Defendendo a Empresa Contra Agentes Maliciosos de IA

O cenário de cibersegurança entrou em uma nova fase: o que era uma disputa entre atacantes humanos e defensores humanos se tornou uma batalha de recursos entre máquinas. Os avanços em IA geradora e agente transformaram a cibercriminalidade de uma disciplina de nicho e alta habilidade em uma operação escalável e de baixa barreira. De acordo com dados recentes da indústria, cerca de 41% dos ataques são agora impulsionados por IA, uma figura que destaca como rápida é essa mudança.

O Alto Preço das Defesas Legadas

O impacto financeiro dos ataques impulsionados por IA já é substancial. Dados do relatório de 2025 da Fingerprint sobre o Estado da Fraude e Prevenção de IA mostram que as empresas perdem, em média, $414.000 por ano devido a fraudes impulsionadas por IA, com um terço dos respondentes relatando perdas de até $1 milhão. Para muitas organizações, esses números já não são exceções; estão se tornando parte do custo de fazer negócios online.

Essas perdas também sinalizam um problema estrutural mais profundo: as ferramentas defensivas das quais as empresas dependem foram projetadas para um modelo de ameaça diferente. Medidas como CAPTCHAs, regras baseadas em IP, limites de taxa simples e listas de bloqueio foram projetadas para filtrar bots scriptados. Hoje, esses controles são cada vez mais ineficazes contra adversários impulsionados por IA que podem operar navegadores reais, adaptar-se à fricção em tempo real e distribuir atividades de maneira que se misturem ao tráfego legítimo.

As CAPTCHAs ilustram claramente o problema. Originalmente destinadas a distinguir humanos de bots, muitas delas agora podem ser resolvidas mais rapidamente e com mais precisão do que as pessoas. Ao mesmo tempo, esses desafios introduzem fricção para usuários legítimos, aumentando as taxas de abandono e degradando a experiência do cliente. A autenticação de múltiplos fatores (MFA) adiciona uma camada de proteção, mas também é vulnerável a trocas de SMS e phishing. No agregado, esses controles frequentemente criam a ilusão de segurança enquanto transferem o fardo para os usuários genuínos.

A Crise Operacional e a Contradição de Privacidade

O balanço contábil conta apenas metade da história — a outra metade da narrativa é a paralisia operacional. O mesmo relatório destaca que 62% dos respondentes B2B SaaS indicam que suas equipes de fraude gastam significativamente mais tempo em processos manuais devido a ataques impulsionados por IA. Analistas são inundados com alertas, falsos positivos e casos de bordo, deixando menos recursos para defesa proativa, inteligência de ameaças e estratégia de longo prazo.

Essa tensão operacional é agravada pela evolução necessária da privacidade do consumidor. Enquanto regulamentações e preferências dos consumidores estão se movendo em direção a uma maior proteção, essa mudança criou inadvertidamente um ponto cego para as equipes de segurança.

A principal constatação é a seguinte: 40% das organizações afirmam que a conformidade com a privacidade reduz significativamente a precisão da identificação do usuário. À medida que os fornecedores de navegadores, como Mozilla e Apple, adotam posições pró-privacidade que limitam técnicas tradicionais de identificação de navegador e dispositivo, também habilitam inadvertidamente a fraude. Em outras palavras, no esforço para proteger os usuários, também tornamos mais fácil para fraudadores, humanos ou automatizados, permanecerem anônimos — o que, ironicamente, tornou mais difícil proteger os usuários legítimos. O impacto sentido é significativo: 57% das empresas B2B SaaS, 32% das empresas fintech e 27% das instituições bancárias relatam uma redução severa na precisão de identificação de dispositivo e navegador.

Por Que as Ferramentas Legadas Falham no Teste de IA

A discrepância entre defesas legadas e atacantes modernos agora é evidente. Os endereços IP são facilmente rotados, as MFAs podem ser contornadas e os desafios CAPTCHA podem ser resolvidos rapidamente por modelos de IA. No entanto, essas soluções oferecem pouca ou nenhuma persistência contra atores mal-intencionados.

Além disso, ao contrário dos bots tradicionais que seguem scripts lineares, a IA agente pode “raciocinar” através de obstáculos, ajustando sua estratégia dinamicamente à medida que aprende com seus erros. À medida que mais pessoas recorrem a aplicativos digitais, a incapacidade das defesas legadas de conter ataques impulsionados por IA adaptáveis levou a maiores oportunidades de violações de dados e risco sistêmico.

Para as empresas, isso cria um dilema persistente. Apertar os controles agressivamente e os usuários legítimos são penalizados com fricção, atrasos e rejeições falsas. Relaxar os controles para preservar a experiência e os volumes de fraude aumentam. O resultado é um tradeoff “perde-perde” que erode tanto a postura de segurança quanto a confiança do cliente.

Valor Empresarial: Decifrar a Intenção para Restaurar a Confiança

Para setores de alto risco, como fintech e comércio eletrônico, a proposta de valor da inteligência de dispositivo moderna é mais do que apenas “parar a fraude” — é sobre restaurar a confiança na identificação da intenção do usuário e avaliar o risco com mais precisão.

A inteligência de dispositivo permite que as organizações avaliem o risco reconhecendo dispositivos confiáveis e analisando os sinais circundantes de cada interação, como integridade do navegador, indicadores de automação, consistência do ambiente e anomalias comportamentais, antes que o usuário forneça credenciais ou realize uma transação. Essa mudança de prevenção reativa para prevenção proativa e avaliação de risco baseada no contexto é essencial para eficiência operacional e confiança do usuário.

Por exemplo, para Cornershop da Uber, a inteligência de dispositivo identificou com confiabilidade usuários que retornam e destacou atividades de alto risco cedo, permitindo que eles capturem transações fraudulentas, minimizem falsos positivos e reduzam chargebacks.

A Virada Estratégica: Defesa Agente e Sinais em Nível de Dispositivo em Tempo Real

À medida que as ameaças impulsionadas por IA se tornam mais adaptáveis, as empresas precisam da capacidade de avaliar se uma sessão parece legítima no primeiro sinal de atividade, e não apenas após uma transação falhar ou uma conta ser comprometida.

Por isso, adaptar-se às ameaças impulsionadas por IA exige uma virada estratégica na forma como as defesas são projetadas. Em vez de confiar em identificadores frágeis como endereços IP ou comportamentos facilmente falsificados, como movimentos do mouse, as empresas estão começando a priorizar sinais em nível de dispositivo que são mais difíceis para agentes autônomos manipular. Indicadores de risco em tempo real baseados no ambiente, integridade e configuração do dispositivo fornecem às equipes de fraude os sinais confiáveis de que precisam para agir imediatamente quando atividade suspeita é detectada.

O Custo Duplo de Segurança Fraca Contra Ameaças Impulsionadas por IA

O custo da segurança empresarial comprometida é duplo: perda econômica e perda de eficiência. No front econômico, quando as defesas são inconsistentes, manuais ou facilmente contornáveis, os atacantes podem operar em escala com risco limitado. Quando as defesas aumentam o custo e a complexidade dos ataques além do retorno esperado, os adversários mudam de alvo.

O segundo custo, a perda de eficiência, vai além da perda monetária: inclui tensão operacional, aumento da fricção e rotatividade do cliente e desvantagem competitiva. O valor de $1 milhão em perdas anuais relatadas pelas empresas, juntamente com os retrocessos operacionais que essas empresas enfrentam quando atacadas, deve ser um claro chamado à ação.

A presença crescente da IA é inevitável. As empresas precisam ajustar suas arquiteturas de segurança para um mundo onde os fraudadores são persistentes, adaptáveis e implacáveis, com uma miríade de ferramentas de IA à sua disposição.

As empresas que investem em defesas baseadas em dados em tempo real projetadas para adversários automatizados e realidades de privacidade modernas estão melhor posicionadas para restaurar a confiança em seus ecossistemas digitais.