Os ataques baseados em credenciais atingiram níveis epidêmicos, com um crescimento de 160% no volume de credenciais vazadas este ano, segundo a Check Point Software. A tática dos cibercriminosos mudou: o objetivo não é mais “invadir”, mas sim “fazer login” usando senhas, chaves de API e tokens roubados.
Essa mudança fundamental na estratégia dos atacantes está expondo falhas críticas nas defesas tradicionais, especialmente em ambientes de segurança na nuvem e SaaS. O relatório de investigações de vazamento de dados de 2025 da Verizon (DBIR) confirma a gravidade da situação: 22% das violações de dados agora têm início com credenciais comprometidas. Para combater essa ameaça crescente, a Check Point Software propõe uma resposta arquitetônica inovadora: a Hybrid Mesh Architecture.
A nova face do abuso de credenciais
A segurança corporativa moderna muitas vezes funciona como um prédio com sistemas de segurança que não conversam entre si. Há um guarda na portaria (o provedor de identidade), câmeras nos corredores (o firewall) e um alarme em cada sala (a proteção de endpoint). Se um invasor entra com um crachá roubado, o guarda registra o login como válido, as câmeras filmam a passagem sem alarde e o alarme só soa quando a sala já foi esvaziada. Ninguém conecta os pontos a tempo de impedir o dano. É exatamente essa fragmentação que os atacantes exploram.
O cenário atual revela uma sofisticação crescente nos métodos de roubo de credenciais. Os cibercriminosos não se limitam mais às senhas tradicionais — eles agora exploram chaves de API, tokens OAuth, chaves SSH e tokens de serviços em nuvem. Muitos desses ativos são resistentes à autenticação de múltiplos fatores (MFA) e persistem mesmo após redefinições de senha.
O malware infostealer emergiu como uma das principais ferramentas dessa nova era. De acordo com a Check Point Research (CPR), famílias de malwares como Lumma, RedLine e StealC cresceram 58% em 2024. Especificamente, o Lumma malware tornou-se responsável por 51% de todos os logs de credenciais à venda na dark web russa em novembro de 2024. Esses infostealers coletam credenciais armazenadas em navegadores e tokens de sessão em massa, muitas vezes de dispositivos pessoais usados para trabalho.
O phishing também evoluiu dramaticamente com o auxílio da inteligência artificial generativa. Campanhas de e-mails perfeitos, portais falsos e até chamadas com voz clonada estão conseguindo escapar de programas de conscientização e filtros tradicionais. Técnicas como “prompt bombing” — onde atacantes enviam centenas de notificações MFA até que um funcionário, frustrado ou distraído, aprove uma solicitação fraudulenta — demonstram como os criminosos adaptam suas táticas.
Por que as defesas falham
A fragmentação entre ferramentas de segurança é um dos maiores facilitadores desses ataques. Os provedores de identidades (IdPs) registram logins, firewalls monitoram tráfego e endpoints detectam malware, mas sem correlação de dados, logins suspeitos passam despercebidos.
Políticas inconsistentes criam brechas exploráveis. A adoção desigual de MFA em VPNs e SaaS, combinada com o uso de chaves estáticas em nuvem, oferece pontos de entrada para atacantes determinados. O caso da violação da Snowflake em 2024 exemplifica perfeitamente como essas lacunas podem ser exploradas.
O compartilhamento lento de inteligência de ameaças agrava o problema. Alertas de endpoints muitas vezes não chegam a tempo a provedores de identidade ou SaaS, permitindo que atacantes reutilizem credenciais roubadas antes da resposta. Organizações levam em média 94 dias para remediar credenciais comprometidas originadas de repositórios GitHub, um tempo que oferece amplas oportunidades para exploração maliciosa.
Hybrid mesh architecture: uma resposta unificada
Para superar a fragmentação das defesas tradicionais, a Check Point Software propõe a Hybrid Mesh Architecture ou Arquitetura de Malha Híbrida. Esta abordagem unifica identidade, políticas e inteligência de ameaças em todos os ambientes híbridos.
O modelo combina conceitos estabelecidos da indústria: a Cybersecurity Mesh Architecture (CSMA) do Gartner e o Zero Trust do NIST (SP 800-207). Essa fusão resulta em controles distribuídos com inteligência unificada, verificação contínua, menor privilégio e acesso adaptativo.
Na prática, a identidade se torna o elo central da arquitetura. Uma anomalia de login detectada em um sistema se propaga automaticamente para endpoints, firewalls e aplicações SaaS. Com suporte de inteligência artificial, a Hybrid Mesh Architecture reduz tanto o tempo médio para detectar (MTTD) quanto o tempo médio para responder (MTTR).
Os Hybrid Mesh Firewalls (HMF) executam em hardware, virtual e nativo da nuvem, sob uma camada de política única. Essa flexibilidade permite que organizações adaptem sua segurança às necessidades específicas de cada ambiente, mantendo consistência e visibilidade centralizada.
Como a malha híbrida neutraliza ataques de credenciais
A Hybrid Mesh Architecture não é apenas um conceito arquitetônico — ela impede ativamente o abuso de credenciais. Ao combinar prevenção, remediação e resposta rápida, é possível interromper todas as etapas do ciclo de vida do ataque.
Na prevenção distribuída, nenhuma ferramenta funciona sozinha. Um phishing detectado no e-mail bloqueia automaticamente acessos em endpoints, firewalls e SaaS. Similarmente, malware infostealer detectado em um endpoint aciona automaticamente políticas de proteção em toda a malha.
A remediação proativa utiliza integrações com External Risk Management (ERM) para identificar e revogar em tempo real chaves AWS expostas no GitHub, tokens OAuth à venda na dark web ou credenciais de serviços comprometidos em violações.
Mesmo em casos de intrusão, a arquitetura coordena respostas eficazes. O sistema isola dispositivos infectados, aplica microssegmentação de rede, revoga tokens comprometidos e restringe contas privilegiadas com acesso na hora certa (just-in-time). Segundo o IBM Cost of a Data Breach Report 2025, empresas que automatizam a contenção economizam até 98 dias no processo, reduzindo milhões em custos.
Um caso real: a violação da cadeia de suprimentos da Nx
Em agosto de 2025, a violação da Nx demonstrou dramaticamente os riscos dos ataques modernos de credenciais. Cibercriminosos roubaram um token de publicação do sistema de compilação da Nx e o usaram para liberar pacotes comprometidos.
O ataque, apelidado de “s1ngularity”, foi particularmente sofisticado. Os atacantes não apenas coletaram mais de 2.300 credenciais e segredos de desenvolvedores, mas também marcaram o primeiro ataque conhecido de cadeia de suprimentos a buscar ativamente ferramentas LLM instaladas em máquinas de desenvolvedores para extrair mais segredos da vítima.
O malware foi executado apenas em sistemas Linux e macOS, procurando arquivos sensíveis como chaves SSH, arquivos .env e credenciais de vários serviços. Os segredos roubados foram então exfiltrados para repositórios públicos no GitHub, expondo-os a qualquer pessoa com acesso. Esse incidente demonstra como um único token comprometido pode desencadear uma violação devastadora na cadeia de suprimentos de software.
O caso da Nx reforça a necessidade urgente de arquiteturas que detectem credenciais expostas precocemente e as revoguem de forma automatizada. Se uma Hybrid Mesh Architecture estivesse em vigor, a detecção do token comprometido poderia ter acionado revogações automáticas em todos os sistemas conectados, limitando significativamente o escopo do dano.
O futuro da segurança centrada na identidade
Os especialistas da Check Point Software ressaltam que o abuso de credenciais continuará sendo a principal arma dos cibercriminosos. Com 39 milhões de segredos vazados apenas no GitHub em 2024, representando um aumento de 67% em relação ao ano anterior, a escala do problema só tende a crescer.
A resposta não pode mais ser reativa ou fragmentada. É necessário abandonar defesas em silos e adotar arquiteturas integradas, centradas na identidade e orientadas por automação. A Hybrid Mesh Architecture oferece um caminho viável para essa transformação, combinando a flexibilidade necessária para ambientes híbridos com a inteligência unificada essencial para detectar e responder a ameaças modernas.
À medida que as organizações expandem suas operações na nuvem e adotam mais serviços SaaS, a importância de uma abordagem arquitetônica coesa apenas aumenta. A escolha não é se implementar uma arquitetura de malha híbrida, mas quando — e quanto custará esperar.
