Num mundo onde a cibersegurança depende cada vez mais de tecnologia avançada, há um elemento silencioso que continua a ser determinante, mas raramente discutido: a intuição humana.
A defesa de sistemas digitais assenta hoje em ferramentas como SIEMs (Security Information and Event Management), que recolhem e cruzam eventos para identificar ameaças, e em mecanismos de deteção de anomalias baseados em inteligência artificial, capazes de alertar para comportamentos fora do padrão. Contudo, estas soluções, por muito poderosas que sejam, partem sempre do que já foi definido como suspeito.
A intuição, por outro lado, entra em ação quando nada parece errado, mas o analista sente que algo não encaixa. Tal como um polícia experiente que observa alguém a atravessar a rua, sem fazer nada de ilegal, mas cuja postura ou hesitação lhe levanta suspeitas, também o profissional de segurança digital, com o tempo, aprende a reconhecer padrões invisíveis ou, melhor dizendo, a perceber quando um padrão é demasiado perfeito.
Intuição em contexto: O que é e como se forma?
Neste contexto, a intuição não é superstição nem um palpite. É um processo mental baseado em conhecimento implícito, um tipo de saber que não está sempre verbalizado, mas que foi sendo construído através da observação constante, da vivência de incidentes e da exposição a situações ambíguas.
Podemos compará-la à perceção de quem conhece bem uma casa e, ao entrar, repara que algo está subtilmente diferente. Uma janela está ligeiramente entreaberta quando deveria estar fechada. A luz está apagada, mas há um cheiro fora do habitual. Não é um detalhe evidente, é uma dissonância subtil, que só alguém com experiência naquele espaço consegue captar. Na cibersegurança, essa mesma sensibilidade pode ser o que separa a normalidade aparente da presença de um intruso discreto.
Essa percepção pode ser determinante para detectar, por exemplo, um acesso persistente, uma movimentação lateral ou uma exfiltração silenciosa.
Um acesso persistente ocorre quando um atacante consegue manter-se dentro de um sistema durante dias ou até semanas sem ser detetado. É como se alguém conseguisse entrar num edifício com um cartão legítimo e, sem levantar suspeitas, permanecesse escondido numa sala pouco utilizada, observando discretamente tudo o que se passa.
Movimentação lateral descreve a progressão do atacante dentro da rede, à procura de alvos mais valiosos. Pode imaginar-se como um intruso que, após entrar pela cozinha, se desloca silenciosamente pela casa, abrindo portas interiores com chaves encontradas dentro da própria habitação, até chegar ao cofre.
Já a exfiltração de dados consiste na extração de informação sensível para fora da organização, muitas vezes de forma lenta e impercetível. É como se, todos os dias, alguém saísse com uma folha de papel escondida no bolso. Nenhuma em particular causaria alarme. Mas, ao fim de algum tempo, o arquivo estaria vazio.
Porque falham os sistemas automáticos no que parece normal
Grande parte das ferramentas modernas de deteção está orientada para identificar anomalias. Um IDS (sistema de deteção de intrusões) ou uma solução de machine learning procura desvios estatísticos, como tráfego fora do habitual, alterações súbitas no comportamento dos utilizadores ou modificações inesperadas em ficheiros. No entanto, se o atacante imitar com rigor os padrões normais da organização, pode passar completamente despercebido.
É neste ponto que a intuição humana se torna uma mais-valia. Imagine um colaborador que acede todos os dias às nove da manhã, trabalha até às cinco da tarde e utiliza sempre o mesmo equipamento. Um atacante que reproduza estes horários e rotinas parecerá, aos olhos de um sistema automático, perfeitamente legítimo. Mas um analista que conheça os hábitos reais dessa conta pode estranhar que a duração das sessões seja sempre exatamente igual ou que a navegação entre pastas siga um padrão demasiado uniforme. Tal como um detetive que suspeita de um crime por tudo parecer limpo demais, também o analista pode pressentir que há ali qualquer coisa que não está bem.
É esse desconforto, essa pequena dúvida, que pode iniciar uma investigação certeira.
Treinar a intuição: Pensar como um adversário!
A intuição não se ensina como se ensina o funcionamento de uma ferramenta. Mas pode, e deve, ser treinada, desde que o ambiente formativo esteja pensado para isso. A CybersecPro, a Academia Nacional de Cibersegurança e o Técnico+ são exemplos de instituições que têm vindo a desenvolver programas com base em cenários reais, desafiantes e imprevisíveis, onde os formandos são confrontados com situações em que não há respostas óbvias nem indicadores evidentes. A aprendizagem passa por interpretar o contexto, questionar o que parece certo, detetar padrões anómalos mesmo quando os dados estão dentro da norma.
Ao longo dos módulos, o foco não está apenas em identificar vulnerabilidades ou replicar técnicas conhecidas, mas em observar o comportamento do sistema, cruzar pequenos sinais e tomar decisões baseadas em indícios ténues. Esta abordagem leva os formandos a pensar como atacantes, a antecipar caminhos e a explorar pontos de falha não óbvios. Mais do que aplicar comandos ou seguir listas de verificação, treina-se o pensamento crítico e a atenção ao detalhe.
Este tipo de preparação torna-se essencial quando se pretende formar profissionais que estejam realmente prontos para defender uma organização num ambiente onde a normalidade pode ser o maior disfarce de uma ameaça.
Exemplo prático: Quando o alerta foi não haver alerta.
Num dos exercícios conduzidos num cenário simulado, foi construída uma rede empresarial com utilizadores, tráfego, dispositivos e acessos aparentemente legítimos. À superfície, tudo funcionava como previsto. As ferramentas automáticas não identificaram qualquer atividade suspeita. Os horários eram consistentes, as credenciais eram válidas e os sistemas estavam estáveis.
Contudo, um dos participantes observou um padrão demasiado regular. Havia uma ligação que se iniciava todos os dias à mesma hora, com a mesma duração, seguida de um novo acesso momentos depois. O comportamento, em si, não violava nenhuma política, mas era artificialmente perfeito.
Seguindo esse pressentimento, decidiu investigar. Aprofundou os registos, analisou os dispositivos e identificou que o acesso estava a ser feito por um script automatizado que usava credenciais comprometidas. O atacante encontrava-se dentro da rede, em silêncio, a mapear os recursos da organização.
Não houve alarmes. Não houve alertas. Houve apenas uma intuição, construída por exposição a contextos semelhantes, que gerou a dúvida certa. E com ela, a interrupção de uma intrusão que poderia ter evoluído.
A cibersegurança moderna exige mais do que ferramentas avançadas. Exige a capacidade de interpretar o que não está escrito, de reconhecer o que não se vê, de agir perante o que ainda não é evidência. A intuição, quando cultivada em contextos reais e exigentes, é a última linha de defesa. E, muitas vezes, a única que permanece quando tudo o resto parece normal.
