Agent-native article available: Cibersegurança na era da IA e da computação quântica: quem paga pela transiçãoAgent-native article JSON available: Cibersegurança na era da IA e da computação quântica: quem paga pela transição
Cibersegurança na era da IA e da computação quântica: quem paga pela transição

Cibersegurança na era da IA e da computação quântica: quem paga pela transição

Há um padrão que se repete toda vez que uma tecnologia muda as regras do jogo em velocidade suficiente: os primeiros a absorver o custo são aqueles que menos margem têm para fazê-lo. A convergência entre inteligência artificial e computação quântica está seguindo esse padrão com uma precisão desconfortável. Os atacantes se beneficiam de ferramentas que reduzem o tempo e o custo de suas operações.

Martín SolerMartín Soler28 de junho de 20269 min
Compartilhar

Cibersegurança na era da IA e da computação quântica: quem paga a transição

Há um padrão que se repete toda vez que uma tecnologia muda as regras do jogo em velocidade suficiente: os primeiros a absorver o custo são os que têm menos margem para fazê-lo. A convergência entre inteligência artificial e computação quântica está seguindo esse padrão com uma precisão incômoda. Os atacantes se beneficiam de ferramentas que reduzem o tempo e o custo de suas operações. Os defensores, por outro lado, acumulam dívidas técnicas e organizacionais que agora precisam pagar duas vezes: uma pelos riscos que a IA introduz hoje, e outra pela migração criptográfica que o mundo quântico exigirá amanhã.

A análise de Michelle Drolet publicada no Forbes Technology Council não é um alerta de laboratório. É um mapa de tensões que já estão ativas nos orçamentos, nos conselhos de administração e nas equipes de segurança de qualquer empresa com infraestrutura digital relevante. E o ângulo que mais interessa não é tecnológico: é distributivo. Quem assume os custos, quem captura o valor da transição e quais incentivos estruturais estão empurrando cada ator no sistema.

A IA comprime o tempo disponível para quem defende, não para quem ataca

A assimetria que a inteligência artificial introduz na cibersegurança não é nova em termos conceituais, mas é nova em magnitude. Os atacantes usam IA para descobrir vulnerabilidades mais rapidamente, gerar variantes de malware em escala, personalizar mensagens de engenharia social e automatizar o reconhecimento de alvos. O custo marginal de lançar um ataque sofisticado caiu de forma sustentada. O custo de se defender, por sua vez, continua alto, intensivo em talento e difícil de automatizar sem introduzir novos riscos.

Os dados do Fórum Econômico Mundial e da Accenture documentam essa percepção: 94% dos líderes de segurança consideram que a IA será o fator de mudança mais significativo na cibersegurança durante o próximo ano, e 87% apontam as vulnerabilidades associadas à IA como o risco de maior crescimento. Esses números não descrevem uma preocupação futura. Descrevem a arquitetura de um problema que já está dentro das organizações.

Um dos vetores menos discutidos nessa análise é o que Drolet chama de "shadow AI": o uso não autorizado de ferramentas de inteligência artificial por parte de funcionários que resumem reuniões, processam dados sensíveis ou geram código por meio de plataformas que a organização não controla, não audita e às vezes nem sequer conhece. O problema não é apenas de segurança de perímetro. É um problema de governança interna em que o incentivo individual — a produtividade imediata do funcionário — entra em colisão direta com o interesse coletivo da organização. Esse conflito de incentivos não se resolve com políticas, mas com design: controles de acesso, rastreabilidade de dados, restrições técnicas e supervisão humana sobre as ações de maior impacto.

O surgimento de sistemas de IA agênticos, capazes de agir de forma autônoma em nome de um usuário por meio de múltiplas ferramentas e fluxos de trabalho, eleva esse problema a uma categoria diferente. Quando um agente de IA pode tomar decisões, executar transações ou compartilhar informações sem intervenção humana em tempo real, o perímetro de risco já não tem bordas claras. O erro, o abuso de credenciais e o vazamento de dados podem ocorrer em uma velocidade que nenhum processo de auditoria reativa consegue conter. O custo desse risco não é absorvido pelo fornecedor da ferramenta. É absorvido pela organização que a implantou.

A ameaça quântica não espera que as equipes estejam prontas

A computação quântica opera em um horizonte diferente do da IA, mas sua lógica de pressão sobre os sistemas de segurança é igualmente estrutural. O mecanismo central se chama "harvest now, decrypt later" (capturar agora, descriptografar depois): adversários capturam hoje dados criptografados e os armazenam até que os computadores quânticos sejam capazes de quebrar a criptografia de chave pública que os protege. O ataque não ocorre hoje. O dano, no entanto, já está sendo semeado.

Isso transforma a migração para a criptografia resistente à computação quântica em uma decisão de planejamento presente, não futuro. O Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos já publicou os primeiros padrões de criptografia pós-quântica, substituindo esquemas vulneráveis como o RSA e a criptografia de curva elíptica. Mas a adoção desses padrões não é uma atualização de software. É uma intervenção profunda na arquitetura de sistemas que, em muitos casos, foram construídos ao longo de décadas sobre os algoritmos que agora precisam ser substituídos.

A escala do esforço se reflete nas projeções de mercado: os investimentos em criptografia pós-quântica passarão de US$ 1,2 bilhão em 2026 para US$ 13,3 bilhões em 2035, segundo a Juniper Research. Esse crescimento não é o reflexo de uma tendência tecnológica positiva. É a medida do déficit acumulado que as organizações terão de financiar — em certificados, chaves, software, hardware, fornecedores e processos — para não ficarem expostas em um momento em que a janela de reação já terá se fechado.

A distribuição desse custo é onde a análise se torna mais interessante. As organizações grandes, com equipes especializadas e orçamentos de segurança relevantes, podem iniciar programas de migração estruturados, designar responsáveis internos, inventariar dependências criptográficas e negociar com fornecedores a partir de uma posição de força. As organizações médias e pequenas — as PME —, que dependem dos mesmos fornecedores de plataformas e serviços em nuvem, ficam à mercê do ritmo com que esses fornecedores implementam a transição. Se o fornecedor prioriza primeiro seus clientes empresariais maiores, o elo mais fraco da cadeia demora mais para ficar protegido — e o elo mais fraco é, com frequência, aquele que conecta o sistema completo às suas vulnerabilidades mais exploráveis.

O valor da preparação não está onde o mercado está medindo

Há um desajuste estrutural na forma como o mercado está avaliando a resposta a esses riscos. Os fornecedores de plataformas de segurança — desde fabricantes de infraestrutura de rede até provedores de acesso seguro e arquiteturas de confiança zero — estão integrando capacidades de detecção baseadas em IA e criptografia resistente a ataques quânticos como características de seus produtos. Isso faz sentido competitivo: quem oferece primeiro proteção integrada conquista contratos e constrói dependência técnica.

Mas o valor dessas capacidades depende de algo que nenhuma plataforma pode vender diretamente: a capacidade organizacional da empresa que as adota para operá-las de forma coerente. Uma ferramenta de detecção de comportamentos anômalos baseada em IA não substitui a necessidade de ter visibilidade sobre os ativos, controles sobre os acessos e processos de resposta que funcionem quando o alerta se ativa. Um padrão de criptografia pós-quântica não migra sozinho os sistemas legados que ficaram anos sem atualização.

O artigo de Drolet descreve um processo de preparação que tem sete etapas. O que não descreve — embora esteja implícito em cada uma delas — é o quanto desse processo exige investimento sustentado em capacidades internas que o mercado de soluções de segurança não pode substituir. A avaliação de riscos precisa ser feita por alguém que conheça a arquitetura real da organização. O inventário de dependências criptográficas precisa ser construído por alguém com acesso aos sistemas. A governança sobre os agentes de IA precisa ser desenhada por alguém que entenda como as equipes trabalham. Nenhum fornecedor externo tem essa informação de partida.

O problema distributivo de fundo é este: a transição para uma postura de segurança que possa se sustentar em um ambiente de IA generalizada e pressão quântica crescente exige que uma parte significativa do valor seja gerada internamente, na forma de capacidades, processos e governança. Mas o mercado de cibersegurança está estruturado para vender produtos e serviços externos, não para construir capacidade interna. Isso não significa que os fornecedores externos sejam irrelevantes. Significa que a lógica de delegação total — o modelo em que uma empresa terceiriza sua segurança e assume que o problema está resolvido — já não tem margem para funcionar quando os riscos se movem mais rápido do que os contratos de serviço.

A migração que não pode ser postergada sem que o custo se multiplique

A preparação diante desses riscos tem uma característica financeira que os conselhos de administração ainda não estão internalizando com clareza suficiente: o custo de agir tarde não é linear. Cada mês que passa sem iniciar o inventário criptográfico, sem estabelecer controles sobre a IA interna e sem designar um responsável pelo programa de migração quântica é um mês em que os sistemas legados acumulam mais dívida técnica, os fornecedores avançam sem coordenação com a organização e os atacantes capturam mais dados com valor de longo prazo.

A migração para a criptografia pós-quântica é o caso mais ilustrativo. Os sistemas que não podem ser atualizados rapidamente não são uma minoria. Em setores como o financeiro, o de saúde ou o de infraestrutura crítica, há componentes com ciclos de vida de décadas que foram projetados com base em pressupostos criptográficos que a computação quântica invalida. Substituí-los requer tempo, dinheiro e coordenação com cadeias de fornecedores que também precisam atualizar seus próprios sistemas. Quanto mais tarde esse processo começar, mais comprimido fica o tempo disponível e mais caro se torna concluí-lo antes que o risco se materialize.

O padrão que Drolet aponta — e que a análise de incentivos confirma — é que as organizações que iniciarem esse processo agora estão pagando um custo distribuído ao longo do tempo, gerenciável dentro dos orçamentos ordinários de tecnologia e segurança. As que o postergam estão acumulando uma dívida que precisarão pagar de uma só vez, sob pressão regulatória, contratual ou competitiva, em um momento em que terão menos capacidade de negociação e menos tempo para fazê-lo bem.

A cibersegurança não mudou de fundamentos com a IA e tampouco os mudará com a computação quântica. O que muda é o custo de ignorar esses fundamentos — e esse custo já não admite amortização gradual. As organizações que tratam a preparação diante desses riscos como um investimento presente estão comprando tempo e opcionalidade. As que a tratam como um gasto postergável estão acumulando uma exposição cujo preço será fixado, eventualmente, por alguém que não tem nenhum incentivo para ser generoso.

Compartilhar

Você também pode gostar