Especialistas em cibersegurança malfeitores

Quando quem deveria proteger vira perpetrador: a prisão de especialistas em cibersegurança por golpes sob disfarce

Em uma reviravolta que desafia paradigmas de confiança e segurança, autoridades dos Estados Unidos — por meio do Federal Bureau of Investigation (FBI) — acusaram profissionais que trabalhavam como especialistas em cibersegurança de executar, em paralelo à sua função legítima, operações de ransomware e extorsão digital. O artigo da Canaltech mostra como pessoas inseridas em empresas de segurança chegaram a combinar combate ao crime digital com sua própria atuação criminosa.

Os envolvidos eram: Kevin Tyler Martin (especialista em negociação de resgates na empresa DigitalMint de Chicago), Ryan Clifford Goldberg (ex-gerente de resposta a incidentes da Sygnia Cybersecurity Services) e um terceiro suspeito não identificado da mesma empresa DigitalMint.

Metodologia dos ataques e esquema criminal

De acordo com o relatório, o esquema começou em maio de 2023, quando os indivíduos usaram software malicioso para conduzir ataques de ransomware contra várias entidades, incluindo: uma instituição médica na Flórida — com demanda de resgate aproximada de US$ 10 milhões —, uma empresa farmacêutica em Maryland, um consultório médico na Califórnia e uma fabricante de drones na Virgínia. O FBI estima que o lucro real obtido pelos fraudadores foi de cerca de US$ 1,2 milhão.

Acusações formais incluem conspiração para interferência no comércio interestadual por meio de extorsão, dano intencional a computador protegido e lavagem de dinheiro. A DigitalMint confirmou demissão dos dois funcionários citados por “conduta não autorizada” e declarou que coopera com as investigações.

Implicações para o setor de cibersegurança e cadeia de confiança

Este caso provoca uma intensa reflexão no ecossistema de segurança digital:

• Quebra de confiança: ao vestirem o papel de defensores, os envolvidos abusaram do acesso e da credibilidade que seu cargo lhes conferia — o que compromete a confiança num mercado já fragilizado por incidentes e vazamentos.

• Uso de conhecimento profissional para ofensa: profissionais de resposta a incidentes e negociação de resgates têm profundo entendimento técnico e organizacional do ciclo de ataque — se estes conhecimentos são utilizados em benefício próprio, o risco para organizações se amplifica dramaticamente.

• Integração de funções ofensiva/defensiva: o fato de funcionários de empresas “legítimas” de segurança estarem envolvidos na ofensiva evidencia que a linha entre defesa e ataque torna-se cada vez mais tênue, aumentando a necessidade de segregação clara de deveres.

• Governança corporativa e controle interno: as empresas de segurança precisam revisar seus controles internos, políticas de acesso e auditoria, considerando que a ameaça pode vir de dentro — não apenas de fora.

Lições práticas para organizações e profissionais

Dada a gravidade do episódio, seguem-se algumas recomendações para mitigar o risco de “insiders ofensivos” no campo da segurança:

• Estabelecer políticas claras de segregação de funções — especialistas em negociação de incidentes ou resgate não devem ter simultaneamente acesso irrestrito a ferramentas de ofensa ou infraestrutura de ataque.

• Implementar monitoramento contínuo de atividade interna — logs de acesso, revisões de permissões, alertas para atividades atípicas em contas de alto privilégio ou função crítica.

• Realizar due diligence rigorosa em contratações para funções sensíveis de cibersegurança, incluindo histórico profissional, vínculos com incidentes anteriores e verificação de conduta ética.

• Formalizar códigos de ética e integridade para profissionais de segurança — parte de programas de compliance e segurança corporativa — com cláusulas que disponham sobre conflito de interesse, dualidade de papel e sanções internas.

• Incluir em contratos e parcerias com empresas de segurança cláusulas de auditabilidade independente, possibilitando verificar se as prestadoras de serviço mantêm compartimentos éticos e operacionais distintos para funções ofensivas e defensivas.

Conclusão

O episódio relatado pela Canaltech mostra que mesmo o setor que deveria estar na vanguarda da defesa digital não está imune ao risco de insiders que utilizam seu treinamento, acesso e conhecimento para atividades criminosas. A dualidade revelada — especialistas que combati­am o crime enquanto o praticavam — é um alerta especialmente grave para o mercado de cibersegurança: a proteção não se resume a tecnologias e processos, mas também à cultura, ética e supervisão organizacional. Em 2025, à medida que os ataques se sofisticam, o maior risco pode não estar necessariamente no exterior, mas na própria estrutura interna das empresas que prometem defendê-las. É indispensável que organizações profissionais de TI e segurança revisitem não apenas seus modelos de ameaça técnicos, mas também o ambiente humano e institucional em que operam.

Referência bibliográfica

• Sousa, Jaqueline. “Vida dupla: especialistas em cibersegurança são presos por aplicar golpes”. Canaltech, 11 Nov 2025. Disponível em: https://canaltech.com.br/seguranca/vida-dupla-especialistas-em-ciberseguranca-sao-presos-por-aplicar-golpes/