Mito e o Mito do Zero: Por que os bancos precisam parar de perseguir uma lista de vulnerabilidades limpa

A tecnologia bancária foi construída como um edifício extenso e constantemente ocupado — projetado para escalabilidade, disponibilidade e uso contínuo. Nunca esteve destrancado.  

As portas tinham fechaduras, os corredores tinham câmeras e certas salas exigiam crachás e um acompanhante. Se uma porta fosse encontrada destrancada, havia um processo repetível para trancá-la.

Esse processo era frequentemente baseado em riscos. Quando uma correção não estava disponível, adotava-se uma abordagem metódica para aplicar controles compensatórios enquanto a remediação era implementada.  

Isso é disciplina bancária normal. E funcionou quando o ritmo das descobertas era humano.

O modelo de IA de ponta da Anthropic, Claude Mythos, mudou isso, revelando vulnerabilidades mais rapidamente do que qualquer processo de correção foi projetado para lidar e dando aos adversários uma janela de oportunidade para agir antes que as defesas possam fechá-la.

O velho acordo: encontre a fraqueza, corrija a fraqueza.

Durante a maior parte da última década, o acúmulo de vulnerabilidades foi gerenciado por meio de um processo padrão de aplicação de patches, controle de alterações e ciclo de validação, que até mesmo os órgãos reguladores passaram a aceitar.

Os órgãos reguladores reforçaram esse modelo com expectativas em torno da higiene cibernética, testes rigorosos e gerenciamento estrito de patches. O Departamento de Serviços Financeiros do Estado de Nova York (NYDFS), por exemplo, incorporou a correção de vulnerabilidades e o controle de mudanças diretamente em suas inspeções de segurança cibernética.

Mas, como qualquer pessoa que já passou por uma atualização de núcleo, uma janela de correção de fim de semana ou uma dependência legada frágil sabe, algumas portas podem ser fechadas rapidamente, enquanto outras exigem mais força e esforço.  

O fechamento sem preparação pode interromper o processamento da folha de pagamento, os processos de liquidação, os fluxos de trabalho de subscrição e o acesso do cliente. É exatamente isso que os programas de resiliência visam evitar.

As instituições sempre trabalharam com um acúmulo de riscos e vulnerabilidades. Para lidar com a situação, foi seguido um processo de gestão de riscos bem definido. O Mythos torna o backlog impossível de ignorar e torna o processo antigo obsoleto.

A nova realidade: a descoberta agora é realizada em velocidade mecânica.

Durante testes controlados, o Mythos Preview da Anthropic revelou de forma autônoma milhares de vulnerabilidades até então desconhecidas nos principais sistemas operacionais e navegadores. Muitos haviam existido sem serem detectados durante décadas.  

O que antes exigia equipes especializadas e longos ciclos de auditoria foi condensado em uma única etapa orientada por modelo.

Na teleconferência de resultados do JPMorgan Chase, o CEO Jamie Dimon descreveu a IA como uma faca de dois gumes. Ele disse que o Mythos demonstra que muitas outras vulnerabilidades precisam ser corrigidas.

Ele tem razão. Mas a questão mais importante é o que acontece com aqueles que não forem consertados a tempo.

O Relatório de Investigações de Violações de Dados da Verizon de 2026 mostra que os invasores normalmente conseguem explorar em massa vulnerabilidades recém-divulgadas em aproximadamente cinco dias. A remediação completa em setores regulamentados geralmente leva semanas a mais.  

A lacuna entre a descoberta e a correção sempre existiu. Mythos simplesmente tornou visíveis os dois lados dessa lacuna ao mesmo tempo.

Nos bancos, as portas estavam sempre lá. Agora eles são etiquetados, mapeados e explorados mais rapidamente do que o prédio pode ser reformado.

A pergunta mudou.

Durante anos, as conversas sobre vulnerabilidade foram encaradas como uma corrida: quão rápido você consegue corrigir?

Agora, as instituições que fazem a pergunta certa estão questionando algo mais operacional: se isso não for corrigido hoje à noite, até onde um invasor poderá se espalhar pela nossa rede?

É a diferença entre um modelo de segurança baseado na prevenção perfeita e um baseado em consequências limitadas. E isso se reflete na forma como os reguladores estão cada vez mais formulando suas expectativas.

A norma OSFI B-13, por exemplo, enfatiza os testes orientados por ameaças que refletem o mesmo instinto: contenção no mundo real.  

O Banco da Inglaterra foi categórico ao afirmar que o risco cibernético evolui juntamente com as defesas e não desaparece simplesmente. A resiliência precisa ser algo que você constrói, testa e renova.

As discussões sobre ameaças regulatórias estão convergindo para o mesmo ponto. A maioria dos programas de vulnerabilidade ainda não acompanhou essa evolução.

Por que “extremo, mas plausível” é o elo perdido.

Embora o acesso ao Mythos esteja atualmente controlado, isso não permanecerá assim por muito tempo.  

A IA de ponta irá alcançar e popularizar essa capacidade. Quando isso acontece, a assimetria se inverte permanentemente. Os atacantes poderão identificar e explorar vulnerabilidades mais rapidamente do que qualquer ciclo de atualização possa responder.

Isso significa que as instituições precisam parar de organizar sua postura de segurança em torno de uma linha de chegada que não existe mais.

O cenário para o qual os bancos estão se preparando agora é o de um invasor com inteligência artificial que se move por um ambiente bancário altamente interconectado — sistemas de pagamento, mecanismos de liquidação, canais de atendimento ao cliente e infraestrutura compartilhada — antes que as ferramentas de detecção sinalizem algo incomum. Isso faz com que a contenção da violação seja a única estratégia de segurança viável.

Os bancos já têm mais vantagens do que por vezes reconhecem:

• Teste de estresse DORA
• Simulações CBEST
• Planejamento de cenários

Essas estruturas existem precisamente porque os reguladores entendem que uma eventual violação de segurança faz parte do modelo de ameaça. A pergunta que eles estão fazendo é se você projetou seu ambiente para sobreviver a uma violação de segurança.

A mudança prática: da velocidade da mancha para o raio da explosão

A gestão de vulnerabilidades precisa de um segundo eixo.

O primeiro eixo é aquele que você já possui, incluindo gravidade, explorabilidade e criticidade do ativo. O segundo eixo é aquele que a maioria dos programas não possui: o potencial de movimento lateral.  

Se essa vulnerabilidade for explorada hoje à noite, o que um atacante poderá fazer a partir daqui? O que está a um pulo de distância? Dois?

Nem todas as vulnerabilidades têm a mesma probabilidade de ocorrência, e nem todas as vulnerabilidades têm o mesmo raio de impacto. Uma falha em uma camada de autenticação voltada para a internet em um sistema de pagamento central é categoricamente diferente de uma falha em um sistema de relatórios legado que não entra em produção há três anos.  

O risco é o caminho, não a vulnerabilidade.

As instituições que estão acertando nesse ponto não são necessariamente as que aplicam correções mais rapidamente, mas sim as que projetam seus sistemas de forma que as portas destrancadas se abram para corredores que não levam a lugar nenhum importante.

O que isso significa para os CISOs do setor bancário neste momento?

O mito é um espelho. Reflete uma paisagem que já existia, com milhares de vulnerabilidades, muitas delas antigas e silenciosamente toleradas. E pergunta se o seu programa foi desenvolvido para essa realidade.

A resposta é ser implacavelmente claro em duas coisas. É preciso saber quais vulnerabilidades, se exploradas, podem se tornar sistêmicas e quais controles arquitetônicos limitam o alcance desse problema, independentemente do status das correções.

Esse é o trabalho agora: contenção por meio do planejamento.

Quer saber mais sobre como a Mythos afetará o setor financeiro? Leia o nosso ficha informativa.