Um desenvolvedor recebe um alerta de falha no pipeline e faz o que faria em qualquer outro dia: revisa o processo, autentica o acesso e segue o fluxo. Minutos depois, sem perceber, abriu acesso para um invasor no ambiente de desenvolvimento.
Esse tipo de situação deixou de ser pontual — e revela uma mudança mais profunda. O uso indevido de credenciais tem acompanhado a evolução dos ataques cibernéticos e já aparece com frequência em incidentes relevantes. O relatório Cost of a Data Breach, da IBM, destaca a importância de fortalecer controles de identidade e acesso para reduzir o risco de abuso de credenciais.
Esse cenário ganhou evidência recente no Brasil. Em 2025, um ataque a uma empresa parceira do Banco Central resultou em desvios milionários após o uso indevido de credenciais legítimas. O caso não envolveu falhas na infraestrutura do Banco Central, mas sim o comprometimento de acessos.
O atacante não precisa mais explorar vulnerabilidades. É mais simples explorar identidades válidas e credenciais legítimas, operando sem levantar suspeitas e, muitas vezes, realizando movimentação lateral entre sistemas. E os pipelines de desenvolvimento tem se mostrado um campo muito fértil para essas explorações.
O novo perímetro deixou de ser técnico
Durante muito tempo, a segurança foi tratada como um problema de código e infraestrutura. Falhas eram corrigidas, sistemas atualizados e o foco estava na superfície técnica.
Esse modelo ainda é necessário, mas já não é suficiente. O perímetro mudou e hoje está diretamente ligado à gestão de identidades e acessos (IAM) e a quem interage com ambientes críticos.
Desenvolvedores concentram acessos sensíveis ao longo da operação, incluindo repositórios de código, pipelines de CI/CD, ambientes de teste e produção, chaves de API e configurações em nuvem. Quando uma dessas identidades é comprometida, o impacto deixa de ser pontual. O invasor passa a operar com credenciais válidas e se movimenta lateralmente, ampliando alcance sem necessariamente gerar alertas.
Ataques não exploram falhas, exploram contexto
Grande parte desses acessos não vem de técnicas sofisticadas, mas de abordagens que exploram o contexto de trabalho. O phishing direcionado a desenvolvedores segue essa lógica.
São mensagens que reproduzem a rotina, como convites para repositórios, notificações de versionamento ou alertas de falha em pipelines. Tudo parece legítimo porque replica fluxos reais de desenvolvimento.
Quando a interação acontece, o atacante não precisa contornar controles. Ele passa a operar com credenciais válidas dentro do fluxo esperado.
Isso reduz a capacidade de detecção, já que muitos controles ainda estão focados em identificar comportamentos anômalos e não o uso indevido de identidades legítimas.
A cadeia de software amplia o impacto
O risco cresce com a cadeia de suprimentos de software. Aplicações modernas dependem de bibliotecas open source, componentes de terceiros e integrações contínuas, ampliando a superfície de ataque.
Uma única dependência comprometida pode afetar diversas organizações ao mesmo tempo. Um pacote malicioso ou atualização adulterada pode inserir código nocivo diretamente na distribuição de aplicações, propagando o risco em escala.
O risco hoje está na interseção entre tecnologia, identidade e comportamento. Controles tradicionais continuam sendo fundamentais, mas não são suficientes para mitigar ataques que exploram credenciais legítimas dentro do fluxo normal de trabalho.
Proteger software agora é proteger acesso
Proteger o software passa por proteger o ambiente de desenvolvimento. Isso envolve reduzir privilégios excessivos, fortalecer políticas de gestão de identidade e acesso, monitorar padrões de uso de credenciais e adotar práticas contínuas de governança.
Também exige preparar desenvolvedores para reconhecer ataques que simulam o próprio fluxo de trabalho, um tipo de ameaça que não depende de vulnerabilidades técnicas, mas de contexto operacional.
Segurança começa nas pessoas que sustentam o código
O avanço do DevSecOps elevou o nível técnico da segurança, mas também evidenciou uma mudança de perspectiva. Software não é apenas código, é resultado de decisões humanas.
Desenvolvedores e equipes de engenharia fazem parte da base de confiança que sustenta a operação digital. Ignorar esse fator é manter aberta uma das superfícies de ataque mais eficientes hoje.
Proteger aplicações não é apenas corrigir vulnerabilidades. É proteger quem tem acesso direto a elas.
*Por Bruno Kaique, CTO da Beephish.
