Neste episódio 314, falamos de Cyber Segurança com Paulo Caldeira e Gustavo Silva.

 

Episódio de 2/10/2025

 

Grupo de WhatsApp: https://w.marketingporidiotas.pt 

 

[Pontos Principais por IA]

 

Neste episódio especial do podcast "Marketing por Idiotas", o anfitrião Miguel Ron Vieira aborda um tema cada vez mais crítico para qualquer negócio: a cibersegurança. Para mergulhar neste universo complexo, convidou dois especialistas de áreas complementares: Paulo Caldeira, CISO (Chief Information Security Officer) da OBA, responsável pela defesa e conformidade de segurança, e Gustavo Silva, ex-membro da Ethiack, uma empresa especializada em "hacking ético" e testes de segurança ofensivos. A conversa desmistifica os principais ataques, explora as vulnerabilidades mais comuns e oferece conselhos práticos para proteger empresas de todas as dimensões.

 

O Elo Mais Fraco: O Fator Humano

Um dos pontos mais reforçados ao longo do episódio é que a maior vulnerabilidade de qualquer sistema de segurança é o ser humano. Paulo Caldeira resume de forma sucinta: "90% dos problemas estão entre o teclado e a cadeira". A maioria dos ataques bem-sucedidos não explora falhas tecnológicas complexas, mas sim a ingenuidade, a ganância ou a falta de atenção das pessoas.

• Exemplo Prático: Paulo partilha um exercício de phishing realizado na sua própria empresa, onde foi enviado um email a prometer 500€ às primeiras dez pessoas que clicassem num link. O resultado foi avassalador: a plataforma de monitorização "engasgou" com a quantidade de cliques e credenciais inseridas, provando como a promessa de uma recompensa fácil anula a prudência.

 

Principais Tipos de Ataque Explicados

O episódio explora vários vetores de ataque, desde os mais conhecidos aos mais recentes, impulsionados pela Inteligência Artificial.

• Ransomware: O ataque que paralisou a cadeia de clínicas dentárias mencionada no início. Consiste num software malicioso que encripta todos os ficheiros de um sistema. Os atacantes exigem depois um resgate (geralmente em criptomoeda) para devolver o acesso. Sem backups adequados, as empresas ficam reféns.


• Phishing e Engenharia Social: Esta é a arte de manipular pessoas em vez de computadores. Os exemplos são do dia a dia:
  
  
  
  • Emails falsos da CTT Express a pedir o pagamento de taxas alfandegárias.
  
  
  • Ataques direcionados a novos funcionários, onde os hackers usam informação do LinkedIn para se fazerem passar pelo CEO e solicitar transferências ou informações via WhatsApp.
  
  
  • O famoso vírus "I Love You" dos anos 2000, um dos precursores destes ataques em massa.
  
  
  
  


• A Evolução com IA (Deepfakes e Prompt Injection): A IA está a tornar estes ataques mais sofisticados e difíceis de detetar.
  
  
  
  • Deepfakes: Foi discutido o exemplo de um vídeo falso do CEO do YouTube, criado com IA, que foi enviado a influenciadores para os levar a uma página falsa e roubar as suas credenciais.
  
  
  • Prompt Injection: Uma nova técnica onde se manipula um chatbot (como o ChatGPT) com instruções escondidas para que ele ignore as suas regras de segurança e revele informações confidenciais ou execute código malicioso.
  
  
  
  


• Ataques de Supply Chain: Um ataque subtil mas devastador. Em vez de atacar uma empresa diretamente, os hackers exploram uma vulnerabilidade numa ferramenta ou biblioteca de software que essa empresa utiliza (e que milhares de outras também usam). O caso do "Log4j" é um exemplo clássico, onde uma falha num pequeno pedaço de código usado globalmente deixou inúmeros sistemas vulneráveis.

 

Estratégias de Defesa e Boas Práticas

Para combater estas ameaças, os especialistas recomendam uma abordagem em várias camadas:

1. Consciencialização e Formação: A primeira e mais importante linha de defesa. É crucial treinar todos os colaboradores a desconfiar de emails, links e pedidos inesperados. Como diz Paulo, a atitude deve ser "perguntar primeiro e disparar depois".


2. O Básico que Salva Vidas:
   
   
   
   • Passwords Fortes: Usar gestores de passwords para criar e armazenar palavras-passe complexas e únicas para cada serviço.
   
   
   • Autenticação de Dois Fatores (2FA): Ativar sempre esta camada extra de segurança, que exige um segundo código (gerado numa app ou enviado por SMS) para além da password.
   
   
   
   


3. Defesa Proativa (Para Empresas):
   
   
   
   • Testes de Penetração (Pen Tests): Contratar "hackers éticos" (como os da Ethiack) para atacar os próprios sistemas e descobrir vulnerabilidades antes que os verdadeiros criminosos o façam.
   
   
   • Programas de Bug Bounty: Criar programas que recompensam financeiramente quem encontrar e reportar falhas de segurança de forma responsável.
   
   
   • Backups Imutáveis: A solução mais eficaz contra ransomware. São cópias de segurança que, uma vez criadas, não podem ser alteradas ou encriptadas, garantindo que há sempre uma versão limpa para restaurar.
   
   
   
   


4. Ferramentas Essenciais: Ter um bom antivírus (o Windows Defender por si só não é suficiente) e uma firewall bem configurada é o mínimo indispensável.

 

A Realidade em Portugal: Um Problema Subestimado

Os números oficiais de ciberataques em Portugal (cerca de 2500 em 2023) são, segundo os convidados, apenas a "ponta do iceberg". Muitas PMEs são atacadas e nem se apercebem, ou, se se apercebem, não reportam devido à burocracia ou ao receio de danos reputacionais. A cibersegurança continua a ser vista como uma preocupação de grandes empresas, deixando as mais pequenas perigosamente expostas.

A conclusão é unânime: a segurança digital já não é um problema do departamento de TI, mas sim uma responsabilidade de todos. Exige um investimento contínuo em tecnologia, mas, acima de tudo, em formação e na criação de uma cultura de prudência e desconfiança. Num mundo onde a tecnologia avança a uma velocidade vertiginosa, a nossa melhor defesa continua a ser a mais antiga de todas: o pensamento crítico.

 

Sobre o Podcast Marketing por Idiotas

O podcast Marketing por Idiotas é um podcast sobre marketing em Portugal. Neste podcast semanal falamos sobre notícias, irritações e inquietações sobre marketing digital e analógico.

O podcast é apresentado pelos comentadores com lugar cativo o freelancer de marketing digital para ONGs Diogo Abrantes da Silva, o formador e consultor Frederico Carvalho e o CEO da pkina.com e funis.pt Miguel Rão Vieira.