Passkeys sob ataque: quando a chave mais segura vira a porta dos hackers
Segurança

Passkeys sob ataque: quando a chave mais segura vira a porta dos hackers

10 de julho de 2026Márcio Petito2 min de leitura
Voltar para notícias

Segundo o BoletimSec, cibercriminosos encontraram uma nova brecha para invadir contas corporativas do Microsoft 365, e o pior: a porta de entrada é justamente aquela tecnologia que deveria nos protege...

Márcio Petito

Márcio Petito

CEO da M3Solutions com mais de 20 anos de experiência em tecnologia e segurança

Segundo o BoletimSec, cibercriminosos encontraram uma nova brecha para invadir contas corporativas do Microsoft 365, e o pior: a porta de entrada é justamente aquela tecnologia que deveria nos proteger. Falo das passkeys, as chaves de acesso que prometem acabar com o inferno das senhas. A campanha, atribuída ao grupo conhecido como UNC066 ou Pink, mostra que engenhosidade não falta para o lado errado da força.

O golpe é tão simples quanto perigoso. Os atacantes telefonam para funcionários se passando por equipes de suporte técnico. Durante a ligação, conduzem a vítima até uma página falsa que imita fielmente o fluxo legítimo de cadastro de passkeys no Microsoft Entra. O colaborador, achando que está apenas configurando um recurso de segurança, acaba registrando uma chave de acesso controlada pelo criminoso. A partir daí, o invasor tem passe livre para o ambiente corporativo.

Por que a tecnologia mais segura virou alvo

Aqui entra uma reflexão importante. Passkeys são, sem dúvida, mais seguras que senhas tradicionais. Elimina-se o risco de vazamento em bancos de dados, de reutilização de credenciais e de ataques de força bruta. O problema nunca foi a tecnologia em si, mas o elo humano que fica no meio do processo.

Os criminosos entenderam algo que muita empresa ainda ignora: não adianta blindar a fechadura se você consegue convencer o dono da casa a entregar a chave voluntariamente. É a velha engenharia social vestindo roupa nova, agora explorando um processo legítimo e ainda pouco conhecido pelos usuários comuns.

O que me preocupa de verdade é que muitos funcionários sequer sabem o que é uma passkey ou como funciona seu cadastro. Essa lacuna de conhecimento é o combustível perfeito para golpes desse tipo. Quando o usuário não entende o fluxo normal, fica impossível para ele identificar o momento em que algo está errado.

O que sua empresa pode fazer agora

Não é hora de abandonar as passkeys, muito pelo contrário. É hora de fortalecer o entorno. Algumas medidas práticas ajudam bastante: