Em 2024, pudemos ser testemunhas das diferentes tendências que marcaram o ano. Observamos o crescimento do malware as a service, que facilitou a implementação de ataques em grande escala, e, por outro lado, o ransomware continuou sendo uma das ameaças mais preocupantes para empresas e órgãos governamentais, assim como em anos anteriores. Também observamos o uso do Telegram por cibercriminosos.

A partir deste contexto e considerando os novos avanços tecnológicos e implementações observados durante 2024, neste post, o Laboratório de Pesquisa da ESET América Latina apresenta as possíveis tendências que serão centrais no cenário da cibersegurança para o ano de 2025.

Em resumo, no próximo ano, teorizamos que será marcado pela crescente necessidade de proteção dos sistemas OT (Tecnologia Operacional), essenciais para infraestruturas críticas. Além disso, o uso malicioso da IA generativa apresentará novas ameaças. Essas questões estarão ligadas a desafios legais e éticos, o que demanda regulamentos mais claros e eficazes.

Usos da IA Generativa

A IA generativa é, talvez, a forma de inteligência artificial mais implementada atualmente, destacando-se por sua capacidade de gerar conteúdos como textos, imagens, vídeos, músicas, vozes, entre outros. Isso permite melhorar a criatividade e a eficiência em diversos setores. No entanto, os cibercriminosos também exploram essa tecnologia para fins maliciosos, como a criação de deepfakes e a automação e aperfeiçoamento de ataques cibernéticos.

Os aplicativos baseados em IA generativa deixaram de ser exclusivas de ambientes técnicos e passaram a estar acessíveis de forma aberta, muitas vezes gratuita, para qualquer usuário que possua um dispositivo inteligente.

Por meio desse tipo de IA, também é possível acessar algoritmos de código aberto, adaptá-los, modificá-los e utilizá-los para diferentes finalidades. A capacidade de automatizar tarefas, gerar ou aperfeiçoar códigos maliciosos, planejar campanhas, entre outros recursos, torna essa tecnologia interessante para cibercriminosos, incluindo os menos experientes.

Recentemente, a OpenAI, empresa por trás do ChatGPT, publicou o relatório Influence and Cyber Operations: an Update, detalhando como diversos cibercriminosos têm usado seus modelos de IA para executar tarefas em fases intermediárias de ataques cibernéticos — após adquirirem algumas ferramentas básicas, mas antes de lançarem ataques, como campanhas de phishing ou distribuição de malware por diferentes meios.

No mesmo relatório, a empresa identifica que diversos grupos APT (Ameaças Persistentes Avançadas) têm utilizado essa tecnologia para tarefas como depuração de código malicioso, pesquisa de vulnerabilidades críticas, aperfeiçoamento de campanhas de phishing, geração de imagens e comentários falsos, entre outras atividades.

Consequentemente, para 2025, podemos esperar a continuidade do uso da IA generativa para aprimorar campanhas que comecem com engenharia social; o uso de algoritmos para o desenvolvimento de códigos maliciosos; o possível ataque a aplicativos de empresas que utilizem algoritmos de IA de código aberto e, naturalmente, a sofisticação de deepfakes e sua possível interação com a realidade virtual.

Desafios Legais e Éticos da IA

Com o crescimento da IA generativa e seu potencial uso malicioso, surgem desafios legais e éticos que, em grande parte, ainda não foram adequadamente tratados. Quem é responsável pelos atos cometidos pela IA? Quais limites devem ser impostos ao seu desenvolvimento? Que órgão seria competente para regulamentar e julgar essas questões?

Atualmente, existem poucas normas internacionais que abordem os problemas emergentes relacionados ao uso da IA, e as regulamentações existentes muitas vezes se mostram insuficientes diante do rápido avanço dessa tecnologia.

Entre as normas mais relevantes, destaca-se a Lei de IA da União Europeia (vigente desde 2023), que busca garantir ética e transparência, além de promover um desenvolvimento seguro e a proteção dos direitos humanos. Essa legislação adota uma abordagem baseada em riscos, classificando os algoritmos conforme seu nível de perigosidade.

Em paralelo, os Estados Unidos adotaram várias abordagens, incluindo uma Iniciativa Nacional de IA, uma Ordem Executiva para o uso seguro e confiável dessa tecnologia e um projeto de Carta de Direitos da IA, atualmente em tramitação.

No Brasil, está em processo de aprovação um marco regulatório da inteligência artificial. Entre outros países da América Latina, porém, não houve grandes avanços durante 2024. A maioria dos países possui apenas decretos relacionados ao tema, com exceção do Peru, que conta com uma lei específica. Recentemente, o Parlamento Latino-Americano e Caribenho propôs uma Lei Modelo, que pode servir de inspiração para legislações nacionais futuras.

Em 2025, é provável que haja uma fiscalização mais rigorosa sobre algoritmos e modelos de IA para garantir transparência e explicabilidade — ou seja, que suas decisões possam ser compreendidas pelas pessoas. Isso deverá estar alinhado à proteção de dados para assegurar a privacidade no uso da IA.

Também esperamos avanços na busca por soluções para mitigar prejuízos causados pela IA e a promoção de uma abordagem ética no uso e desenvolvimento dessa tecnologia por meio de regulamentações. Além disso, continuarão os progressos nas normas de cibersegurança aplicadas ao tema e no fortalecimento da cooperação internacional.

Sistemas de Controle Industrial ou OT (Tecnologia Operacional)

Os sistemas OT são dispositivos e sistemas digitais utilizados para controlar processos industriais e físicos em setores como energia, manufatura, água e gás, entre outros. Esses sistemas gerenciam equipamentos como PLCs (Controladores Lógicos Programáveis) e SCADA (Sistemas de Controle Supervisório e Aquisição de Dados), cuja principal função é a automação de processos.

A digitalização e a conectividade desses sistemas os tornaram interessantes e vulneráveis a ataques cibernéticos. De fato, já foram detectados códigos maliciosos direcionados a esses sistemas, como o Aurora (um experimento do governo dos EUA que, pela primeira vez, demonstrou que um ataque cibernético poderia causar danos físicos a um gerador de energia) e o BlackEnergy e Industroyer (utilizados na Ucrânia para atacar sua rede elétrica), embora não sejam os únicos exemplos.

O NIST (Instituto Nacional de Padrões e Tecnologia, dos EUA) considera a segurança em sistemas OT um problema crescente e desenvolveu um guia que é regularmente atualizado para enfrentar esses desafios.

Em 2025, os sistemas OT serão cada vez mais relevantes no campo da cibersegurança por diversas razões, sendo a conectividade entre dispositivos OT e a enorme quantidade de dados que eles coletam algumas das mais importantes.

Além disso, muitos desses sistemas são essenciais para o funcionamento de infraestruturas críticas, o que os torna alvos atrativos para cibercriminosos, já que um ataque a essa tecnologia pode causar grandes prejuízos.

A crescente dependência desses sistemas reforça a necessidade urgente de protegê-los, tornando-os uma prioridade nas estratégias de cibersegurança.

Conclusão

Estas são as tendências que acreditamos serão centrais na cibersegurança para o próximo ano, em um cenário desafiador marcado pelo crescimento do uso da inteligência artificial generativa por parte do cibercrime. Isso exigirá a adaptação dos sistemas de defesa e o avanço em marcos legais que abordem as questões levantadas por essas tecnologias, até mesmo em seus usos legítimos e benéficos.

Além disso, os ataques a infraestruturas críticas continuarão sendo uma grande preocupação. Os sistemas OT serão o alvo principal, devido à sua interconexão e papel essencial em setores estratégicos. Fortalecer sua cibersegurança será uma prioridade, considerando sua vulnerabilidade comprovada em conflitos recentes, onde sua exploração teve consequências graves para as populações afetadas.