CrowdStrike: “Os atacantes sabem mais de IA do que os próprios clientes” (com vídeo)

A evolução do cibercrime está a ganhar uma nova velocidade e a inteligência artificial está no centro dessa mudança. Na IT Security Summit Porto, Eduardo Penedos, Regional Sales Manager for Enterprise da CrowdStrike, apresentou os principais dados do Global Threat Report e trançou um cenário onde os atacantes não só aceleram os seus métodos como ganham vantagem face às organizações.

A CrowdStrike monitoriza atualmente “281 atacantes e cerca de 150 candidatos a atacantes”, num trabalho contínuo de identificação, análise de motivações e padrões de ataque. Segundo o responsável, estes grupos estão cada vez mais organizados e especializados, com identidades próprias que permitem associar rapidamente a origem e o tipo de ameaça.

A escala da informação recolhida ajuda a perceber esta evolução, com a plataforma a analisar “cerca de sete biliões de eventos de segurança por dia” e a responder a milhares de incidentes anualmente. É a partir desta base que surge uma das conclusões mais relevantes do relatório deste ano, a crescente adoção de inteligência artificial por parte dos adversários.

Ataques mais rápidos e eficientes

A velocidade dos ataques tornou-se um dos sinais mais evidentes desta mudança, com o breakout time a encurtar de forma consistente. “Em 2024, passavam 48 minutos, em 2025 passou para 29 minutos”, referiu Eduardo Penedos, evidenciando uma aceleração que reduz drasticamente a margem de resposta das organizações.

Nos casos mais extremos, essa rapidez atinge níveis ainda mais críticos. Se no ano anterior o ataque mais rápido demorou minutos, “este ano foram 27 segundos”, ilustrando até que ponto um atacante pode hoje mover-se lateralmente quase de forma imediata dentro de uma rede.

IA como arma e superfície de ataque

A inteligência artificial está a assumir um papel central nesta evolução, ao mesmo tempo que potencia os atacantes e expande o risco para as organizações. “Para os adversários, a AI está a ser uma arma” e, em paralelo, proporcionou o “aumentou a superfície de ataque dentro das organizações”, num movimento que reforça tanto a capacidade ofensiva como a exposição.

Esta realidade é agravada pelo facto de os atacantes estarem a desenvolver competências mais rapidamente do que as próprias empresas. “Hoje, os atacantes sabem mais de IA do que os próprios clientes sabem de IA”, destacou, sublinhando um desequilíbrio que se torna crítico à medida que novas ferramentas e modelos surgem a um ritmo acelerado.

A democratização do acesso à tecnologia está a alterar o perfil dos atacantes, ao permitir que grupos com menor capacidade técnica passem a executar ataques mais sofisticados. Como explicou Eduardo Penedos, o ransomware “estava de algum modo a diminuir”, mas, o avanço da inteligência artificial “democratizou o acesso a atacantes que antes não tinham as competências para poder fazer isto bem feito e agora passaram a poder fazer extremamente bem”, voltando a ganhar expressão num cenário cada vez mais acessível e eficiente para quem ataca.

Identidade e cloud no centro

Segundo o responsável, “76% dos ataques têm origem na identidade”, um dado que ajuda a explicar porque muitos incidentes começam fora do perímetro tradicional de segurança e reforça o peso crescente deste vetor no threat landscape atual.

Em paralelo, a cloud está a assumir um papel cada vez mais relevante como vetor de ataque, com os adversários a explorarem infraestruturas legítimas das próprias organizações para lançar operações maliciosas, num modelo que torna a deteção e resposta mais complexas.

A combinação destes fatores, identidade, cloud e agora inteligência artificial, está a criar um ambiente onde os ataques se tornam mais difíceis de detetar e conter.

Do reconhecimento ao ataque automatizado

A utilização de IA pelos atacantes começa muitas vezes fora da rede, em fases de reconhecimento, desenvolvimento ou desinformação, mas estende-se também a momentos mais críticos do ataque. Como referiu o responsável, esta utilização já se observa “na área de reconhecimento, desenvolvimento, geração de desinformação”, mas também “já dentro da rede, initial access, persistência, credential access”, o que demonstra como a IA atravessa toda a cadeia de ataque.

Técnicas como prompt injection ilustram essa realidade, ao permitir manipular modelos e influenciar resultados sem que o utilizador se aperceba. O Regional Sales Manager for Enterprise da CrowdStrike deu exemplos de como é possível introduzir instruções invisíveis que são interpretadas pelos sistemas, evidenciando a facilidade com que estes ataques podem ser executados e o potencial de exploração ainda existente.

Proteger o novo perímetro

Face a este cenário, a necessidade passa por monitorizar e proteger não só endpoints, identidades e cloud, mas também todo o ecossistema de IA dentro das organizações. Isso inclui perceber “quem é que se conecta à IA, quais são os dados que os utilizadores metem na IA” e como esses dados são processados.

A proliferação de agentes, API e aplicações baseadas em IA exige uma abordagem mais abrangente, capaz de acompanhar a complexidade crescente. Ao mesmo tempo, o fenómeno do shadow IA e das aplicações SaaS está a criar pontos cegos, ampliando o desafio para as equipas de segurança.

O cenário descrito ao longo da apresentação ganha expressão nos dados do Global Threat Report, que Eduardo Penedos destacou como ferramenta essencial para compreender esta evolução e preparar a resposta. Ao detalhar como os ataques estão a tornar-se mais rápidos, mais eficientes e mais acessíveis, o relatório surge como “a melhor maneira dos nossos clientes poderem defender os novos ciberataques”, num contexto em que acompanhar esta transformação deixa de ser opcional.