Christian Lozano López |
Mais da metade das empresas que armazenam informações na nuvem expõem seus “segredos” devido a vulnerabilidades cibernéticas que não são contempladas, segundo o Relatório de Riscos de Segurança na Nuvem 2025, elaborado pela companhia norte-americana Tenable.
De acordo com o estudo, que analisou “milhões de ativos em nuvem”, 9% dos recursos de armazenamento de acesso público continham dados sensíveis.
Por sua vez, o vice-presidente sênior da Tenable para América Latina e Caribe, Francisco Ramírez de Arellano, disse à EFE que o achado “mais crítico” não é o indicador anterior, mas o fato de que 97% desses dados expostos foram classificados como restritos ou confidenciais.
Isso indica que quase a totalidade dessas informações não apenas é sensível, como também representa riscos “imediatos e de alto impacto” para as organizações que utilizam a nuvem.
Essa vulnerabilidade pode desencadear vazamento de dados de clientes, roubo de segredos e possíveis perdas econômicas, incluindo multas por descumprimento de normas.
O gerente-geral da Oracle para Colômbia e Equador, Germán Borromei, declarou à EFE que essa alta exposição de dados confidenciais “reflete que ainda existem lacunas nas políticas de controle de acesso, monitoramento contínuo e governança de dados em muitas organizações”.
Trilogia tóxica na nuvem
Para a Tenable, 29% das organizações têm ao menos uma “trilogia tóxica” na nuvem. Isso se refere a uma carga de trabalho que está exposta publicamente, é altamente vulnerável e possui muitos privilégios — o que cria uma rota de ataque de alto risco e um alvo principal para agentes mal-intencionados.
Segundo Ramírez de Arellano, esses pontos compõem “a tempestade perfeita” na nuvem.
“Uma carga exposta publicamente é como uma porta que dá para a rua; uma vulnerabilidade crítica significa que a fechadura dessa porta está quebrada; e o alto privilégio quer dizer que essa porta não leva a um corredor comum, mas dá acesso direto à sala de controle”, explicou.
Por outro lado, Borromei afirmou que, nas arquiteturas modernas de nuvem corporativa, os dados de cada empresa “estão completamente isolados”.
“No entanto, quando as empresas não configuram corretamente seus recursos ou utilizam plataformas com esquemas de segurança menos robustos, existe o risco de incidentes colaterais”, destacou o executivo da Oracle, companhia especializada em soluções de nuvem.
Gestão da vulnerabilidade
A solução proposta por Ramírez de Arellano aponta para “adotar uma gestão proativa e unificada” da exposição.
“Uma gestão eficaz da exposição se baseia em obter visibilidade completa, de ponta a ponta — do código até a nuvem — para entender toda a superfície de ataque”, afirmou.
Com isso, o objetivo é colocar em prática ações preventivas, como a proteção de identidades, a eliminação de permissões excessivas e o tratamento dos “segredos” como ativos de alto valor, ao guardá-los em cofres digitais ou retirá-los de locais inseguros.
Por sua vez, o presidente da empresa colombiana Heinsohn, Diego Marín, comentou à EFE que “já se fala em criptografia pós-quântica”, classificada por ele como a próxima “grande onda” depois da inteligência artificial. Segundo ele, sem esse tipo de criptografia, a proteção cibernética será praticamente impossível.
Diante desse cenário, Marín ressaltou a importância de cada organização em nuvem adotar medidas necessárias para proteger seus dados, já que os ciberataques podem se propagar para outras companhias.
“Aqui, a recomendação é sempre dupla: ter estruturas de monitoramento entre provedores e entre os nós, para detectar alertas precoces”, acrescentou o executivo da Heinsohn, especializada em soluções tecnológicas para empresas.
Os ‘perigos’ na América Latina
O relatório da Tenable também revelou que 75% das organizações líderes em Tecnologia da Informação (TI) no México e no Brasil, as maiores economias da América Latina, encontram sua “principal fonte de exposição” na segurança da infraestrutura em nuvem.
“As empresas da região enfrentam enorme pressão para inovar e adotar tecnologias de nuvem para se manter competitivas. No entanto, essa adoção acelerada muitas vezes ocorre sem que as práticas de segurança evoluam no mesmo ritmo”, destacou Ramírez de Arellano.
Além disso, o vice-presidente da Tenable afirmou que a solução para os países mencionados deve ser dupla: as empresas devem adotar um modelo de “gestão proativa da exposição”, enquanto os governos precisam “acelerar” a criação de marcos regulatórios “robustos e coerentes”.
A Tenable, com sede em Columbia (Carolina do Sul, EUA), é especializada em gestão de vulnerabilidades e exposição cibernética. A companhia foi fundada em 2002 e possui mais de 44 mil clientes em nível global. EFE