Hackers não precisam mais invadir — eles fazem login. Por favor, ative o MFA.

Se você fizer uma única coisa pela segurança da sua empresa este mês, que seja esta: ative a autenticação multifator (MFA) — em tudo, para todos.

O conselho parece simples demais. Mas a forma como as empresas são comprometidas mudou, e o MFA é o controle que melhor responde a como os ataques realmente funcionam hoje.

Invasores fazem login. Eles não precisam descobrir brechas.

A imagem que a maioria de nós tem de um "ataque hacker" — alguém numa sala escura explorando uma falha no firewall — está cada vez mais desatualizada. O Global Threat Report 2026 da CrowdStrike resume sem rodeios: os adversários não estão mais "arrombando a porta" — estão fazendo login. Nos dados da CrowdStrike, 82% das intrusões detectadas não usaram malware: nenhum vírus, nenhum anexo suspeito, nada para um antivírus tradicional pegar. O invasor simplesmente entrou com um usuário e uma senha verdadeiros — e, do ponto de vista do sistema, parecia um funcionário.

De onde vêm essas senhas? De todo lugar, infelizmente:

• Phishing. Um e-mail que imita a Microsoft, o Google ou o seu banco pede que o funcionário "confirme o acesso". Muitos desses e-mails hoje são gerados por IA — fluentes, personalizados e sem os erros de português que todos nós aprendemos a procurar.
• Malware ladrão de senhas (infostealer). Um programa pequeno, geralmente baixado de um site falso ou de um anúncio malicioso, que copia silenciosamente todas as senhas salvas no navegador e as envia para um mercado clandestino onde criminosos compram credenciais no atacado.
• Vazamentos de outras empresas. Quando um site qualquer vaza seu banco de usuários, os atacantes pegam aqueles pares de e-mail e senha e testam no e-mail corporativo, no banco e nos painéis administrativos — porque as pessoas reutilizam senhas. E essa técnica funciona muito mais do que deveria.

Esta é a premissa de planejamento que recomendamos a toda empresa com quem trabalhamos: algumas senhas da sua empresa já estão circulando por aí. Não porque a sua equipe fez algo errado — mas porque vazamentos são uma condição permanente de operar na internet em 2026. A pergunta não é se uma senha vai vazar. É se uma senha vazada é suficiente para entrar em seu ambiente.

O MFA faz a senha roubada deixar de ser suficiente

A autenticação multifator adiciona uma segunda prova de identidade ao login: uma notificação no celular do funcionário, um código de um aplicativo autenticador ou uma passkey guardada no aparelho. A senha sozinha deixa de ser a chave da porta.

E a melhora não é marginal. Um estudo da Microsoft com dados de ataques reais na sua plataforma de identidade concluiu que ativar o MFA bloqueia mais de 99% dos ataques de comprometimento de conta. Os dados de incidentes da própria Microsoft confirmam o outro lado: a esmagadora maioria das contas que são comprometidas não tinha MFA ativado.

Pouquíssimas medidas de segurança oferecem essa relação entre proteção e esforço. O MFA está incluído nas ferramentas que você já paga — Google Workspace, Microsoft 365, seu banco, seu sistema de gestão. Ativá-lo não custa nada além de uma implantação rápida.

Como implantar na sua empresa (esta semana, não neste trimestre)

Você não precisa de um plano de projeto. Precisa de uma tarde de trabalho administrativo e de uma comunicação clara com a equipe.

1. Comece onde o estrago é maior: o e-mail. O e-mail é a chave-mestra de todo o resto — é nele que chegam os links de redefinição de senha de todos os outros serviços. Torne o MFA obrigatório no Google Workspace ou no Microsoft 365 primeiro.

2. Depois, proteja as contas que movimentam dinheiro ou guardam dados. Banco, meios de pagamento e contas que operam Pix, folha de pagamento, sistema contábil, bases de dados de clientes — lembrando que dado pessoal vazado também é um problema de LGPD — e qualquer console administrativo (hospedagem do site, registro do domínio, provedor de nuvem).

3. Torne obrigatório — não opcional. Tanto o Google Workspace quanto o Microsoft 365 permitem que o administrador exija MFA de todos os usuários. Uma adoção voluntária termina sempre do mesmo jeito: "o dono e o pessoal de TI ativaram, o resto não". Defina um prazo, torne obrigatório e ajude pessoalmente quem ficar para trás.

4. Prefira aplicativo autenticador ou passkeys em vez de SMS. Códigos por SMS são melhores que nada, mas podem ser interceptados. Um aplicativo autenticador (gratuito: Google Authenticator, Microsoft Authenticator) é mais forte. Passkeys — já suportadas por Google, Microsoft e Apple — são ainda mais fortes e eliminam a digitação de código.

5. Guarde os códigos de recuperação. Quando alguém perde o celular, os códigos de recuperação são a diferença entre resolver em cinco minutos e um funcionário bloqueado sem acesso. Guarde-os num lugar seguro e centralizado — um cofre de senhas resolve bem.

6. Avise a equipe sobre um golpe novo: o bombardeio de notificações. Atacantes que já têm uma senha roubada às vezes disparam pedidos de MFA repetidamente, esperando que alguém toque em "Aprovar" só para o celular parar de vibrar. A regra a ensinar: se você não acabou de tentar fazer login, nunca aprove — e avise a TI. Se a sua plataforma oferece confirmação por número (digitar um número exibido na tela em vez de só tocar em aprovar), ative.

Os riscos reais, com honestidade: o MFA é a primeira camada, não a única

Estaríamos exagerando se disséssemos que o MFA encerra a conversa. Atacantes determinados têm respostas para ele — páginas de phishing que repassam o código em tempo real, o bombardeio de notificações descrito acima, malware que rouba uma sessão já autenticada. É exatamente por isso que a segurança moderna fala em camadas: reduzir o que está exposto à internet, treinar as pessoas contra os golpes dirigidos a elas e vigiar o login estranho que passar pelos controles.

Mas camadas se empilham em ordem, e esta é a primeria. Toda outra defesa funciona melhor quando uma senha roubada não basta para entrar pela porta da frente. Se a sua empresa ainda não tornou o MFA obrigatório, é esse o próximo passo — ainda esta semana.

---

Quer saber se a sua equipe reconheceria o e-mail de phishing que rouba a senha lá no começo? A Confidanti oferece um teste de phishing gratuito para empresas em crescimento — sem plataforma para instalar, sem compromisso.