes e defensores em tempo real. À medida que os ciberaques se tornam mais rápidos e automatizados, a batalha se concentra cada vez mais em credenciais, privilégios, acessos e confiança.
Neste blog, exploro como a IA está transformando a velocidade e a escala dos ciberataques, desde o reconhecimento automatizado e phishing hiperpersonalizado até o roubo de credenciais, privilege escalation (escalada de privilégios) e atacantes autônomos. Com base em dados do Verizon 2026 Data Breach Investigations Report (DBIR), analisamos por que os atacantes não precisam mais invadir sistemas quando podem simplesmente fazer login usando credenciais roubadas ou identidades confiáveis comprometidas.
Proteger usuários humanos já não é suficiente. Identidades de máquina (machine identities) e agentes de IA estão criando novos desafios de segurança, tornando a inteligência de identidade, o privilégio mínimo (least privilege) e a verificação contínua cada vez mais importantes para a resiliência cibernética.
O futuro da cibersegurança será IA contra IA, mas a identidade determinará quem permanece no controle.
O que o relatório Verizon 2026 DBIR revela sobre IA e segurança de identidade
Por décadas, as equipes de cibersegurança protegeram redes, endpoints, aplicativos e dados. Mas os atacantes descobriram algo importante:
A maneira mais fácil de entrar em uma organização nem sempre é explorando uma vulnerabilidade, às vezes, é por meio de credenciais roubadas ou de uma identidade confiável comprometida.
Agora, a inteligência artificial (IA) está acelerando essa realidade. A IA está mudando ambos os lados da cibersegurança. Os defensores estão usando recursos de IA para melhorar a detecção, automatizar respostas, aplicar aprendizado de máquina e analisar ameaças mais rápido do que nunca.
Os atacantes estão utilizando a IA para:
- Escalar o reconhecimento de ambiente
- Aprimorar o phishing
- Automatizar a descoberta de vulnerabilidades
- Criar variantes de malware
- Se passar por usuários confiáveis
- Acelerar o privilege escalation (escalada de privilégios)
A corrida da cibersegurança entrou em uma nova fase de IA contra IA, e a identidade determina quem vence essa batalha.
O 2026 Verizon Data Breach Investigations Report (DBIR) analisou mais de 31.000 incidentes de segurança e mais de 22.000 violações confirmadas, o maior conjunto de dados que a Verizon já examinou em um único relatório, fornecendo um dos cenários mais claros até agora de como o cibercrime continua a evoluir.
Toda identidade agora faz parte da superfície de ataque: funcionários, administradores, desenvolvedores, aplicativos, contas de serviço, cargas de trabalho, APIs e, cada vez mais, agentes de IA.
O desafio não é mais simplesmente gerenciar identidades tradicionais por meio de sistemas de gerenciamento de identidade e acesso (IAM). O verdadeiro desafio é compreender o risco de identidade entre humanos, máquinas e agentes de IA, e é exatamente aí que a Segura® atua, ajudando a mitigar essas ameaças com eficácia.
A IA mudou a velocidade do ataque, não o objetivo
As técnicas de ataque continuam a evoluir, mas os objetivos dos atacantes permanecem surpreendentemente consistentes. Eles querem:
- Acesso
- Credenciais
- Privilégios
- Persistência
- Dados
A IA não substitui o cibercrime tradicional. Ela o amplifica, criando um cenário de ameaças aprimorado por IA onde os atacantes operam com maior rapidez, automatizam decisões e adaptam suas técnicas.
Um e-mail de phishing que antes levava horas para ser pesquisado e escrito agora pode ser gerado e localizado para o idioma da vítima em segundos. O idioma em si não serve mais como proteção contra ataques de phishing. Uma campanha de engenharia social que exigia preparação manual agora pode ser personalizada automaticamente, e uma vulnerabilidade que demandava conhecimento técnico profundo pode ser analisada com o auxílio da IA.
A IA está ampliando técnicas de ataque conhecidas
Os dados mostram o quão rápido o cenário de ameaças está mudando.
A exploração de vulnerabilidades tornou-se um dos vetores dominantes de acesso inicial, subindo para 31% do conjunto de dados, um aumento em relação aos 20% do ano anterior, o que representa um salto de 55% em um único período de relatório.
Ao mesmo tempo, apenas 26% das vulnerabilidades críticas conhecidas e exploradas foram totalmente corrigidas pelas organizações em 2025, abaixo dos 38% do ano anterior, e o tempo médio para resolvê-las totalmente se estendeu para 43 dias.
O DBIR confirma que os cibercriminosos já estão usando IA generativa em várias etapas de um ataque, incluindo:
- Seleção de alvos
- Obtenção de acesso inicial
- Pesquisa de vulnerabilidades
- Desenvolvimento de malware
- Criação de ferramentas
A análise da atividade de ameaças assistida por IA mostra que os atacantes estão experimentando modelos de IA em múltiplas técnicas do MITRE ATT&CK, utilizando-os como um multiplicador de força para pesquisa, automação, criação de scripts e eficiência operacional.
É importante destacar que a própria análise do DBIR constatou que o principal impacto da IA hoje é operacional, e não a criação de algo inédito. Ela está automatizando e escalando técnicas que os defensores já sabem como detectar, em vez de abrir superfícies de ataque totalmente novas. A maior parte dos malwares e ferramentas assistidos por IA foi mapeada para técnicas bem conhecidas, com uma média de 55 exemplos de malwares existentes executando a mesma função.
Menos de 2,5% das observações envolveram técnicas raras ou inéditas.
Ataques de identidade baseados em IA estão mudando a cadeia de ataque
Os ataques tradicionais perguntavam: “Onde está o sistema vulnerável?”
Os ataques modernos impulsionados por IA perguntam: “Quem tem acesso e como posso me tornar um deles?”

Passo 1: Reconhecimento com IA
Ferramentas assistidas por IA conseguem coletar inteligência, realizar análises de padrões de comportamento de usuários e automatizar a descoberta de:
- Informações de funcionários
- Tecnologias utilizadas
- Fornecedores
- Executivos
- Desenvolvedores
- Sistemas expostos
Informações públicas se transformam em inteligência de ataque.
Etapa 2: Engenharia Social com IA
O phishing genérico está dando lugar a ataques muito mais personalizados. A IA possibilita:
- E-mails personalizados
- Conversas realistas
- Clonagem de voz
- Personificação por deepfake
- Ataques multilíngues
O fator humano continua central para as violações de segurança, aparecendo em 62% dos casos este ano, um leve aumento em comparação aos 60% do ano anterior.
A engenharia social é o terceiro padrão de violação mais comum, presente em 16% de todas as invasões. O phishing manteve-se estável em 16% como vetor de acesso inicial, enquanto o pretexting, a forma mais elaborada e conversacional de engenharia social, atingiu 6% e é cada vez mais utilizado como a jogada de abertura em ataques de grande repercussão de ransomware e extorsão.
Em simulações de phishing, os canais de engenharia social que não utilizam e-mail superaram o correio eletrônico tradicional. A taxa média de resposta para vetores como chamadas de voz e mensagens de texto foi cerca de 40% maior do que em campanhas equivalentes por e-mail. Grandes organizações também enfrentaram uma média de 48 tentativas de phishing via SMS contra dispositivos móveis por ano.
Os atacantes não precisam mais do malware perfeito. Eles precisam de uma conversa convincente, construída em torno do comportamento realista do usuário e de interações confiáveis.
Etapa 3: Roubo de credenciais
Assim que a confiança é estabelecida, os atacantes visam:
- Senhas
- Códigos de MFA
- Tokens de sessão
- Chaves de API
- Permissões de OAuth
- Cookies de autenticação
Neste ponto, os dados do DBIR contam uma história com mais camadas do que um simples "o abuso de credenciais está diminuindo". Como vetor de acesso inicial específico, o abuso de credenciais caiu de 22% para 13% este ano. Essa queda é explicada em grande parte pelo fato de o DBIR ter isolado o pretexting como seu próprio vetor monitorado pela primeira vez. Sem essa mudança, o número comparável estaria próximo de 16%.
Olhando por outro ângulo, o abuso de credenciais ainda ocupa o topo, com 39%, quando todas as etapas na progressão da violação são contabilizadas, e não apenas o movimento inicial.
As credenciais também apareceram como um tipo de dados roubado em 28% das violações, e o uso de credenciais roubadas continua sendo a ação isolada mais comum dos atacantes no geral, presente em 36% das invasões.
O futuro do roubo de credenciais não é apenas roubar senhas. É roubar a própria confiança autenticada.
Passo 4: Descoberta de privilégios
Uma vez dentro do ambiente, a IA pode ajudar os atacantes a responderem:
Quem sou eu?Que tipo de acesso eu tenho?Para onde posso ir em seguida?
Estas são exatamente as mesmas perguntas que os defensores já deveriam estar fazendo.
Os atacantes mapeiam:
- Associações de grupos
- Funções em nuvem (cloud roles)
- Privilégios administrativos
- Relacionamentos de identidade
- Contas de serviço
Os próprios dados de gráficos de ataque do DBIR mostram por que isso importa. Cerca de 16% das organizações analisadas tinham aproximadamente 80% de exposição, o que significa que, uma vez que um atacante obtivesse qualquer acesso inicial de baixo nível, ele tinha uma chance de 80% ou mais de alcançar uma conta administrativa essencial ou uma parte crítica da infraestrutura.
A identidade se torna tanto o mapa do atacante quanto a oportunidade do defensor, e contar com soluções robustas de governança, como as ferramentas desenvolvidas pela Segura®, passa a ser o diferencial para proteger o ambiente.
A ascensão dos atacantes autônomos
A próxima grande mudança não será simplesmente o phishing gerado por IA, mas sim o avanço em direção a operações cibernéticas mais autônomas.
Os agentes de IA serão cada vez mais capazes de:
- Identificar alvos
- Encontrar identidades expostas
- Testar credenciais
- Descobrir privilégios
- Selecionar caminhos de ataque
- Adaptar técnicas
A IA permite que os atacantes operem em uma escala e velocidade que antes eram impossíveis. Enquanto um atacante humano pode testar centenas de caminhos, um sistema de IA pode testar milhares.
Agentes de IA criam um novo problema na segurança de identidade
As organizações estão adotando agentes de IA rapidamente. Esses sistemas vão realizar as seguintes ações:
- Acessar aplicativos
- Consultar bancos de dados
- Executar fluxos de trabalho
- Comunicar-se com usuários
- Tomar decisões
Contudo, cada agente de IA precisa de uma identidade e de permissões. Cada permissão deve ser compreendida e controlada, e a próxima explosão de identidades não virá dos funcionários.
Ela virá de sistemas de IA que se comportam como membros internos digitais, operando com acesso, permissões e capacidade de tomada de decisão. É nesse cenário complexo que a Segura® atua, fornecendo a visibilidade e o controle necessários sobre essas novas identidades digitais.
IA agêntica e identidades de máquina: Os novos usuários privilegiados
Hoje, as organizações já enfrentam dificuldades para gerenciar:
- Contas de serviço (service accounts)
- Chaves de API
- Certificados
- Scripts de automação
- Cargas de trabalho em nuvem (cloud workloads)
Os agentes de IA adicionam uma nova camada de complexidade a esse cenário.

A própria pesquisa de nuvem de terceiros do DBIR reforça este ponto. Ao analisar ambientes de IaaS, 37% das organizações tinham uma conta de administrador com o MFA desativado.
O relatório destaca explicitamente que as empresas devem prestar atenção especial às contas de serviço e de máquina, pois essas são as identidades com maior probabilidade de serem exploradas em um futuro dominado pela IA agêntica. Para resolver essa vulnerabilidade, a Segura® oferece visibilidade contínua sobre esses acessos críticos.
A pergunta sobre identidade evolui: não é mais apenas "Quem tem acesso?", mas sim "O que tem acesso, o que pode fazer e se ainda deve ser considerado confiável?".
Shadow AI é o novo Shadow IT
O DBIR destaca outro desafio emergente, que são os funcionários adotando ferramentas de IA mais rápido do que as organizações conseguem protegê-las.
Principais dados identificados
- 45% dos funcionários agora utilizam IA regularmente em dispositivos corporativos, um aumento acentuado em relação aos 15% do ano anterior.
- 67% dos usuários que acessam plataformas de IA a partir de dispositivos corporativos fazem isso por meio de contas não corporativas, o que coloca esse uso fora da visibilidade e do controle da organização.
- Shadow AI já é a terceira ação interna não maliciosa mais comum detectada em conjuntos de dados de DLP, representando um aumento de quatro vezes em relação ao ano anterior.
- Código-fonte foi o tipo de dado mais comum enviado para serviços externos de IA, seguido por imagens e outros dados estruturados.
- Em 3,2% das violações de políticas de DLP, documentações técnicas e de pesquisa foram carregadas em ferramentas de IA não autorizadas, gerando uma exposição real de propriedade intelectual.
- A organização média registrou mais de 15% de seus usuários executando extensões de navegador de IA não autorizadas. Essas ferramentas podem coletar e reter discretamente o que os funcionários navegam, incluindo sites internos.
O Shadow AI cria novos riscos para o negócio:
- Vazamento de dados sensíveis
- Exposição de propriedade intelectual
- Identidades não gerenciadas
- Integrações sem controle
Como a IA acelera a escalada de privilégios
Os atacantes não precisam de um comprometimento total imediato. Eles precisam apenas de um ponto de partida e de uma identidade comum, como uma conta esquecida ou uma permissão fraca. Uma vez dentro do ambiente, os atacantes avançam pelo sistema expandindo seus privilégios.
O DBIR estrutura a escalada de privilégios em torno de quatro pilares práticos:
- Senhas
- Configurações
- Permissões
- Correções de software (patches)
O relatório mapeia esses pilares contra as técnicas de Privilege Escalation (Escalada de Privilégios) e Credential Access (Acesso a Credenciais) do MITRE ATT&CK.
Ao analisar as mitigações para essas técnicas, o relatório constatou que o gerenciamento de privilégios aborda cerca de 65% delas. Isso o torna a defesa de maior impacto isolado nesta categoria, à frente do endurecimento de configurações (configuration hardening), com 33%, e dos controles de políticas de senha, com 30%.
A aplicação de patches sozinha mitiga apenas cerca de 10% dessas técnicas específicas. Esse dado serve como um lembrete de que o gerenciamento de vulnerabilidades é importante, mas não é a principal alavanca para deter a escalada de privilégios depois que o atacante já obteve acesso inicial.
Isso se torna ainda mais crítico com a IA, pois ela pode acelerar:
- A descoberta de permissões
- O mapeamento de caminhos de ataque
- O encadeamento de privilégios (privilege chaining)
- A descoberta de falhas de configuração
Principais dados identificados
- O despejo de credenciais da memória (OS Credential Dumping / LSASS) foi uma das técnicas mais observadas, aparecendo em 34% dos dados de inteligência de ameaças e em 20% dos incidentes.
- Os usuários têm uma probabilidade quatro vezes maior de estar utilizando uma senha que já foi comprometida do que uma senha classificada apenas como fraca.
- Nos dados de caminhos de ataque, 16% das organizações apresentaram cerca de 80% de exposição. Isso significa que um acesso inicial de baixo nível tinha mais de 80% de chance de alcançar uma conta de administrador essencial.
- Cerca de 26% das organizações ainda tinham vulnerabilidades não resolvidas de escalada de privilégios que datavam de 2021, e 11% tinham falhas pendentes desde 2018. Para mitigar riscos estruturais como esses, a Segura® oferece visibilidade e controle contínuos sobre os acessos e permissões do ambiente corporativo.
Principais dados identificados
- O despejo de credenciais da memória (OS Credential Dumping / LSASS) foi uma das técnicas mais observadas, aparecendo em 34% dos dados de inteligência de ameaças e em 20% dos incidentes.
- Os usuários têm uma probabilidade quatro vezes maior de estar utilizando uma senha que já foi comprometida do que uma senha classificada apenas como fraca.
- Nos dados de caminhos de ataque, 16% das organizações apresentaram cerca de 80% de exposição. Isso significa que um acesso inicial de baixo nível tinha mais de 80% de chance de alcançar uma conta de administrador essencial.
- Cerca de 26% das organizações ainda tinham vulnerabilidades não resolvidas de escalada de privilégios que datavam de 2021, e 11% tinham falhas pendentes desde 2018. Para mitigar riscos estruturais como esses, a Segura® oferece visibilidade e controle contínuos sobre os acessos e permissões do ambiente corporativo.
Por que a IA torna o privilégio mínimo inegociável
Modelo de acesso tradicional: “Conceda o acesso porque alguém pode precisar dele.” Modelo de acesso na era da IA: “Comprove que o acesso é necessário agora mesmo.”
As organizações precisam avançar em direção a:
Inteligência de Identidade: Compreensão profunda dos relacionamentos e dos riscos envolvidos.
Verificação Contínua: A confiança deve ser reavaliada continuamente.
Zero Standing Privilege (Privilégio Permanente Zero): Nenhuma identidade deve manter acessos potentes de forma permanente sem uma justificativa de negócio.
Just-in-Time Access (Acesso Just-in-Time): Acesso concedido apenas quando for necessário.
Just Enough Access (Acesso Suficiente): Apenas as permissões estritamente necessárias.
Como construir resiliência de identidade para a era da IA
Estrutura de Resiliência de Identidade
A estratégia de segurança para o futuro deve incluir:
- Descubra cada identidade
Incluindo:
- Humanos
- Administradores
- Terceirizados
- Contas de serviço (service accounts)
- APIs
- Agentes de IA
Identidades desconhecidas se tornam oportunidades para os atacantes.
- Construa um gráfico de identidade
Compreenda:
- Quem tem acesso
- Por que tem acesso
- Onde os privilégios se conectam
- Quais caminhos os atacantes podem explorar
Os atacantes pensam em caminhos, portanto, os defensores precisam visualizar esses caminhos. É exatamente nessa visibilidade que a Segura® foca para proteger o seu ambiente.
- Elimine privilégios permanentes

- Proteja os agentes de IA antes que eles escalem
Cada agente de IA precisa de:
- Propriedade (ownership)
- Autenticação
- Autorização
- Monitoramento
- Gerenciamento de ciclo de vida
Nunca implante um agente de IA sem uma identidade e um proprietário definidos.
- Trate as credenciais como vulnerabilidades
Uma identidade comprometida deve gerar a mesma urgência que uma vulnerabilidade CVE crítica.
Pergunte:
- Onde ela foi usada?
- O que ela acessou?
- Quais privilégios existiam?
- Quais sistemas conectados confiavam nela?
- Detecte ameaças de identidade continuamente
As organizações precisam detectar:
- Viagem impossível (impossible travel)
- Alterações de privilégios
- Acesso anormal
- Abuso de tokens
- Automação suspeita
- Comportamento incomum de agentes de IA
A segurança de identidade deve evoluir de revisões periódicas para uma inteligência contínua, utilizando análise de comportamento, detecção de anomalias e controles de identidade adaptativos.
A pesquisa do DBIR sobre infostealers (roubo de informações) reforça o motivo pelo qual a velocidade é fundamental neste cenário. Cerca de 73% das vítimas de ransomware tiveram uma infecção anterior por infostealer ou vazamento de credenciais no ano anterior ao ataque, e, para metade delas, o evento de credencial aconteceu em um intervalo de apenas 95 dias antes do impacto do ransomware.
Um vazamento de credenciais raramente é o fim da história, portanto, trate-o como um aviso prévio.
O futuro: A IA atacará na velocidade da máquina e a identidade deve defender na velocidade da máquina
O futuro da cibersegurança não será simplesmente humanos contra hackers. Será a IA atacante contra a IA defensora, com sistemas autônomos competindo por vantagem competitiva.
Contudo, o vencedor será determinado pelo controle da identidade. Isso acontece porque cada ação exige uma identidade, cada identidade carrega privilégios e cada privilégio cria riscos. As organizações que tiverem sucesso na era da IA serão aquelas que conhecerem:
- Cada identidade humana
- Cada identidade de máquina (machine identity)
- Cada agente de IA
- Cada privilégio
- Cada relacionamento de confiança
A IA muda a velocidade da cibersegurança, e a identidade determina o resultado.
Por anos, dissemos que a identidade era o novo perímetro. Na era da IA, a identidade se torna algo ainda maior.
A identidade é o plano de controle para a confiança digital, onde cada humano, máquina e agente de IA deve ser conhecido, governado, monitorado e continuamente verificado.
É exatamente com essa visão de futuro que a Segura® desenvolve suas soluções, garantindo a resiliência das empresas diante dessas novas ameaças.
Controle o acesso privilegiado antes que a IA acelere o risco
A IA está tornando mais rápida a descoberta de credenciais, a identificação de privilégios e a movimentação por sistemas conectados. As equipes de segurança precisam saber quem e o que tem acesso privilegiado, limitar permissões desnecessárias e monitorar quando esse acesso está sendo utilizado.
A Segura® PAM ajuda as organizações a controlar o acesso privilegiado, proteger credenciais, reduzir privilégios permanentes, monitorar atividades e criar um registro claro de quem acessou o quê.
Explore a Segura® PAM para ver como sua equipe pode fortalecer a segurança de identidade à medida que os ataques se tornam mais rápidos.
*As estatísticas e descobertas mencionadas ao longo deste texto foram extraídas do Verizon 2026 Data Breach Investigations Report.