Em sua participação no Sirena Human Risk & Cybersec Conference em São Paulo, Marcos Carvalho, arquiteto de segurança da Azion, alertou para uma vulnerabilidade crescente nos sistemas de TI: o uso de arquivos PDF como vetores para ataques cibernéticos. Durante a entrevista com Márcio Montagnani, diretor de portfólio da Biz Group, Carvalho destacou como hackers podem explorar PDFs aparentemente inofensivos para comprometer infraestruturas vitais de empresas, especialmente em setores financeiros e de e-commerce.
PDF: uma vulnerabilidade inesperada
Marcos Carvalho levantou uma preocupação crítica sobre a segurança de arquivos PDF, amplamente utilizados em transações bancárias e e-commerce. “Muitas vezes, acreditamos que os PDFs são documentos inofensivos, mas na realidade, eles podem esconder códigos maliciosos, passando despercebidos pelas verificações tradicionais”, explicou. Ele alertou que, embora os PDFs sejam usados para transações financeiras ou gerados por sistemas bancários para boletos e comprovantes de pagamento, eles podem ser manipulados por atacantes para incluir códigos que, quando processados, comprometem toda a infraestrutura de TI.
Carvalho ressaltou que, na maioria das vezes, os sistemas de segurança apenas verificam a extensão e o tipo de leitor de arquivos, deixando a brecha aberta para códigos maliciosos se infiltrarem sem detecção. A ameaça está no fato de que um arquivo PDF legítimo pode ser usado como um vetor invisível para ataques sofisticados, comprometendo dados sensíveis de empresas e usuários.
A inteligência artificial na luta contra ataques cibernéticos
A inteligência artificial (IA) foi outro tema abordado durante a entrevista. Carvalho discutiu o papel crescente da IA na detecção de ameaças, mas alertou para as limitações dessa tecnologia. “A IA é uma poderosa ferramenta de mitigação de riscos, mas não deve ser vista como a solução definitiva. Ela precisa ser integrada a outros métodos de validação e não pode substituir a análise manual e profunda dos arquivos”, afirmou.
O especialista em segurança explicou que, embora a IA seja eficaz para identificar padrões de código malicioso, os ataques mais avançados podem codificar os payloads, dificultando sua detecção. “A IA é uma camada importante de segurança, mas a validação manual continua sendo fundamental para garantir a integridade dos sistemas”, afirmou Carvalho.
A importância da cibersegurança no ciclo de desenvolvimento
Ao discutir o futuro da cibersegurança, Carvalho enfatizou a importância da segurança ser incorporada desde o início no ciclo de desenvolvimento de software. “Em 2025, a cibersegurança já é parte integral dos processos de CI/CD. Não podemos mais tratar a segurança como algo adicional no final do desenvolvimento. Ela deve ser integrada desde a concepção do sistema”, declarou.
Ele alertou que, apesar dos avanços, muitas empresas ainda não estão dando a devida atenção à segurança em seus processos de desenvolvimento, o que pode resultar em falhas significativas. Carvalho observou que a pressão por inovação e a aceleração do desenvolvimento de software são fatores que podem fazer a segurança passar para segundo plano, com consequências graves para a proteção de dados e sistemas.
Desafios no armazenamento e validação de dados
Outro ponto fundamental discutido por Carvalho foi o armazenamento e a validação de grandes volumes de dados, especialmente em instituições financeiras. Ele apontou que, para reduzir custos, bancos e empresas de e-commerce muitas vezes optam por armazenar arquivos PDF por um período limitado, o que pode ser explorado por atacantes.
“Quando esses arquivos passam por processos automáticos de sanitização, existe a possibilidade de um código malicioso ser executado sem que o sistema perceba. Isso pode ter consequências devastadoras, já que muitas vezes os ataques não acontecem no primeiro momento, mas sim quando os arquivos são processados ou excluídos”, explicou.
Reflexões sobre o futuro da cibersegurança
Carvalho também fez uma reflexão sobre o futuro da cibersegurança, destacando que as empresas precisam tratar a segurança digital de forma mais estratégica. “Hoje, a cibersegurança é um pilar essencial para o sucesso dos negócios. Ela não pode ser tratada apenas como uma medida corretiva, mas como uma parte fundamental da estratégia de TI das empresas”, afirmou.
Ele concluiu enfatizando que, enquanto a tecnologia de defesa continua a evoluir, a conscientização e o compromisso das empresas com a segurança cibernética são fundamentais para proteger suas infraestruturas contra ataques cada vez mais sofisticados.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
