O ransomware decide-se muito antes do ecrã bloqueado. Acontece no instante em que alguém recebe um ficheiro que não esperava, o descarrega e o abre. Essa ação, repetida diariamente em qualquer organização, desencadeia a maioria das infeções reais, e é exatamente o que mede uma simulação de ransomware.
O ransomware continua entre as principais ameaças do panorama atual. O último Threat Landscape da ENISA analisou cerca de 4.900 incidentes entre meados de 2024 e meados de 2025, e voltou a colocá-lo no topo, com a engenharia social e o correio eletrónico entre as vias de entrada habituais. Quase todo o orçamento de segurança é gasto a evitar que esse email chegue e que o seu ficheiro seja aberto. Mas nenhum filtro detém cem por cento, e quando um passa, tudo depende do que a pessoa faz com esse ficheiro.
O que é uma simulação de ransomware?
Uma simulação de ransomware é um exercício controlado que entrega à pessoa um ficheiro com aparência legítima e mede o que ela faz com ele, sem qualquer dano real para os sistemas. A pergunta concreta a que responde é simples. Descarrega-o e abre-o? É a ação que, com ransomware real, inicia a infeção.
Não é um teste de antivírus nem um ensaio de recuperação de backups, que são exercícios técnicos sobre a máquina. Aqui o sujeito é o utilizador e a sua decisão perante o ficheiro.
Porque é que a prevenção sozinha não chega?
A prevenção é necessária e tem um limite. O email que transporta o ficheiro torna-se mais convincente a cada ano, e basta uma pessoa apressada para neutralizar um filtro impecável. Quando o ficheiro chega à caixa de entrada, a última barreira já não é técnica. É a decisão de o descarregar e abrir.
É aí que surge o ponto cego. Uma organização pode ter a sua estratégia de prevenção bem montada e, ainda assim, não saber quantas das suas pessoas abririam um anexo inesperado. Medir esse comportamento segue o mesmo raciocínio que já aplicamos a porque vale a pena simular ransomware. Não esperar pelo ataque real para descobrir como as pessoas reagem.
Qual é o comportamento que de facto importa?
Num ataque de ransomware, a cadeia parte-se ou continua num ponto muito concreto, quando alguém abre o ficheiro. Antes disso não há cifragem nem resgate. Por isso o comportamento que vale a pena medir é observável e quase binário. A pessoa descarregou e abriu o ficheiro, ou parou.
É o equivalente, no ransomware, ao que a taxa de cliques representa no phishing, mas sobre uma ação de consequências maiores. Uma campanha de simulação de phishing bem desenhada mede o clique; uma de ransomware mede o passo seguinte, o que entrega o controlo da máquina.
Como mede esse comportamento uma simulação?
A simulação coloca perante o utilizador um ficheiro realista, do tipo que um atacante usaria, e regista dois sinais, se o descarrega e se o abre. Não há qualquer conteúdo nocivo por trás. No instante exato em que o abre, em vez de uma infeção surge um momento educativo que lhe mostra o que acabou de fazer e porque é que esse gesto, com um ficheiro real, teria bastado.
Esse ensaio pode repetir-se e variar. Mudam o formato do ficheiro, o pretexto, o momento do envio. A cada repetição, a decisão de abrir um anexo inesperado torna-se menos automática e a pessoa aprende a duvidar antes de o fazer.
Como sabemos se o comportamento melhora?
O que se acompanha ao longo do tempo é o comportamento observável. Quantas pessoas descarregaram o ficheiro e quantas o abriram. Como muda essa percentagem campanha após campanha. Que áreas abrem mais e quais aprenderam a desconfiar. Esses números, por utilizador e por área, mostram se a cultura perante os ficheiros inesperados está a melhorar ou se o programa apenas sossega a consciência.
Medir esse comportamento também muda a conversa com a direção. Permite passar de “formámos toda a gente” para um dado concreto sobre quantas pessoas abririam ainda hoje o ficheiro errado, e quantas o faziam há um trimestre.
Como é que a SMARTFENSE resolve isto?
A SMARTFENSE é uma plataforma de sensibilização impulsionada por IA, presente em mais de 30 países da LATAM e Espanha, e as suas ferramentas de simulação incluem cenários de ransomware além dos de phishing. A simulação de ransomware entrega um ficheiro realista e mede o comportamento que importa, o descarregamento e a abertura, e dispara um momento educativo precisamente quando o utilizador abre o ficheiro.
As métricas acompanham essa abordagem. Não ficam por uma nota de participação, mas por quantas pessoas descarregaram e abriram o ficheiro, e por como esse comportamento evolui por utilizador e por área ao longo do tempo. Assim, o programa deixa de medir apenas a exposição e começa a medir o comportamento que antecede uma infeção.
Perante o ransomware, a prevenção reduz quantos ficheiros perigosos chegam, e o comportamento do utilizador decide o que acontece aos que passam. Quando esse comportamento se mede em vez de se presumir, o programa torna-se algo que se pode melhorar campanha após campanha. Se quiseres ver como se desenha um exercício assim de ponta a ponta, uma demo da SMARTFENSE é um bom ponto de partida.
Deixe um comentário