O caso que circulou nas redes sociais sobre o Portal do SNS não é, na sua essência, uma história sobre falhas de infraestrutura. As credenciais de um médico foram comprometidas e usadas para aceder a registos de utentes em larga escala.
O sistema comportou-se como esperado, ao autenticar uma identidade aparentemente legítima. A vulnerabilidade estava na deteção de acesso indevido e do controlo de comportamento pós-autenticação.
Este padrão repete-se em setores regulados, PMEs com dezenas de colaboradores e organizações com processos de offboarding inexistentes. Para quem presta serviços de cibersegurança, o incidente do SNS é um exemplo a indicar e com o qual aprender.
Quando o acesso legítimo é o ataque
A distinção que importa aqui é técnica e comercialmente relevante: não existiu exploração de uma vulnerabilidade no sistema. O atacante autenticou-se com credenciais reais, obteve um token de sessão válido e navegou como se fosse o profissional de saúde.
Do ponto de vista dos logs de acesso, o comportamento era aparentemente legítimo. Esta é a razão pela qual os controlos tradicionais falham neste cenário. Uma firewall perimetral não filtra uma sessão autenticada. Um IDS (sistema de deteção de intrusão) baseado em assinaturas não deteta navegação dentro dos limites de acesso de um utilizador legítimo. E um SIEM sem contexto de comportamento terá dificuldade em distinguir o utilizador real de um atacante.
O que tornaria este ataque detetável mais cedo é precisamente o que falta na maioria das organizações que estudamos: saber, antes do uso, que as credenciais estão expostas. A janela entre exposição e exploração tipicamente é de semanas ou meses (tende a diminuir com exploração em massa e AI). É essa janela que a monitorização de credenciais procura fechar.
O ciclo de vida de uma credencial comprometida
Os mecanismos de roubo de credenciais mais prevalentes hoje em dia não são sofisticados no sentido clássico. Infostealers são distribuídos através de campanhas de phishing de baixo custo ou downloads de software comprometido, extraem cookies de sessão, passwords guardadas no browser e tokens de autenticação e enviam tudo para painéis de comando em segundos.
O profissional de saúde descarregou um software comprometido para manipular um PDF ou clicou num link de phishing, pode nem ter percebido que isso aconteceu. São exemplos de vetores possíveis de comprometimento. Os dados concretos sobre o que aconteceu não foram ainda confirmados publicamente.
A partir daí, as credenciais seguem um percurso previsível: são consolidadas em logs de infostealers, vendidas em marketplaces da dark web e eventualmente compradas por um atacante. O tempo médio entre a extração e o uso reportado em incidentes documentados pelo CNCS e pelo Verizon DBIR situa-se frequentemente acima dos 200 dias.
Durante esses dias, a organização não sabe que as credenciais estão expostas. O colaborador não sabe. E o prestador de serviços que gere a segurança também não sabe, a menos que tenha visibilidade sobre estas fontes.
O que a monitorização contínua muda para o prestador de serviços de IT
O IDWatch, oferta de monitorização de identidade da CyberInspect, cobre este gap. A lógica é simples na sua formulação, mas exige acesso sistemático a fontes que a maioria das organizações não tem capacidade de monitorizar por conta própria: repositórios de dados comprometidos, canais Telegram de trading de credenciais, logs de infostealers, dumps de bases de dados expostas e fóruns especializados.
Para um prestador de serviços que gere dezenas de clientes, a proposta de valor é direta. Em vez de aguardar que um incidente ocorra e depois fazer análise para perceber como aconteceu, passa a ter visibilidade antecipada sobre contas comprometidas, consegue notificar o cliente antes do uso, e pode acionar rotações de credenciais, revisão de sessões ativas e investigação de endpoint de forma proativa. Isto transforma a postura de segurança de reativa para preventiva.
Do ponto de vista comercial, a monitorização de credenciais é um serviço recorrente com custo de entrega baixo por cliente adicional e valor percebido alto. O cliente não consegue fazer isto por conta própria sem investimento desproporcionado. O prestador de serviços, com uma plataforma como a CyberInspect, consegue escalar para múltiplos clientes com esforço reduzido.
O problema de offboarding
O caso do SNS levanta uma outra questão: as credenciais comprometidas pertenciam, alegadamente, a um médico já sem funções na unidade de saúde. A conta continuava ativa e o acesso disponível. Este problema é estrutural e afeta qualquer organização com rotatividade de colaboradores, e sem processo de offboarding automatizado.
PMEs com dezenas de SaaS, portais de fornecedores, sistemas de acesso remoto e plataformas colaborativas acumulam contas órfãs, que raramente são identificadas antes de se tornarem um vetor de comprometimento.
A monitorização de credenciais não substitui um processo de identity lifecycle management bem estruturado, mas funciona como rede de segurança: quando uma conta que deveria estar inativa aparece em dados comprometidos, o sinal chega ao utilizador antes que o atacante a use.
