ARTIGOS / SEGURANçA DE IA

Os agentes de cobrança com IA detêm as credenciais do cliente. A responsabilidade recai sobre a empresa de BPO.


No mês passado, uma grande agência de cobrança de dívidas que atende clientes da lista Fortune 500 descobriu que seus agentes virtuais com inteligência artificial haviam sido comprometidos por meio de roubo de credenciais. A violação expôs os acordos de pagamento de mais de 180.000 consumidores em doze carteiras de clientes. Embora o sistema de IA tenha funcionado perfeitamente, os hackers simplesmente obtiveram as credenciais de login dos operadores humanos por meio de phishing para acessar os bancos de dados dos clientes. A empresa de cobrança agora enfrenta o escrutínio regulatório do CFPB (Escritório de Proteção Financeira do Consumidor) e a possível rescisão de contrato com três de seus principais clientes.

Este incidente ilustra uma vulnerabilidade crítica na terceirização de processos de negócios: quando agentes de IA exigem credenciais controladas por humanos para acessar sistemas de clientes, o provedor de serviços gerenciados assume responsabilidade ilimitada por falhas de segurança de credenciais.

O paradoxo do controle de credenciais em BPO

Em serviços gerenciados, a eficiência operacional exige que a equipe possa acessar rapidamente múltiplos ambientes de clientes. Os agentes de cobrança transitam entre sistemas de CRM, processadores de pagamento, bancos de dados regulatórios e plataformas específicas de cada cliente. Muitas empresas de BPO implantaram agentes de IA para automatizar tarefas rotineiras — cálculos de planos de pagamento, verificações de conformidade e comunicação com o cliente —, mas esses sistemas exigem o mesmo nível de acesso privilegiado que os operadores humanos.

A abordagem convencional envolve a emissão de credenciais individuais para os funcionários, que então autenticam os agentes de IA para executar tarefas automatizadas. Isso cria uma cadeia de custódia de credenciais que começa com os funcionários humanos e se estende aos sistemas de inteligência artificial. Quando as credenciais são obtidas por phishing, roubadas ou usadas indevidamente, o agente de IA se torna um vetor de amplificação da violação.

Para os provedores de BPO, isso representa uma equação de risco assimétrica. Eles não controlam nem o processo de criação de credenciais nem os sistemas dos clientes que estão sendo acessados, mas arcam com a responsabilidade contratual total por falhas de segurança. Os contratos com os clientes normalmente incluem cláusulas de indenização abrangentes que cobrem violações de dados, infrações regulatórias e comprometimento de sistemas originados no ambiente do provedor de serviços gerenciados.

Quantificando o risco das credenciais

Dados recentes da Identity Defined Security Alliance revelam que 84% das organizações sofreram violações de identidade em 2023, sendo o roubo de credenciais o vetor de ataque inicial em 61% dos incidentes. Para operações de BPO (Business Process Outsourcing), a exposição é particularmente grave.

De acordo com o Relatório de Investigações de Violações de Dados de 2024 da Verizon, os provedores de serviços gerenciados sofreram um aumento de 47% em ataques baseados em credenciais em comparação com o ano anterior. O setor de BPO de serviços financeiros — incluindo cobrança de dívidas, processamento de empréstimos e atendimento ao cliente — registrou as maiores taxas de incidentes, com 73% das violações originadas de credenciais de funcionários comprometidas.

O relatório "Custo de uma Violação de Dados 2024" do Instituto Ponemon constatou que os incidentes de roubo de credenciais em ambientes de serviços gerenciados custam, em média, US$ 4,8 milhões por violação, 23% a mais do que a média global. Esse valor adicional reflete a natureza complexa e multicliente das operações de BPO, onde uma única violação de credenciais pode se propagar por diversos ambientes de clientes.

Os dados sobre fiscalização regulatória agravam a preocupação. O Departamento de Proteção Financeira do Consumidor (CFPB, na sigla em inglês) emitiu 34 ordens de consentimento contra operações de cobrança de dívidas em 2023, com falhas na segurança de credenciais citadas em 68% dos casos. As ações de fiscalização da Seção 5 da Comissão Federal de Comércio (FTC, na sigla em inglês) contra provedores de terceirização de processos de negócios (BPO, na sigla em inglês) aumentaram 31% em relação ao ano anterior, visando principalmente controles de acesso inadequados.

Por que as ferramentas de segurança convencionais falham

Os sistemas de Gestão de Identidade e Acesso (IAM) fornecem autenticação e autorização, mas não podem impedir que os usuários compartilhem, anotem ou divulguem inadvertidamente suas credenciais. Mesmo as plataformas de IAM mais sofisticadas dependem da manutenção da segurança das credenciais por parte dos usuários — uma dependência que cria vulnerabilidade sistêmica.

As soluções de Gerenciamento de Acesso Privilegiado (PAM) são excelentes para proteger contas administrativas, mas normalmente isentam usuários operacionais, como agentes de cobrança, representantes de atendimento ao cliente e processadores de dados. Os sistemas PAM também exigem que os usuários se autentiquem inicialmente com credenciais pessoais antes de acessar recursos privilegiados, perpetuando essa vulnerabilidade fundamental.

O Single Sign-On (SSO) reduz a proliferação de credenciais, mas concentra o risco nas credenciais mestras. Quando as credenciais do SSO são comprometidas — como ocorreu nos incidentes da Okta em 2022 e 2023 — os invasores obtêm acesso a todos os sistemas conectados simultaneamente.

A autenticação multifator (MFA) oferece camadas adicionais de segurança, mas permanece vulnerável a ataques sofisticados de phishing, troca de SIM e engenharia social. A invasão sistemática de sistemas protegidos por MFA pelo grupo Lapsus$ demonstrou essas limitações em diversos alvos de alto perfil.

As arquiteturas de Confiança Zero aprimoram a segurança da rede e a verificação de acesso, mas dependem fundamentalmente da autenticação inicial de credenciais. A Confiança Zero pressupõe que a apresentação de credenciais equivale à verificação de identidade — uma premissa que deixa de existir quando as credenciais são roubadas ou compartilhadas.

A solução estrutural

O MyCena resolve essa fragilidade fundamental eliminando completamente o controle do usuário sobre as credenciais. Em vez de esperar que os usuários criem e protejam suas próprias credenciais de acesso, o MyCena gera todas as credenciais centralmente, as distribui de forma criptografada e mantém o controle exclusivo de revogação.

Nesse modelo, os agentes de cobrança nunca veem nem manipulam as credenciais de login dos usuários. O sistema insere automaticamente credenciais criptografadas nos fluxos de autenticação, tornando os ataques de phishing tecnicamente impossíveis. Os usuários não podem compartilhar o que não possuem, não podem perder o que nunca tiveram e não podem ser enganados para revelar o que permanece invisível para eles.

Para operações de BPO, isso representa uma mudança fundamental: da gestão do comportamento das credenciais para o controle da arquitetura de credenciais. Os agentes de IA podem ser provisionados com credenciais criptografadas que se renovam automaticamente e não exigem intervenção ou supervisão humana. Quando ocorre rotatividade de pessoal — um desafio constante nas operações de cobrança e atendimento ao cliente — a revogação de credenciais torna-se instantânea e completa.

Essa abordagem transforma a equação de responsabilidade para provedores de serviços gerenciados. Em vez de depender do treinamento de conscientização de segurança dos funcionários e da conformidade comportamental, as empresas de BPO podem demonstrar controles técnicos que tornam o roubo de credenciais impossível desde a concepção. Isso fornece evidências concretas de medidas de segurança razoáveis ​​para auditorias de clientes, exames regulatórios e avaliações de seguros cibernéticos.

Implicações para líderes de BPO

A integração de agentes de IA em operações de serviços gerenciados exige uma evolução correspondente na arquitetura de segurança de credenciais. As abordagens tradicionais que delegam o controle de credenciais a usuários individuais criam uma exposição ilimitada à responsabilidade para os provedores de BPO.

As organizações devem avaliar se seus investimentos atuais em segurança visam à custódia de credenciais ou apenas ao seu uso. Essa distinção determina se os agentes de IA representam eficiência operacional ou vetores de risco amplificados.

Para executivos de BPO, a questão não é se ataques baseados em credenciais atingirão suas operações, mas sim se sua arquitetura de credenciais conseguirá resistir a tentativas sistemáticas de comprometimento. A resposta a essa pergunta determina, cada vez mais, a retenção de clientes, a conformidade regulatória e a viabilidade operacional.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.