freshidea - stock.adobe.com
A vulnerabilidade não está mais no código, mas em quem tem acesso a ele
O risco hoje está na interseção entre tecnologia, identidade e comportamento. Controles tradicionais continuam sendo fundamentais, mas não são suficientes para mitigar ataques que exploram credenciais legítimas dentro do fluxo normal de trabalho.
Um desenvolvedor recebe um alerta de falha no pipeline e faz o que faria em qualquer outro dia: revisa o processo, autentica o acesso e segue o fluxo. Minutos depois, sem perceber, abriu acesso para um invasor no ambiente de desenvolvimento.
Esse tipo de situação deixou de ser pontual — e revela uma mudança mais profunda. O uso indevido de credenciais tem acompanhado a evolução dos ataques cibernéticos e já aparece com frequência em incidentes relevantes. O relatório Cost of a Data Breach, da IBM, destaca a importância de fortalecer controles de identidade e acesso para reduzir o risco de abuso de credenciais.
Esse cenário ganhou evidência recente no Brasil. Em 2025, um ataque a uma empresa parceira do Banco Central resultou em desvios milionários após o uso indevido de credenciais legítimas. O caso não envolveu falhas na infraestrutura do Banco Central, mas sim o comprometimento de acessos.
O atacante não precisa mais explorar vulnerabilidades. É mais simples explorar identidades válidas e credenciais legítimas, operando sem levantar suspeitas e, muitas vezes, realizando movimentação lateral entre sistemas. E os pipelines de desenvolvimento tem se mostrado um campo muito fértil para essas explorações.
O novo perímetro deixou de ser técnico
Durante muito tempo, a segurança foi tratada como um problema de código e infraestrutura. Falhas eram corrigidas, sistemas atualizados e o foco estava na superfície técnica.
Esse modelo ainda é necessário, mas já não é suficiente. O perímetro mudou e hoje está diretamente ligado à gestão de identidades e acessos (IAM) e a quem interage com ambientes críticos.
Desenvolvedores concentram acessos sensíveis ao longo da operação, incluindo repositórios de código, pipelines de CI/CD, ambientes de teste e produção, chaves de API e configurações em nuvem. Quando uma dessas identidades é comprometida, o impacto deixa de ser pontual. O invasor passa a operar com credenciais válidas e se movimenta lateralmente, ampliando alcance sem necessariamente gerar alertas.
Ataques não exploram falhas, exploram contexto
Grande parte desses acessos não vem de técnicas sofisticadas, mas de abordagens que exploram o contexto de trabalho. O phishing direcionado a desenvolvedores segue essa lógica.
São mensagens que reproduzem a rotina, como convites para repositórios, notificações de versionamento ou alertas de falha em pipelines. Tudo parece legítimo porque replica fluxos reais de desenvolvimento.
Quando a interação acontece, o atacante não precisa contornar controles. Ele passa a operar com credenciais válidas dentro do fluxo esperado.
Isso reduz a capacidade de detecção, já que muitos controles ainda estão focados em identificar comportamentos anômalos e não o uso indevido de identidades legítimas.
A cadeia de software amplia o impacto
O risco cresce com a cadeia de suprimentos de software. Aplicações modernas dependem de bibliotecas open source, componentes de terceiros e integrações contínuas, ampliando a superfície de ataque.
Uma única dependência comprometida pode afetar diversas organizações ao mesmo tempo. Um pacote malicioso ou atualização adulterada pode inserir código nocivo diretamente na distribuição de aplicações, propagando o risco em escala.
O risco hoje está na interseção entre tecnologia, identidade e comportamento. Controles tradicionais continuam sendo fundamentais, mas não são suficientes para mitigar ataques que exploram credenciais legítimas dentro do fluxo normal de trabalho.
Proteger software agora é proteger acesso
Proteger o software passa por proteger o ambiente de desenvolvimento. Isso envolve reduzir privilégios excessivos, fortalecer políticas de gestão de identidade e acesso, monitorar padrões de uso de credenciais e adotar práticas contínuas de governança.
Também exige preparar desenvolvedores para reconhecer ataques que simulam o próprio fluxo de trabalho, um tipo de ameaça que não depende de vulnerabilidades técnicas, mas de contexto operacional.
Segurança começa nas pessoas que sustentam o código
O avanço do DevSecOps elevou o nível técnico da segurança, mas também evidenciou uma mudança de perspectiva. Software não é apenas código, é resultado de decisões humanas.
Desenvolvedores e equipes de engenharia fazem parte da base de confiança que sustenta a operação digital. Ignorar esse fator é manter aberta uma das superfícies de ataque mais eficientes hoje.
Proteger aplicações não é apenas corrigir vulnerabilidades. É proteger quem tem acesso direto a elas.
Sobre o autor: Bruno Kaique é CTO da BeePhish. Bruno tem 10 anos de experiência em cibersegurança, cloud e arquitetura de sistemas. Ele tem dedicado sua trajetória a construir uma nova cultura de responsabilidade digital, em que segurança da informação não é apenas um tema técnico, mas uma pauta estratégica que envolve pessoas, negócios e confiança. Bruno tem desenvolvido como especialista em Cloud Security, liderando projetos de evolução digital em instituições financeiras, implementando práticas robustas de segurança em AWS, OCI e Azure. Ele também atua com frameworks como OWASP, NIST e ISO 27001, unindo técnica e estratégia em DevSecOps, CI/CD e Kubernetes.
