Quando a Teleperformance divulgou, em março de 2023, que agentes fraudulentos haviam obtido acesso não autorizado a dados de clientes em vários programas de clientes, o incidente expôs uma vulnerabilidade que muitos executivos de Business Process Outsourcing (BPO) preferem não discutir: seus próprios funcionários explorando sistematicamente falhas de credenciais para cometer fraudes.
O incidente, que afetou operações em vários países e comprometeu informações confidenciais de clientes, incluindo dados financeiros, não foi resultado de hackers externos ou ataques cibernéticos sofisticados. Em vez disso, agentes legítimos com acesso autorizado aos sistemas usaram suas próprias credenciais para acessar dados além do escopo permitido e posteriormente monetizaram essas informações por meio de esquemas de roubo de identidade e fraude financeira.
A crise das credenciais internas nas operações de BPO
As organizações de Business Process Outsourcing enfrentam um paradoxo de segurança único. Elas precisam conceder acesso a milhares de agentes remotos aos sistemas mais sensíveis de seus clientes — aplicações bancárias, registros de saúde, processos de seguros e plataformas de atendimento ao cliente — mantendo praticamente tolerância zero para vazamentos de dados.
No entanto, as práticas de gerenciamento de credenciais do setor continuam baseadas em sistemas de senha de nível consumidor, que presumem que os usuários agirão de forma responsável com seus privilégios de acesso.
Essa suposição se torna extremamente perigosa em operações de BPO. Diferentemente de ambientes corporativos tradicionais, onde funcionários geralmente possuem relações de longo prazo com seus empregadores, centros de BPO apresentam taxas anuais de rotatividade superiores a 50%.
Os agentes frequentemente trabalham em vários programas diferentes, acumulando acesso a diversos sistemas de clientes. Quando esses agentes controlam suas próprias credenciais — criando senhas, gerenciando fatores de autenticação e mantendo informações de acesso — a organização perde efetivamente o controle sobre seu perímetro de segurança mais crítico.
O problema vai além de indivíduos mal-intencionados. Redes organizadas de fraude recrutam ativamente agentes de BPO, oferecendo pagamentos significativos por credenciais ou acesso a sistemas.
Em mercados onde os salários médios de agentes variam entre US$ 3.000 e US$ 8.000 por ano, fraudadores conseguem oferecer incentivos atraentes para compartilhamento ou abuso de credenciais.
A dimensão da fraude interna em serviços terceirizados
Dados do setor revelam a magnitude das ameaças internas nas operações de BPO.
Segundo o Verizon Data Breach Investigations Report 2024, agentes internos foram responsáveis por 20% de todas as violações de dados nos setores de serviços empresariais, com motivação financeira presente em 83% desses incidentes.
O Association of Certified Fraud Examiners (ACFE) Report to the Nations 2024 descobriu que organizações com operações terceirizadas significativas sofreram perdas médias de US$ 200.000 por incidente de fraude, contra US$ 120.000 em empresas com operações predominantemente internas.
O relatório atribuiu essa diferença à menor supervisão e ao menor controle sobre o gerenciamento de credenciais em ambientes terceirizados.
Especificamente em operações BPO, a pesquisa Ernst & Young Global Fraud Survey 2024 identificou o abuso de credenciais como o principal vetor de fraude interna, afetando 67% das organizações pesquisadas no setor de serviços empresariais.
A pesquisa destacou que métodos tradicionais de detecção normalmente identificam essas violações 14 meses após o comprometimento inicial, quando agentes fraudulentos já extraíram grandes volumes de dados de clientes.
Clientes do setor financeiro enfrentam riscos especialmente elevados. A Federal Trade Commission registrou um aumento de 70% nos casos de roubo de identidade relacionados a violações de dados em serviços de atendimento ao cliente entre 2022 e 2024, com padrões de investigação indicando participação significativa de operações BPO em atividades de extração de dados.
Por que as ferramentas tradicionais de segurança não resolvem o problema
A maioria das organizações BPO implementa arquiteturas sofisticadas de segurança:
- Sistemas de Gerenciamento de Identidade e Acesso (IAM)
- Gerenciamento de Acesso Privilegiado (PAM)
- Single Sign-On (SSO)
- Autenticação Multifator (MFA)
- Arquiteturas Zero Trust
Porém, essas soluções assumem fundamentalmente que os usuários que possuem credenciais utilizarão seus acessos de forma legítima.
A limitação da autenticação multifator (MFA)
A MFA demonstra essa fragilidade.
Quando agentes controlam tanto a criação de senhas quanto os fatores de autenticação — normalmente seus próprios dispositivos móveis pessoais — a MFA não oferece proteção contra uso intencional e fraudulento das credenciais.
Agentes mal-intencionados simplesmente utilizam suas credenciais legítimas e seus dispositivos pessoais para acessar sistemas fora do escopo autorizado.
As limitações do PAM
Soluções de Privileged Access Management apresentam limitações semelhantes.
Elas são eficientes no controle de acessos administrativos, mas enfrentam dificuldades para monitorar milhares de interações simultâneas de agentes.
Quando um agente acessa legitimamente registros de clientes como parte de suas funções, ferramentas PAM não conseguem diferenciar entre:
- Uso autorizado de dados
- Extração sistemática de informações para fins fraudulentos
As limitações do Zero Trust
Arquiteturas Zero Trust, apesar de seus mecanismos avançados de validação, geralmente verificam identidade em vez de controlar diretamente o acesso.
Depois que o agente se autentica — utilizando credenciais que ele próprio controla — o sistema permite suas ações dentro dos limites autorizados.
Essas tecnologias compartilham uma vulnerabilidade comum:
Elas autenticam a identidade, mas não impedem que usuários autenticados abusem de seus próprios acessos legítimos.
A solução estrutural: controle organizacional das credenciais
O caso Teleperformance e incidentes semelhantes destacam um princípio fundamental:
As organizações não conseguem controlar acessos que não possuem.
Quando funcionários criam, administram e mantêm suas próprias credenciais, o perímetro de segurança da organização passa a depender das práticas pessoais, segurança individual e decisões éticas de cada usuário.
Sistemas avançados de controle de credenciais invertem completamente esse modelo.
Em vez de usuários criarem senhas e gerenciarem fatores de autenticação, a organização:
- Gera todas as credenciais
- Criptografa todas as informações de acesso
- Distribui credenciais de forma controlada
Os agentes nunca visualizam suas senhas nem possuem tokens de autenticação.
O acesso passa a ser um serviço fornecido pela organização, e não um privilégio controlado individualmente.
Nesse modelo, a autenticação ocorre por meio da injeção criptografada de credenciais diretamente dos servidores organizacionais.
Os agentes:
- Não podem compartilhar credenciais que nunca visualizaram
- Não podem reutilizar senhas que não conhecem
- Não podem manter acessos após o encerramento do vínculo profissional
A organização mantém controle criptográfico sobre cada evento de autenticação.
Esse modelo transforma phishing em uma atividade inútil: credenciais roubadas existem apenas como dados criptografados sem utilidade para atacantes.
Da mesma forma, fraudes internas tornam-se significativamente mais difíceis quando agentes não conseguem manipular diretamente seus mecanismos de autenticação.
Imperativos de implementação para executivos de BPO
O modelo de controle de credenciais exige mudanças fundamentais nas arquiteturas de segurança de BPO, mas o caminho de implementação é claro.
As organizações precisam migrar de:
Verificação de identidade → Controle real de acesso
As credenciais devem ser tratadas como ativos organizacionais, e não como conveniências dos usuários.
Essa transição torna-se ainda mais urgente à medida que os frameworks regulatórios evoluem.
A proposta de AI Liability Directive da União Europeia provavelmente aumentará a responsabilidade dos BPOs por violações de dados de clientes, enquanto os requisitos atualizados do PCI DSS já exigem controles aprimorados de autenticação em ambientes de processamento de pagamentos.
Executivos de BPO devem avaliar suas práticas atuais de gerenciamento de credenciais com uma pergunta simples:
Se um agente tentasse usar seu acesso para cometer fraude, a organização conseguiria detectar e impedir essa atividade em tempo real?
Se a resposta depender apenas do monitoramento do comportamento do usuário, em vez do controle direto dos mecanismos de acesso, a organização provavelmente continua vulnerável ao próximo incidente semelhante ao da Teleperformance.
O problema das credenciais no setor pode ser resolvido, mas somente quando as organizações reconhecerem que a verificação de identidade não pode substituir o controle de acesso.