Nos ambientes corporativos, apesar dos investimentos em firewalls, antivírus e políticas rígidas, a porta de entrada mais vulnerável permanece sendo o ser humano. Segundo a pesquisa “2025 CISO Risk Intelligence” da Dune Security, mais de 90 % dos incidentes têm origem no comportamento dos usuários, e não em falhas técnicas
Esse cenário é crítico porque os ataques deixaram de se limitar ao e-mail — hoje, hackers exploram canais menos monitorados, como aplicativos de mensagem criptografada, SMS, chamadas de voz e plataformas de colaboração. Embora quase todas as empresas testem phishing por e-mail, nenhuma simula ataques por WhatsApp, Signal ou chamadas, gerando uma falsa sensação de segurança
Também foi identificado que a personalização das simulações está longe de ser ideal: somente 18 % das organizações adaptam os testes conforme o perfil dos usuários, ainda que 91 % dos CISOs acreditem que esse deve ser o padrão. Para agravar, e-mails de phishing gerados por IA resultaram em três vezes mais interações, e 30 % dos usuários clicando chegaram a fornecer credenciais de MFA
Outro ponto de reflexão é que a definição de ameaças internas precisa ser ampliada. Não são apenas insiders maliciosos — usuários comprometidos ou negligentes, especialmente via apps sem monitoramento, representam risco real e crescente
O consenso entre os CISOs é que o problema está claro — porém, o desafio está na execução. Os principais obstáculos não são a falta de conscientização ou apoio da liderança (apenas 6 % citaram isso), mas sim dificuldades operacionais, como medir riscos individuais, falta de pessoal capacitado e dependência de ferramentas antigas que não refletem vetores de ataques reais
Dica de prevenção:
Adote uma abordagem centrada nas pessoas: expanda as simulações de phishing para canais fora do e-mail, personalize os testes conforme o perfil dos usuários e invista em monitoramento e resposta nos ambientes de mensagem, voz e colaboração. Isso inclui tratar risco humano como prioridade, e não apenas técnica.
Em resumo, confiar exclusivamente em tecnologia é insuficiente. A segurança real exige foco no fator humano, com simulações realistas, treinamento segmentado e medição contínua de comportamento. Para reforçar isso, conheça o MFA Vault, que facilita a centralização da autenticação multifator com segurança e praticidade — conheça em mfa2go.com