Com alta de ataques cibernéticos, mercado financeiro disputa contratação de hackers (mas do bem)

Profissional que protege sistemas tem vez em bancos e nas grandes empresas; veja o que é preciso fazer para ingressar na área

Martha Alves

Publicidade

O Brasil é o segundo país da América Latina mais sensível a ataques cibernéticos. Só em 2022 foram registrados 103,16 bilhões de tentativas de ataques no país, que fica atrás apenas do México, com 187 bilhões, segundo o FortiGuard Labs, laboratório de inteligência e análise de ameaças da Fortinet, empresa global de segurança cibernética.

Se de um lado há quem ataca, do outro há quem cria a proteção. No mercado financeiro, o profissional responsável por blindar os sistemas vem sendo muito demandado. Eles são denominados de ethical hackers ou popularmente conhecidos como hackers do bem.

Os hackers do bem são altamente qualificados em informática e atuam em conjunto com equipes de segurança cibernética de empresas e instituições financeiras buscando falhas nos sistemas para evitar os ataques dos crackers — que têm intenções maliciosas de explorar vulnerabilidades para roubar informações, cometer fraudes ou prejudicar a reputação das empresas. O termo cracker acabou não pegando no Brasil e eles passaram a ser chamados apenas de hacker.

Maximiliano Jacomo, docente do MBA em defesa e segurança cibernética da XP Educação, explica que os hackers do bem trabalham nas equipes de cibersegurança das empresas. Eles podem ser contratados diretamente pelas companhias e instituições financeiras, trabalhar em consultorias que prestam serviços de segurança da informação ou com programas de Bug Bounty, que pagam recompensa para hackers que encontram falhas e vulnerabilidades em sistemas.

Jacomo diz que o aumento dos crimes cibernéticos contribuíram muito com o crescimento da demanda por esses profissionais no mercado, sobretudo, no Brasil. O professor explica ainda que as empresas entenderam que gastar com segurança cibernética é um investimento e os hackers do bem passaram a ser cada vez mais procurados para ajudar a combater as ameaças cibernéticas. “O correto é você se antecipar, agir de forma proativa, implementar as medidas de proteção e ter na empresa um time de ethical hackers ou contratar uma empresa especializada para fazer testes para verificar a segurança.”

Na opinião de Jacomo, hoje o grande desafio do mercado financeiro é promover uma cultura de proteção de dados aos clientes. “Os criminosos sabem que é mais fácil tentar invadir o computador do cliente para pegar informações financeiras do que no aplicativo do banco.”

Continua depois da publicidade

Carolina Sansão, diretora-adjunta de Inovação, Tecnologia e Cyber da Febraban (Federação Brasileira de Bancos), afirma que os bancos investiram, em 2022, mais de R$ 35 bilhões em tecnologia e segurança cibernética e têm internamente ferramentas que rastreiam comunidades na deep web — zona da
internet não rastreada por buscadores — que estejam planejando ataques. “Temos uma comunidade que investiga possíveis ataques e as questões disso relacionadas ao mercado financeiro. A gente se fala muito rápido quando vê que pode ter uma ameaça ao mercado financeiro nacional.”

A diretora-adjunta da Febraban admite, sem citar números, que as tentativas sem sucesso de ataques aos bancos são diárias. “A efetividade dos ataques são pouquíssimas dentro do mercado financeiro. O que a gente percebeu é uma migração desses ataques para fornecedores no intuito de desmoralizar uma prestação de serviço do banco”, diz, acrescentando que a entidade criou um laboratório de segurança cibernética que disponibiliza treinamento aos profissionais dos 120 bancos associados.

Um desses casos de ataque a fornecedores de bancos aconteceu em 2021 com a Atento, empresa do segmento de call center que atende corporações de telecomunicações, bancos, seguradoras, saúde e varejo. Os hackers tiveram acesso ao sistema e sequestraram dados. Por medida de segurança, na época, a Atento interrompeu as operações por algumas horas até resolver o problema.

Continua depois da publicidade

Procurada pelo InfoMoney, a Atento informou que reforçou as medidas de proteção, detecção e reparação de segurança cibernética. Entre as iniciativas adotadas estão a assinatura de contratos com provedores de segurança cibernética de alto nível, atuação rigorosa junto a grupos de defesa e agências para melhorar o alerta precoce e a preparação para ameaças. “Temos um red team [hackers que testam vulnerabilidades] com profissionais em diversos países. Com o trabalho que eles têm feito muitas vulnerabilidades foram corrigidas e o nível de segurança da Atento subiu nos últimos anos.”

‘Hacker do bem’ nos bancos

O C6 Bank é uma das instituições financeiras que reforçam a segurança com hackers do bem nas equipes de cibersegurança para descobrir falhas no sistema e evitar tentativas de ataques, invasões e sequestro de dados.

A equipe interna de hackers do banco está dividida em dois times: red team, que simula os ataques, e o blue team, que faz a defesa. “Na verdade, é um jogo de ataque e defesa constante e isso é muito frutífero para o time de segurança e para a proteção da empresa em si. Você está sempre melhorando os seus controles e proteções porque está constantemente testando”, diz José Luiz Santana, head de cibersegurança do C6.

Continua depois da publicidade

O banco também tem contrato com empresas externas de consultoria e uma plataforma estrangeira de recompensas para os hackers fazerem testes de invasão no sistema. “Tenho ethical hackers no mundo inteiro que podem encontrar uma falha ou vulnerabilidade e vou pagar uma recompensa se eles
encontrarem”, diz Santana.

Resiliência cibernética tem sido debatida com a alta liderança das empresas
Resiliência cibernética trata da forma como as empresas se antecipam aos ataques hackers. Foto: Pixabay

Possibilidades de trabalho

Os empregadores mais comuns dos hackers do bem são as empresas do mercado financeiro, bancos, consultorias de segurança digital e programas de recompensa Bug Bounty (aquelas com empresas cadastradas que pagam prêmios aos profissionais que identificam falhas nos sistemas). Parte dessas companhias não exige formação universitária aos hackers e todas valorizam o autodidatismo.

José Luiz Santana, head de cibersegurança do C6, diz que ter formação superior técnica voltada para ciências da computação ou engenharia é importante, mas isso não é um fator determinante para a contratação. Ele conta que acabou de admitir um jovem de apenas 18 anos. “Tem gente aqui que não tem faculdade, mas é um prodígio. O conhecimento de cibersegurança você vai construir sendo autodidata.”

Continua depois da publicidade

Sobre oportunidades de trabalho para o hacker, Santana avalia que quanto mais digital o mundo fica mais as indústrias e as empresas de um amplo espectro de segmentos vão investir em cibersegurança. “Os hackers que protegem ainda têm muita oportunidade de trabalho nos bancos porque são as empresas mais maduras em cibersegurança.”

Outra oportunidade de trabalho para o profissional é na área de recompensas pagas por empresas para a descoberta de falhas em sistemas. No Brasil, a plataforma BugHunt conecta mais de 25 empresas de diversos segmentos aos 17 mil hackers autônomos cadastrados.

As empresas anunciam recompensas na plataforma para os hackers descobrirem falhas em sistemas. O primeiro que descobre o problema recebe o prêmio em dinheiro. “Eu tenho mais de um hacker [simulando invasões]. É uma corrida para ver quem acha a falha primeiro”, afirma Caio.

Continua depois da publicidade

No último ano, os hackers cadastrados na plataforma produziram mais de 1.500 relatórios, o que gerou uma economia superior a R$ 15 milhões em custos a longo prazo para as empresas contratantes. Segundo a BugHunt, a maior recompensa paga a um hacker foi de R$ 15 mil e o tempo recorde de identificação foi de 8 minutos após a abertura do desafio.

A plataforma diz que registrou crescimento de 140% no último ano intermediando a relação entre hackers e empresas. Bruno conta que sobram vagas para esses profissionais no mercado e que toda semana ao menos duas empresas pedem indicação de hackers para contratar como funcionário.

“Todas as empresas, independentemente do segmento e do tamanho, algum dia vão criar um programa de Bug Bounty [identificação antecipada de brechas de cibersegurança]. A gente entende que esse é um caminho sem volta”, afirma Bruno Telles.

Importância da malícia

Felipe Balestra, especialista em segurança digital, emprega 35 hackers éticos em sua empresa de consultoria de segurança da informação, a Pride Security.  Eles realizam ataques a sistemas de clientes para analisar desde as falhas de segurança em sites ou aplicativos até um caixa eletrônico em uma agência bancária.

Os profissionais trabalham remotamente, mas, dependendo do perfil do cliente, precisam estar presencialmente no local para simular um ataque ao sistema ou verificar se funcionários venderam dados. Os profissionais prestam esse tipo de serviço a supermercados, bancos e empresas de energia e gasodutos.

“O inimigo não é só externo, ele pode estar dentro da empresa. Hoje em dia tem grupo que anuncia na deep web que paga R$ 100 mil para [o funcionário] dar um acesso na empresa”, alerta o especialista em segurança digital.

Para Balestra, um hacker não precisa ter formação superior para ingressar na área de segurança cibernética em consultorias ou plataformas de recompensa. Basta ter conhecimento em informática e das ferramentas de defesa. “As ferramentas evoluem rápido nos dois lados [defesa e ataque] e se o hacker ficar parado sem se atualizar fica defasado.”

A dica do especialista de segurança para quem tem interesse em ingressar na profissão de hacker ético é fugir dos cursos de cibersegurança que simulam o ambiente de uma empresa. Segundo ele, na prática, esse aprendizado não vai funcionar no ambiente real porque as informações são ultrapassadas. “Os
melhores ambientes para se atualizar são em fóruns da internet, blogs, papers e listas de e-mail porque estão por dentro das novidades que estão surgindo.”

Já para se dar bem na profissão, Balestra diz que, além do conhecimento técnico para executar e pensar as possibilidades, o hacker precisa ser curioso para elaborar as possibilidades de fraudes e ataques aos sistemas. “Falando o português bem claro o hacker tem que ter maldade para olhar uma [situação] e perceber que vai dar merda. Tem gente que é muito bonzinho e não consegue pensar nas maldades.”

Guilhermo Gregório, 35, é hacker do bem

Cotidiano de um hacker

Como a maioria dos hackers, Guilhermo Gregório descobriu que conseguia encontrar falhas em sistemas quando ainda era adolescente. O aprendizado inicial foi realizado, diz ele, em fóruns sobre informática. Naquela época, não havia espaço e nem consciência para os hackers do bem.

Aos 35 anos, Gregório já é considerado um veterano na área. Trabalha de forma autônoma para um site de recompensa. Sua especialidade é o sistema bancário — segmento que mais investe em cibersegurança.

O hacker diz que trabalha em home office e procura cumprir uma jornada diária de dez horas por dia. Ele afirma que o salário do hacker vai depender muito da capacidade técnica em descobrir as falhas antes dos concorrentes para conquistar a recompensa oferecida pelas empresas. “Quanto mais proteção você consegue trazer para a empresa, maior é a remuneração”, diz ele, mas sem revelar o patamar salarial que tem no momento.

Ele explica que não basta apenas informar a empresa que dá para invadir o sistema. O profissional precisa gerar um relatório para cada falha técnica encontrada, porque pode ajudar a localizar outras. “Ele tem de explicar o máximo de detalhes possíveis no relatório para que fique claro como resolver a falha e qual o impacto de um ataque [hacker] mostrando o passo a passo.”

Além da longa jornada de trabalho, o hacker revela que ainda reserva um  tempo do dia para evoluir as técnicas próprias de invasão únicas e atualizar os conhecimentos sobre os inúmeros sistemas de proteção das empresas para poder simular cenários de invasão. “O que fazemos é tentar trazer as falhas mais modernas que provavelmente a empresa não vai descobrir hoje, mas conseguimos ler e avisar para corrigir [o problema].”

Gregório afirma que a experiência e a criticidade do nível de falhas encontradas pelo hacker contam mais no currículo do que a formação acadêmica nesta área. “Hackers com mais de três anos de experiência dificilmente ficarão desempregados porque a oferta de trabalho é grande. O difícil é escolher a empresa que quer trabalhar entre tantas opções.”

Martha Alves

Jornalista e Mestre em Comunicação. Foi repórter nos jornais Folha de S. Paulo e Agora São Paulo e acumula experiência em comunicação corporativa