A máxima “nunca confie, sempre verifique” se tornou a base de uma das abordagens mais importantes da cibersegurança atual: o modelo Zero Trust.
Não faz muito tempo, proteger o ambiente digital de uma organização era um desafio bem mais simples. Antes do trabalho híbrido e da popularização da computação em nuvem, a maior parte dos sistemas corporativos estava fisicamente concentrada dentro dos escritórios e data centers.
As estratégias de segurança eram construídas em torno de um perímetro claro. Firewalls, antivírus e redes controladas costumavam ser suficientes, porque o acesso estava diretamente ligado a um local físico.
Essa realidade mudou completamente.
Com a transformação digital e a expansão global do modelo “trabalhar de qualquer lugar”, o perímetro tradicional deixou de existir. A fronteira já não é mais um prédio ou uma rede interna. Hoje, a cibersegurança está cada vez mais ligada a um elemento central: a identidade.
Segundo relatório divulgado pela Autoridade Nacional de Proteção de Dados (ANPD) em 2025, o incidente com maior número de notificações foi o roubo de identidade, ultrapassando ameaças que antes eram consideradas mais comuns, como ransomware e exploração de vulnerabilidades.
Essa mudança não é surpresa.
O roubo de credenciais se tornou um dos principais alvos dos cibercriminosos porque permite que invasores entrem no ambiente corporativo de qualquer lugar do mundo. Quando conseguem acesso privilegiado, criminosos têm acesso a dados sensíveis, sistemas críticos e operações essenciais com uma facilidade preocupante.
Zero Trust vai além da segurança tradicional
O modelo Zero Trust parte de uma premissa simples, mas poderosa: nenhum usuário, dispositivo ou entidade deve ser considerado confiável por padrão.
O acesso só é concedido depois que a identidade é verificada e, mesmo assim, a autenticação precisa ser contínua. O objetivo é garantir que quem está tentando acessar um recurso realmente é quem diz ser.
Apesar da evolução das ameaças, as senhas ainda são o método de autenticação mais utilizado em muitas organizações. E é justamente por isso que o Zero Trust se tornou tão necessário.
Vazamentos de logins e credenciais acontecem todos os dias. Ataques de força bruta continuam eficazes contra práticas fracas de autenticação. E, na dark web, credenciais roubadas são comercializadas abertamente, sejam pessoais ou corporativas.
A verdade é que no mundo atual nem todos que acessam uma conta são usuários legítimos. É neste contexto que entra o modelo de Zero Trust.
O Zero Trust se sustenta em princípios que redefinem a forma como as empresas devem se proteger. O primeiro deles é o menor privilégio. Usuários devem ter apenas o acesso mínimo necessário para executar suas tarefas. Isso reduz abusos de permissão e limita o impacto de um possível ataque.
Outro pilar essencial é a segmentação de rede. Ao dividir o ambiente em zonas menores, as organizações conseguem conter ameaças e impedir que invasores se movimentem livremente pela infraestrutura.
Por fim, a autenticação de identidade se tornou central. O simples single sign on já não é suficiente como uma medida de proteção. A autenticação multifator passou a ser um requisito básico para reduzir o risco de comprometimento de credenciais.
O fator IA no cibercrime
Um ponto que não pode ser ignorado é o impacto da inteligência artificial no cibercrime moderno, desde que ferramentas baseadas em IA tornaram ataques de engenharia social muito mais convincentes. Mensagens de phishing estão mais realistas, golpes se tornaram mais difíceis de identificar e criminosos conseguem manipular o comportamento humano com um nível de sofisticação sem precedentes.
Funcionários sem conscientização e treinamento adequados podem cair facilmente nessas armadilhas. E, nesse contexto, práticas sólidas de gestão de identidade fazem toda a diferença entre um ambiente seguro e uma violação bem-sucedida.
O perigo pode estar mais próximo do que imaginamos
A comercialização clandestina de credenciais já é uma realidade no Brasil. Em muitos casos, até mesmo insiders podem tentar lucrar com esse tipo de atividade. Por isso, implementar uma estratégia Zero Trust deixou de ser opcional. Tornou‑se uma necessidade.
O acesso está cada vez mais fácil para criminosos. Seja por ataques externos tradicionais ou por falhas internas, as proteções que antes pareciam suficientes já não são mais.
Hoje, a capacidade de se passar por outra pessoa é uma das ameaças mais perigosas que uma organização enfrenta, provar que você é quem diz ser nunca foi tão importante.
O que vem pela frente
O próximo grande salto da cibersegurança provavelmente virá com a criptografia quântica. À medida que a computação quântica evolui, métodos de criptografia considerados seguros hoje podem se tornar obsoletos. Isso deve transformar novamente a forma como empresas protegem informações sensíveis.
Em um mundo onde a identidade se tornou o novo perímetro, as organizações que investirem desde já em princípios de Zero Trust e em uma gestão robusta de identidade e acesso serão as mais preparadas para enfrentar as ameaças do amanhã.