Inteligência artificial (Artificial Intelligence, AI) acelera ameaças cibernéticas industriais com ferramentas de ataque automatizadas

O panorama de cibersegurança industrial está a passar por uma transformação profunda à medida que a inteligência artificial (Artificial Intelligence, AI) deixa de ser apenas um risco teórico para se tornar uma força operacional potente nas mãos de atores maliciosos. Análises recentes da SANS e dados do ecrime.ch revelam que a AI está a impulsionar um aumento acentuado na velocidade e na escala dos ataques direcionados a ambientes de Tecnologia Operacional (Operational Technology, OT). Embora o "soldado digital autónomo" continue, em grande parte, um mito, a realidade é igualmente preocupante: a AI está a atuar como um multiplicador de força, reduzindo as barreiras de entrada e comprimindo o tempo necessário para reconhecimento, phishing e geração de exploits.

De acordo com um novo relatório publicado em 1 de fevereiro de 2026, a integração de ferramentas de AI no arsenal dos atacantes desafiou fundamentalmente os paradigmas tradicionais de defesa. Profissionais de segurança já não enfrentam apenas a engenhosidade humana, mas adversários humanos potenciados por automação à velocidade das máquinas. Essa mudança é particularmente evidente no aumento de incidentes de ransomware e no uso sofisticado de Modelos de Linguagem de Grande Porte (Large Language Models, LLMs) para contornar protocolos de segurança estabelecidos.

O Arsenal Automatizado: Velocidade e Escala em Ataques à Tecnologia Operacional

O papel principal da AI no atual panorama de ameaças não é substituir atacantes humanos, mas acelerar os seus fluxos de trabalho. A análise da SANS destaca que atores de ameaça estão a aproveitar a AI para automatizar fases laboriosas do ciclo de vida do ataque. Tarefas que anteriormente exigiam equipas especializadas e semanas de desenvolvimento — como criar código exploit funcional ou mapear topologias de rede — podem agora ser executadas em minutos.

Especialistas alertam que essa aceleração é mais perigosa durante as fases de acesso inicial e reconhecimento. Ferramentas de AI podem analisar grandes quantidades de inteligência de fontes abertas (open-source intelligence, OSINT) para gerar campanhas de spear-phishing altamente direcionadas que imitam o léxico técnico específico de operadores de subestações ou engenheiros de fábrica. Além disso, campanhas recentes demonstraram o uso de assistentes avançados de codificação para automatizar movimento lateral e roubo de credenciais uma vez que um ponto de apoio é estabelecido.

A tabela seguinte ilustra como a integração da AI está a alterar a dinâmica dos ciberataques industriais em comparação com métodos tradicionais:

Comparison of Traditional vs. AI-Accelerated Industrial Attacks

Estatísticas de Ransomware de 2025: Um Ano de Recordes

O impacto tangível dessas capacidades aceleradas reflete-se nas estatísticas marcantes de 2025. Dados do ecrime.ch indicam que atores de ransomware publicaram impressionantes 7.819 incidentes em sites de vazamento de dados ao longo do ano. Esta onda representa uma escalada significativa no volume de ataques, impulsionada em parte pelas eficiências obtidas através de ferramentas automatizadas.

Geograficamente, os Estados Unidos suportaram a maior parte dessas campanhas, respondendo por quase 4.000 dos incidentes reportados. Esse foco desproporcional sublinha a vulnerabilidade das infraestruturas críticas em nações industriais altamente digitalizadas. Outras economias ocidentais também enfrentaram ameaças substanciais, embora em volumes mais baixos comparativamente aos EUA.

Principais Nações Alvo em 2025:

• Estados Unidos: ~4.000 incidentes
• Canadá: >400 incidentes
• Alemanha: 292 incidentes
• Reino Unido: 248 incidentes
• Itália: 167 incidentes

O panorama de atores de ameaça permanece dominado por grupos de ransomware estabelecidos que adaptaram com sucesso as suas táticas para incorporar novas tecnologias. No topo da lista de perpetradores em 2025 estavam Qilin, Akira, Cl0p, PLAY, and SAFEPAY. Esses grupos demonstraram resiliência e adaptabilidade, utilizando AI não apenas para encriptação, mas para aprimorar o processo de extorsão ao identificar rapidamente dados de alto valor em redes comprometidas.

Estudos de Caso Reais: Para Além dos Riscos Teóricos

A mudança para ameaças impulsionadas por AI é suportada por exemplos validados observados em ambiente real. Paul Lukoskie, Senior Director of Threat Intelligence na Dragos, destacou campanhas específicas designadas GTG-2002 and GTG-1002. Nesses incidentes, avaliou-se que os atacantes utilizaram o Claude Code da Anthropic para automatizar múltiplas camadas da intrusão. Isso incluiu reconhecimento, varredura de vulnerabilidades e otimização de caminhos de ataque, demonstrando como ferramentas de AI comercialmente disponíveis estão a ser reaproveitadas para fins maliciosos.

Fernando Guerrero Bautista, um especialista em segurança OT na Airbus Protect, observou que a AI está atualmente a funcionar como um "multiplicador de força técnica sofisticado". Ele enfatizou que a AI permite aos atacantes reverter a engenharia de protocolos industriais proprietários com rapidez sem precedentes. Esta capacidade é particularmente perigosa em ambientes de Tecnologia Operacional, onde a segurança muitas vezes depende de "segurança por obscuridade" — a suposição de que os atacantes carecem do conhecimento de nicho para manipular controladores industriais específicos. A AI anula efetivamente essa defesa ao fornecer acesso instantâneo a especificações técnicas e documentação de protocolos.

A Mudança para a Degradação Operacional Sutil

Enquanto eventos catastróficos como apagões atraem as manchetes, uma tendência mais insidiosa está a emergir. Steve Mustard, ISA Fellow, alerta que a AI está a possibilitar ataques focados na "degradação operacional sutil e persistente". Em vez de disparar alarmes imediatos com uma perturbação massiva, esses ataques assistidos por AI visam reduzir ligeiramente a eficiência, aumentar o desgaste das máquinas ou manipular margens de qualidade.

Essas manipulações subtis são concebidas para evadir alarmes tradicionais de sistemas de controlo, que estão calibrados para detectar desvios significativos. Ao operar dentro das margens de erro, os atacantes podem causar danos económicos a longo prazo e desgaste de equipamentos que imitam envelhecimento normal ou problemas de manutenção. Esta abordagem de "gota lenta" cria confusão, complica a resolução de problemas e mina a confiança na fiabilidade das infraestruturas críticas.

O Dilema da Defesa: Por Que o Zero Trust Não é Suficiente

Em resposta a estas ameaças em evolução, muitas organizações estão a recorrer a arquiteturas Zero Trust. Embora princípios como micro-segmentation e acesso com privilégio mínimo sejam vitais, especialistas argumentam que eles são insuficientes por si só para deter adversários adaptativos impulsionados por AI.

O principal desafio reside na natureza dos ambientes de Tecnologia Operacional, que frequentemente dependem de sistemas legados e protocolos proprietários (como Modbus) que carecem de suporte embutido para autenticação e encriptação modernas. Implementar políticas rigorosas de Zero Trust também pode conflitar com requisitos de segurança e disponibilidade, potencialmente introduzindo latência ou bloqueando comandos críticos durante uma emergência.

Além disso, atacantes assistidos por AI estão a explorar a "lacuna de contexto" ("Context Gap") entre equipas de segurança de TI e operadores de OT. Analistas de segurança podem ver pacotes de dados mas não conseguem compreender as implicações físicas de um comando específico, enquanto operadores de fábrica entendem a física mas podem não reconhecer uma anomalia cibernética disfarçada como uma flutuação de processo. A AI explora esse vácuo, escondendo a sua atividade na costura onde a segurança digital termina e a engenharia física começa.

Redefinindo Resiliência para a Era da AI

À medida que o panorama de ameaças evolui, a definição de resiliência nos setores industriais também deve mudar. O consenso entre líderes da indústria é que a prevenção isolada já não é uma estratégia viável. Em vez disso, a resiliência está a ser redefinida como "Degradação Graciosa" — a capacidade de manter funções essenciais e capacidades de "black start" mesmo quando a camada digital está comprometida.

Esta abordagem exige um retorno aos fundamentos da engenharia. Pressupõe que o perímetro digital será violado e assegura que os operadores humanos mantenham a capacidade de anular manualmente sistemas "inteligentes" para gerir com segurança a rede ou a fábrica.

Estratégias-chave para Tornar a Defesa OT à Prova do Futuro:

• Humano no laço (Human-ON-the-loop): Estruturas de governação devem permitir que sistemas de segurança automatizados entrem em estados seguros determinísticos sem aguardar autorização humana, enquanto os humanos supervisionam a recuperação.
• Governação Unificada: Estabelecer direitos de decisão claros entre equipas de TI e OT antes de ocorrer um incidente é crítico para fechar a lacuna de responsabilização.
• AI para Defesa: Utilizar a AI para melhorar a compreensão situacional, não apenas a deteção de ameaças. A AI pode ajudar os defensores a processar enormes quantidades de telemetria para entender a "física" de um ataque, contrariando a vantagem do adversário.

O setor industrial encontra-se num ponto crítico. A integração da AI nas ameaças cibernéticas comprimU o cronograma de ataque e expandiu a superfície de potenciais exploits. Defender-se contra isto requer não apenas novas ferramentas, mas uma mudança fundamental de mentalidade — passar da dependência na segurança de perímetro para uma estratégia de resiliência, redundância manual e aprendizagem contínua assistida por AI.