IA entrou no orçamento das empresas brasileiras

O mais recente Barômetro de Risco, um relatório global da seguradora Allianz, mostra que a segurança cibernética é a segunda maior preocupação dos executivos brasileiros, vinculada a outros riscos de interrupção dos negócios e atrás apenas das mudanças climáticas.

Segundo os 68 executivos pesquisados ​​no Brasil, violações e vazamentos de dados recorrentes, interrupções nos serviços de TI e a maior sofisticação dos ataques do tipo ransomware estão entre os motivos. As preocupações com a cibersegurança também aumentaram devido à maior disponibilidade de ferramentas generativas de inteligência artificial, que estão a levar as táticas de fraude e phishing a um novo nível.

A IDC, uma empresa de inteligência de mercado focada no setor de tecnologia, estima que os ataques cibernéticos aumentarão 12% este ano, embora o investimento em segurança cibernética no Brasil tenha aumentado mais de 16%, para cerca de US$ 1,7 bilhão – superando o aumento de 9% no investimento. no setor de TI como um todo.

Depois da China, a América Latina é a região onde os investimentos em segurança cibernética estão crescendo mais rapidamente, diz Luciano Ramos, gerente nacional da IDC Brasil e chefe de domínios de software e serviços de TI da IDC Latin America. O Relatório Brasileiro.

Ao pesquisar mais de 200 empresas na América Latina, a IDC descobriu que a maioria já possui pelo menos um caso de uso habilitado para IA, seja relacionado a mecanismos antifraude, análise de dados e demanda ou respostas automatizadas para recomendações de produtos, por exemplo.

“Estamos vivenciando um hype tecnológico devido ao surgimento de grandes modelos de linguagem, mas o que estamos vendo agora é que isso está esfriando um pouco e as empresas estão voltando para projetos tradicionais de IA que estão incorporados em funções específicas de cada negócio , e que muitas empresas consideravam garantidas, para descobrir como usar novas ferramentas para melhorá-las, ou mesmo para descobrir se e quando vale a pena o esforço”, afirma Ramos.

A consultoria GlobalData aponta o Brasil como o local onde o crescimento será maior nos próximos anos. Embora os EUA e a China representem 40% do mercado, espera-se que a IA generativa no Brasil cresça a uma taxa anual composta de 100% até 2027.

Segundo a IDC, o mercado de soluções de gestão, que inclui sistemas ERP e CRM, bem como plataformas de cadeia de suprimentos, atingirá US$ 5,6 bilhões no Brasil em 2024, um aumento de 11,6% em relação ao ano anterior. Desse montante, 1,6 mil milhões de dólares serão destinados a plataformas analíticas e de IA, e 588 milhões de dólares serão “associados às capacidades de inteligência incorporadas nestas soluções”.

Segundo Ramos, a maioria das empresas não pretende desenvolver tudo internamente, mas sim fazer parcerias com as empresas de IA que surgiram nos últimos dois anos. No entanto, existem preocupações associadas a estas parcerias, como garantir que as informações que utilizam para alimentar um LLM são seguras.

“É nessa dinâmica que fornecedores e clientes trabalharão em 2024”, acrescenta.

A segurança de TI, incluindo a proteção de ambientes híbridos e de nuvem, é a principal questão para as empresas latino-americanas quando se trata das competências e tecnologias necessárias para as prioridades estratégicas de negócios. Cerca de 50% deles responderam à pesquisa da IDC.

No entanto, há uma diferença significativa quando se olha para as organizações por tamanho: enquanto quase 95% das grandes empresas possuem soluções com capacidades de IA para ajudar na segurança de TI, apenas 56% das pequenas e médias empresas possuem estas soluções.

Entre as médias e grandes empresas brasileiras entrevistadas para outra pesquisa da IDC, 54% disseram que estão estudando como aplicar a gen-AI e 20% disseram que também estão tentando entender a melhor forma de treinar seus funcionários na nova tecnologia.

Benefícios da IA ​​versus riscos da IA

Os ataques de phishing, que consistem em milhares de mensagens fraudulentas com links suspeitos enviadas aleatoriamente através de mídias sociais, aplicativos de mensagens ou e-mails com arquivos maliciosos anexados, constituem uma grande parte dos ataques cibernéticos e golpes direcionados a empresas e indivíduos no Brasil.

O facto de os brasileiros estarem consistentemente entre os primeiros a adotar tecnologias digitais — como evidenciado pela penetração massiva do sistema de pagamentos instantâneos PIX do país — contribui para a sua vulnerabilidade a estas ameaças.

Esses links maliciosos geralmente direcionam as vítimas para versões falsas de sites e aplicativos e solicitam que elas insiram informações confidenciais, como a senha de uma conta bancária, enquanto os anexos de e-mail geralmente são malware (programas destrutivos) instalados no dispositivo da vítima para roubar informações.

Embora os criminosos estrangeiros tenham como alvo as empresas e utilizem estas tácticas como trampolim para invasões maiores, os hackers nacionais executam principalmente fraudes financeiras contra indivíduos.

Em ambos os casos, alerta Wladimir Fragoso, coordenador da FastHelp, empresa brasileira de serviços de TI e segurança, as táticas de phishing evoluíram para “spear-phishing”, ou ataques direcionados em que indivíduos específicos, como executivos de alto escalão, têm seu comportamento online meticulosamente estudado, permitindo que o criminoso se faça passar por chefe, colega ou conhecido para pedir informações ou ações.

Na esteira do PIX e de outras soluções de pagamento digital, um tipo comum de spear-phishing cada vez mais usado por criminosos no Brasil é o “quishing”, que envolve a combinação de phishing com códigos QR maliciosos em vez de links ou arquivos.

O provedor de serviços e tecnologia de segurança Trend Micro adicionou recentemente o quishing às suas ferramentas comportamentais, que podem “soar o alarme” quando as coisas não parecem legítimas.

Essas ferramentas passam algum tempo, geralmente um mês ou mais, aprendendo como os usuários escrevem e se comportam com base em uma série de critérios, como idioma e pontuação, até conseguirem identificar o que é legítimo, explica Flavio Silva, gerente técnico da Trend Micro. no Brasil, para O Relatório Brasileiro.

Qualquer coisa fora do comum gera alertas e o acesso é bloqueado para evitar que esses episódios se tornem ataques maiores. A maioria dos clientes da empresa são empresas de médio porte, então a ideia é evitar que executivos de alto nível dessas organizações leiam códigos QR maliciosos — por meio dos quais os criminosos tentam roubar suas credenciais e informações de autenticação multifatorial.

“É um exemplo de uso da IA ​​para o bem, para ajudar a prevenir ataques”, afirma Silva.

No entanto, o uso de ferramentas de IA para criar imagens, vídeos ou áudio deepfake para uso em spear-phishing é um dos maiores riscos para 2024, de acordo com o último relatório de previsões de segurança da Trend Micro. A clonagem de voz e outras táticas baseadas em IA também serão amplamente utilizadas em “ataques de hacking de arpão”, que são golpes de engenharia social ainda mais direcionados que envolvem e-mails que contêm informações pessoais e são elaborados com senso de urgência.

Foi exatamente isso que aconteceu com um funcionário financeiro de uma empresa multinacional em Hong Kong no início de fevereiro. Ele foi enganado e pagou US$ 25 milhões a fraudadores que usaram tecnologia deepfake para se passar pelo CFO da empresa em uma videoconferência.

No Brasil, ataques como esses direcionados a indivíduos já foram relatados. Os criminosos fizeram uma videochamada para uma mulher se passando por sua filha, pedindo que ela transferisse R$ 600 (cerca de US$ 120) via PIX para a amiga de sua filha. A mulher desconfiou da ligação porque a filha havia acabado de sair de casa com roupas diferentes das do vídeo.

Além disso, a pessoa na tela não a havia chamado pelo apelido carinhoso que os dois costumam chamar um ao outro. Desconfiada, a mulher perguntou o nome do cachorro da família. Sem saber a resposta, os criminosos encerraram a ligação. “Tinha meu rosto, meu cabelo e minha voz. O único detalhe é que a voz ficou um pouco descompassada com o vídeo, mas sabemos que isso pode acontecer com um [bad] conexão de internet. É assustador ver a evolução desse tipo de golpe”, disse recentemente a filha da vítima à BBC News Brasil.

O caso brasileiro assusta os especialistas porque mostra que táticas baseadas na IA estão sendo usadas contra indivíduos e também contra grandes corporações, levando-os a redobrar os alertas às pequenas e médias empresas.

“Como sempre, o elo mais fraco é o humano. Portanto, para todas as empresas que atendemos, independentemente do seu porte, um dos focos para 2024 é convencê-las a investir em treinamento e conscientização. Às vezes a empresa tem as ferramentas e a equipe, mas a equipe não tem as habilidades necessárias para enfrentar as ameaças atuais”, afirma Fragoso.