A cibersegurança segue como uma das principais preocupações para governos, empresas e indivíduos no mundo conectado. Em 2024, ataques como ransomware, o uso de Malware as a Service e a adoção de plataformas como Telegram para atividades criminosas moldaram o cenário de ameaças digitais. Para 2025, especialistas do Laboratório de Pesquisa da ESET, empresa especialista em detecção proativa de ameaças, projetam que tecnologias como inteligência artificial generativa e sistemas de tecnologia operacional (OT) estarão no centro das discussões, demandando novos esforços de proteção e regulamentação.
“Acreditamos que 2025 será marcado pela crescente necessidade de proteção dos sistemas OT (Tecnologia Operacional), essenciais para infraestruturas críticas. Além disso, o uso malicioso da IA generativa tende a ser cada vez mais presente no desenvolvimento de novas ameaças. Muitas questões relacionadas a estes pontos possuem desafios legais e éticos e as regulações precisarão se adequar para acompanhar estas mudanças”, afirma Daniel Barbosa, pesquisador de segurança da ESET Brasil.
Usos da IA Generativa
A Inteligência Artificial Generativa é amplamente utilizada em diferentes indústrias, destacando-se por sua capacidade de criar conteúdo, como textos, imagens, vídeos, músicas e até vozes. Essa tecnologia tem contribuído para melhorar a criatividade e a eficiência em diversos setores. No entanto, segundo a ESET, os cibercriminosos também a utilizam para fins maliciosos, como a criação de deepfakes e a automação de ataques cibernéticos.
Além disso, é possível acessar algoritmos de código aberto, adaptá-los, modificá-los e utilizá-los para diferentes propósitos. A possibilidade de automatizar tarefas, criar ou aprimorar códigos maliciosos e planejar campanhas torna essa tecnologia atraente até mesmo para criminosos menos experientes.
De acordo com o relatório Influence and Cyber Operations: an Update, publicado pela OpenAI, empresa responsável pelo ChatGPT, cibercriminosos têm utilizado modelos de inteligência artificial para realizar tarefas em etapas intermediárias de ataques, como a depuração de códigos maliciosos, investigação de vulnerabilidades críticas, aprimoramento de phishing, criação de imagens e comentários falsos, entre outras.
“Podemos esperar para 2025 a continuidade do uso da IA generativa para melhorar ainda mais os ataques de engenharia social, desenvolvimento de códigos maliciosos, o possível abuso de aplicativos que utilizam algoritmos de IA de código aberto e, claro, a sofisticação de deepfakes e suas possíveis interações com a realidade virtual e a realidade aumentada”, acrescenta Barbosa.
Desafios legais e éticos da IA
Com o crescimento da IA generativa e seu potencial uso malicioso, surgem desafios legais e éticos que ainda não foram enfrentados adequadamente. Entre eles estão questões como quem é o responsável pelos atos da IA, quais limites devem ser impostos ao seu desenvolvimento e qual órgão seria competente para julgá-los.
Daniel Barbosa observa que a regulamentação internacional sobre o tema é incipiente, mas algumas iniciativas já se destacam, como o Ato de IA da União Europeia (em vigor desde 2023), que visa garantir ética, transparência e proteção de direitos humanos, abordando a IA com base em riscos e classificando algoritmos conforme sua periculosidade. Nos EUA, diretrizes voltadas para o uso seguro dessa tecnologia têm avançado, como o decreto nacional assinado em 2023.
Na América Latina, enquanto a maioria dos países conta com decretos pontuais sobre IA, apenas o Peru possui uma legislação específica. O Parlatino (Parlamento Latino-americano e Caribenho), composto por comissões dos parlamentos dos países da região, propôs em abril um modelo de lei que pode inspirar legislações regionais.
“Para 2025, esperamos uma análise mais rigorosa sobre algoritmos e modelos de IA, com foco em garantir transparência e clareza, assegurando que suas decisões possam ser entendidas pelas pessoas. Isso deve estar alinhado à proteção de dados e à privacidade no uso da IA, além de avanços em regulamentações de cibersegurança e cooperação internacional”, afirma o pesquisador da ESET Brasil.
Sistemas de Controle Industrial ou Tecnologia Operacional (OT)
Os sistemas de tecnologia operacional (OT), usados no controle de processos industriais e infraestruturas críticas, como energia e abastecimento de água, também devem receber maior atenção no próximo ano. Eles gerenciam equipamentos como PLCs (Programmable Logic Controllers) e SCADA (Supervisory Control and Data Acquisition Systems), sendo sua principal função a automação de processos.
A digitalização e conectividade desses sistemas os tornam alvos vulneráveis para ciberataques. O impacto dos códigos maliciosos sobre essas estruturas já foi observado em ocasiões como no “Aurora”, um teste realizado pelo governo dos EUA que mostrou que um ataque cibernético pode causar danos físicos a geradores de energia, e no uso dos malwares “clackenergy” e “Industroyer” na Ucrânia, deixando o país no escuro. O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST) considera a segurança desses sistemas uma prioridade e atualiza regularmente suas diretrizes de proteção.
Em 2025, a segurança em OT será ainda mais relevante devido à conectividade dos dispositivos, à grande quantidade de dados coletados e à importância desses sistemas para infraestruturas críticas. Ataques a essa tecnologia podem causar grandes danos, tornando-a atrativa para criminosos.
“Essas são as tendências que acreditamos que dominarão a cibersegurança no próximo ano: um cenário desafiador com o aumento do uso malicioso da IA generativa, demandando adaptação de defesas e avanços em marcos legais. Além disso, ataques a infraestruturas críticas permanecerão como uma preocupação central, exigindo maior proteção de sistemas OT, dada sua interconexão e papel essencial em setores estratégicos”, conclui Daniel Barbosa, pesquisador de segurança da ESET Brasil.
