O que mudou

O Indian Computer Emergency Response Team, conhecido como CERT-In, orientou organizações a corrigirem vulnerabilidades críticas em sistemas expostos à internet em até 12 horas após a identificação, quando for possível. A medida aparece em um documento de 38 páginas publicado pela agência e tem foco em reduzir a janela de exposição antes que criminosos consigam automatizar ataques.

Na prática, isso afeta servidores, serviços em nuvem, APIs, aplicações web, identidades fracas e ambientes mal configurados que podem ser acessados pela internet. Quanto mais visível o sistema, menor deve ser o tempo de resposta.

Por que a IA acelera ataques

Segundo o CERT-In, ferramentas de IA e grandes modelos de linguagem podem ser usados por atacantes para acelerar várias etapas do ataque. Isso inclui descobrir a superfície exposta de uma empresa, analisar falhas, criar mensagens de phishing mais convincentes e até apoiar a geração de malware.

O ponto central é simples: tarefas que antes consumiam mais tempo podem ser feitas em escala maior e com mais velocidade. Por isso, uma falha crítica em um serviço público na internet não deve ficar dias aguardando correção se já houver alerta e correção disponível.

Sinais de alerta

Empresas devem observar sinais que indicam maior urgência de resposta:

• Sistema crítico acessível pela internet com falha recém-identificada.
• API pública sem controle adequado ou com configuração insegura.
• Serviço em nuvem exposto sem necessidade operacional clara.
• Contas com autenticação fraca ou permissões excessivas.
• Uso de plataformas de IA sem proteção contra vazamento de dados ou manipulação de comandos.

O CERT-In também alerta que sistemas de IA podem virar alvo direto, por meio de injeção de prompts, vazamento de dados, jailbreak, manipulação de modelos, envenenamento de dados de treinamento, roubo de modelo e comprometimento de pipelines de orquestração.

O que fazer agora

A primeira medida é separar o que está exposto à internet e classificar o risco. Falhas críticas nesses ativos devem entrar em uma fila de correção emergencial, com meta de até 12 horas quando viável. Se a correção não puder ser aplicada imediatamente, reduza a exposição: desative o serviço, limite o acesso, remova configurações desnecessárias ou aplique controles temporários.

Também é importante manter avaliação contínua de ameaças, reduzir exposições de forma proativa e preparar a operação para responder rápido. Isso envolve inventário atualizado, responsáveis definidos, processo de aprovação emergencial e monitoramento após a correção.

Checklist pratico

1. Liste todos os sistemas, APIs e serviços em nuvem acessíveis pela internet.
2. Defina quais falhas críticas devem ter tratamento emergencial em até 12 horas, quando viável.
3. Prepare alternativas temporárias: restringir acesso, desativar serviço ou reduzir permissões.
4. Revise identidades fracas, configurações inseguras e APIs expostas.
5. Inclua plataformas de IA no plano de segurança, considerando prompt injection, vazamento de dados e manipulação de modelos.

Perguntas frequentes

A regra de 12 horas vale para qualquer falha?

O foco citado pelo CERT-In são vulnerabilidades críticas em sistemas expostos à internet, especialmente quando já foram sinalizadas e a correção é viável.

Por que a IA muda o prazo de resposta?

Porque IA pode ajudar atacantes a encontrar alvos, analisar falhas e preparar ataques com mais velocidade, reduzindo o tempo disponível para defesa.

Minha empresa usa IA. Isso também entra no risco?

Sim. O CERT-In destaca que sistemas de IA podem sofrer ataques como injeção de prompts, vazamento de dados, jailbreak, manipulação de modelos e roubo de modelo.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/cert-in-mandates-12-hour-patching-for.html