Após a **Agência de Segurança Cibernética e de Infraestrutura (CISA)** emitir um alerta sobre atores cibernéticos ligados ao Irã buscando causar interrupções nos EUA, as preocupações com ataques à infraestrutura crítica aumentaram. No entanto, autoridades e especialistas em cibersegurança sugerem uma ameaça diferente e mais sutil: intrusões oportunistas projetadas para parecerem maiores do que realmente são. ## A Natureza da Ameaça Falando na Asness Summit on Modern Conflict and Emerging Threats em Nashville, o ex-diretor da **NSA**, **Tim Haugh**, e **Kevin Mandia**, fundador de uma nova empresa de cibersegurança com IA, destacaram que as operações cibernéticas iranianas frequentemente exploram falhas básicas de segurança e amplificam os resultados, em vez de usar novas capacidades. "Eu provavelmente faria uma analogia agora, que o Irã e a capacidade cibernética do Irã estão mais próximos de um ator criminoso", disse Haugh. "Eles farão [ataques] de oportunidade direcionados e depois tentarão ligá-los a uma operação de informação para torná-los grandes." Essa abordagem foca em obter acesso primeiro, depois moldar a narrativa mais tarde, o que tem sido um padrão recorrente. ## O Incidente Stryker: Um Estudo de Caso O incidente recente envolvendo a empresa de dispositivos médicos **Stryker** exemplifica isso. Hackers teriam desativado milhares de dispositivos. No entanto, de acordo com Haugh e Mandia, essa operação não dependeu de malware sofisticado ou vulnerabilidades desconhecidas. Em vez disso, começou com engenharia social. "Eles fizeram engenharia social com alguém e usaram credenciais legítimas para basicamente causar um efeito", explicou Haugh. Eles usaram uma "capacidade legítima associada a esse acesso para simplesmente deletar coisas que tinham permissão para deletar." Embora descrito como um ataque cibernético destrutivo, o incidente destacou um problema mais comum: atacantes usando credenciais válidas para causar danos de dentro. ## Estratégias de Defesa: Foco nos Fundamentos Mandia enfatizou que as organizações devem esperar esse padrão de ataques em vez de exploits altamente personalizados. "Eles compraram credenciais válidas da dark web", disse ele. "Então, se eu for um CISO agora, estou procurando um serviço que... tente fazer login em todas as páginas de login, todas as APIs... [e] garantir que tenho MFA em todos os lugares. É assim que eles vão invadir. É lento e discreto", acrescentou. "Eu argumentaria que isso é como um elemento criminoso." Atacantes frequentemente reivindicam publicamente um alvo que já comprometeram para criar a ilusão de velocidade e precisão, especialmente em situações de conflito. Mandia traçou um paralelo: "O domínio cibernético é um bairro ruim e, para citar '<a rel="noopener noreferrer" href="https://www.youtube.com/watch?v=4xgx4k83zzc">Spinal Tap</a>', eles simplesmente aumentam o volume para 11 agora porque há uma guerra acontecendo e todas as luvas serão retiradas." ## Alvos Prováveis e Perspectivas Futuras Em vez de ataques em larga escala à infraestrutura crítica, o Irã provavelmente visará organizações específicas com laços com Israel ou os EUA, combinando intrusões com campanhas de informação. "Duvido que você veja ataques personalizados a aplicativos web", disse Mandia. "Acho que será fazer login. Realmente acho. Será uma questão de segurança de identidade." Mesmo com a diminuição das tensões, essa linha de base provavelmente não mudará. "Minha opinião é que hackers hackeiam, fim da história", disse Mandia. "Eles aparecem todos os dias. Eles fazem isso por oito a 10 horas." Para os defensores, a principal conclusão é clara: a próxima fase do conflito cibernético pode depender menos de novas ferramentas e táticas, e mais do fechamento das lacunas básicas de segurança que os atacantes exploram há muito tempo.