Em novembro passado, o mundo tomou conhecimento de que o Museu do Louvre — uma das instituições culturais mais valiosas do planeta — operava sistemas com a senha “Louvre”. A revelação gerou espanto. Mas, se olharmos para trás, não é a primeira vez que vemos casos assim.
Cinco anos antes, em 2020, a senha “solarwinds123” exposta em um repositório GitHub permitiu um dos maiores ataques cibernéticos da história dos Estados Unidos. Criminosos comprometeram a plataforma Orion da SolarWinds e, através dela, infiltraram-se em 18 mil organizações, incluindo Pentágono, Departamento de Justiça, FBI e centenas de empresas da Fortune 500.
O ataque levou meses para ser detectado e revelou uma cadeia de vulnerabilidades que começou com governança frágil de identidades.
Os dois casos compartilham o mesmo padrão: organizações com recursos significativos, infraestrutura técnica robusta, e uma falha crítica na base: gestão inadequada de credenciais e acessos. Ferramentas de segurança funcionavam. Controles existiam. O que faltou foi disciplina operacional para garantir que políticas de identidade fossem aplicadas nas soluções investidas, auditadas e mantidas ao longo do tempo.
O cenário brasileiro não é diferente
Pesquisa divulgada pela NordPass e NordStellar em 2025 revelou que as senhas mais usadas por brasileiros continuam sendo combinações triviais: “admin”, “123456” e “12345678” lideram o ranking nacional. Entre as 20 senhas preferidas, apenas oito incluem letras. E com exceção de seis combinações, todas podem ser decifradas em menos de um segundo por ferramentas automatizadas.
Termos como “mudar123” e “escola1234” mostram como rotina e conveniência determinam escolhas de credenciais, mesmo quando isso compromete gravemente a segurança. A palavra “mudar” indica que usuários reconhecem necessidade de atualizar senhas, mas executam trocas por combinações igualmente previsíveis. Segundo a pesquisa, 65,8% das senhas brasileiras têm menos de 12 caracteres — abaixo do mínimo recomendado para proteção adequada.
Globalmente, sequências numéricas simples e variações de “qwerty” dominam listas de senhas mais comuns em dezenas de países. Em 2025, houve aumento no uso de caracteres especiais, mas a complexidade permanece limitada: combinações como “P@ssw0rd”, “Admin@123” ou “Abcd@1234” oferecem proteção marginal contra ataques de força bruta.
Por que gestão de identidade permanece vulnerável
O problema raramente é desconhecimento. Organizações sabem que senhas fracas representam risco. O desafio está em traduzir esse conhecimento em governança operacional consistente.
Em muitos ambientes corporativos, responsabilidade por administração de credenciais é delegada sem treinamento adequado. E mais:
- Políticas de senha existem em documentos, mas não são aplicadas tecnicamente.
- Sistemas aceitam combinações triviais porque validação não foi configurada.
- Privilégios administrativos são concedidos amplamente, sem revisão periódica sobre quem realmente necessita esses acessos.
- Contas permanecem ativas após mudanças de função ou desligamentos, criando vetores de comprometimento que persistem por meses.
Quando credenciais são roubadas via phishing sofisticado, malware instalado em endpoints, ou reutilização de senhas vazadas em incidentes anteriores, os criminosos operam com privilégios legítimos. O que está invisível para controles tradicionais é que quem controla a credencial não é mais o titular legítimo.
O custo operacional de IAM inadequado
Organizações brasileiras que sofreram comprometimentos em 2025 revelaram padrão recorrente. Phishing direcionado entregou acesso. Privilégios excessivos permitiram movimento lateral entre sistemas. Ausência de segmentação ampliou alcance. Falta de detecção comportamental atrasou resposta até estágios finais, quando ransomware já estava executando criptografia ou dados críticos já haviam sido exfiltrados.
O custo médio de vazamento de dados atingiu R$ 7,19 milhões no Brasil em 2025. Penalidades sob LGPD alcançam 2% do faturamento anual. Tempo médio entre comprometimento inicial e detecção permanece em semanas. Durante esse período, atacantes mapeiam ambiente completo, identificam ativos de maior valor, estabelecem persistência através de backdoors, e preparam operações de extorsão.
Maturidade em IAM: da teoria à prática operacional
Maturidade não é medida por quantidade de ferramentas adquiridas. É capacidade de responder precisamente: quais identidades existem, quais privilégios cada uma possui, quando foram usadas, e se padrão de uso é consistente com função esperada.
Organizações maduras operam IAM como processo contínuo, não como projeto pontual
Provisionamento e desprovisionamento automatizados. Quando colaborador é admitido, recebe acessos baseados exclusivamente em função documentada. Quando muda de área ou é desligado, permissões são revogadas automaticamente em todas as plataformas integradas. Contas órfãs são identificadas e desativadas semanalmente através de auditoria automatizada.
Privilégio mínimo aplicado sistematicamente. Usuários recebem apenas acessos necessários para executar funções correntes. Privilégios administrativos são concedidos temporariamente, mediante solicitação com justificativa documentada, e revogados automaticamente após janela aprovada. Revisão trimestral de permissões identifica acessos que se acumularam sem necessidade, removendo superfície de ataque desnecessária.
Autenticação multifator sem exceções hierárquicas. MFA baseado em tokens físicos (FIDO2) ou biometria oferece proteção exponencialmente superior a códigos enviados por SMS (vulneráveis a ataques de troca de SIM e interceptação). Aplicação universal, sem exclusões por nível de senioridade ou conveniência percebida. Phishing pode roubar senha, mas não consegue replicar segundo fator baseado em hardware.
Detecção comportamental de anomalias em identidades. Sistemas UEBA (User and Entity Behavior Analytics) estabelecem linha de base individual: quando usuário acessa, de qual localização geográfica, quais recursos consulta, com qual frequência e volume. Desvios acionam alertas automáticos: credenciais válidas usadas de país inconsistente com padrão histórico, downloads massivos fora de horário comercial, tentativas de escalação de privilégios, acessos a dados críticos nunca consultados anteriormente. Essas anomalias revelam comprometimento que autenticação tradicional não detecta.
Auditoria contínua e conformidade demonstrável. Capacidade de demonstrar, mediante solicitação da ANPD ou auditoria externa, quem possui acesso a sistemas críticos, sob qual justificativa específica, e quando esse acesso foi concedido e utilizado pela última vez. Trilhas completas de auditoria que permitem rastreamento forense quando incidentes ocorrem. Relatórios que traduzem postura técnica em métricas compreensíveis para governança corporativa.
Gestão de identidades para fornecedores e terceiros. Parceiros com acesso a sistemas internos representam superfície de ataque equivalente a colaboradores diretos. Segmentação rigorosa de privilégios, janelas temporais explícitas de acesso, monitoramento contínuo de atividades executadas. Os ataques de 2025 contra intermediários de pagamento — C&M Software, Sinqia, tentativa contra Caixa Econômica — demonstraram que fornecedores malgovernados multiplicam risco exponencialmente.
Como a Redbelt estrutura IAM para o mercado brasileiro
A Redbelt Security opera gestão de identidade e acesso reconhecendo que maturidade varia significativamente entre setores, portes e perfis de risco. Não existem implementações padronizadas. Existem arquiteturas desenhadas especificamente para realidade operacional de cada cliente, considerando infraestrutura legada, capacidade de governança interna, requisitos regulatórios setoriais, e orçamento disponível para investimento gradual.
Nosso processo inicia com mapeamento completo do estado atual: quais identidades existem (humanas e não-humanas), onde residem (Active Directory, Azure AD, sistemas SaaS, aplicações legadas), quais privilégios possuem, e se esses privilégios estão alinhados com funções documentadas. Identificamos contas órfãs, privilégios administrativos excessivos, ausência de MFA em acessos críticos, e gaps em capacidade de auditoria. A partir desse diagnóstico, estruturamos roadmap priorizado por risco real e viabilidade técnica de implementação.
2026 exige decisões estratégicas sobre identidade
Quer discutir como elevar maturidade em gestão de identidade e acesso na sua organização? Converse com nossos consultores especializados em IAM e descubra como a Redbelt Security pode ajudar a transformar sua gestão de identidade e acesso.
