News
11/3/2025

A crescente exposição do setor de telecom ao risco cibernético de terceiros: o que é preciso saber

Riscos de terceiros são uma preocupação cada vez maior para grande parte das organizações, já que os invasores vêm mostrando seguidamente que aprenderam a encontrar um caminho às redes corporativas após comprometer algum fornecedor. Contudo, poucas empresas estão mais expostas a esta ameaça do que as do setor de telecomunicação.

Um exemplo recente disso apareceu na campanha do grupo Salt Typhoon contra as empresas de telecomunicações dos Estados Unidos em 2024. Na página oficial sobre o incidente, a T-Mobile declara que as tentativas de infiltração que chegaram aos sistemas dela vieram da rede de outro provedor de serviços. Não há tantos detalhes sobre outros incidentes dessa campanha, mas não seria surpreendente se fornecedores ou provedores aos quais as empresas se conectam tivessem sido explorados para iniciar a invasão.

Pelo que se sabe hoje, o Salt Typhoon é um agente com vínculo governamental, o que significa que eles podem se dar ao luxo de serem pacientes e minuciosos. É também muito mais provável que grupos assim escolham seus alvos de acordo com metas estratégicas em vez de ganhos financeiros.

O fato de que operadores de telecom têm valor estratégico para atacantes sofisticados é a primeira razão que explica por que empresas neste setor estão mais expostas a riscos de terceiros. Um adversário dedicado que busca entrar em um alvo específico tende a buscar vulnerabilidades ou vantagens que podem ser obtidas caso o ataque comece por um parceiro ou por um serviço utilizado.

Infelizmente, essa não é a única razão.

Uma infraestrutura crítica sob vários ângulos

As pessoas atrelaram a internet às suas vidas e tarefas diárias de tal forma que a maioria dos países já não funcionaria bem sem ela. Portanto, os operadores de telecom são um terceiro crítico para uma grande maioria dos cidadãos e das empresas de uma nação. Isso explica em parte por que elas têm valor estratégico para agentes vinculados a estados, claro, mas também devemos refletir sobre como esse papel pode ser explorado pelos mais diversos atacantes.

As invasões recentes nos Estados Unidos ganharam notoriedade pelo acesso indevido a sistemas de grampos e outros dados de clientes, já que o objetivo era coletar inteligência sobre um grupo seleto de clientes de cada operadora. Já que políticos e executivos relevantes certamente estão entre os clientes da empresa, é fácil entender por que essa abordagem é atraente para um agente malicioso.

Por mais preocupante que seja essa coleta de inteligência, interrupções do serviço também seriam uma dor de cabeça para muitos.  Se vários serviços (como voz e dados) se tornassem indisponíveis ao mesmo tempo, muitas empresas modernas acabariam paralisadas.

Não é à toa que operadoras de telecom têm sido vítimas frequentes no conflito entre a Rússia e a Ucrânia. Um incidente agora em 2025 envolveu a Rostelecom, uma operadora russa que anunciou uma investigação depois que um grupo de hackers expôs dados supostamente ligados à empresa, enquanto outra operadora, a Nodex, sofreu um ciberataque destrutivo. Operadoras ucranianas foram atingidas por ataques semelhantes ao longo dos anos.

Em resumo, as operadoras de telecomunicações se tornam alvos porque:

  • Possuem dados valiosos sobre indivíduos e empresas, os quais podem ser úteis para os atacantes;
  • São normalmente grandes empresas com recursos que podem ser explorados em prol de outros benefícios ou operações (tal como esconder a origem dos próximos ciberataques);
  • Elas são responsáveis por um serviço que precisa ser confiável para que a sociedade funcione.

Apesar de desempenharem este papel crítico, as operadoras de telecomunicações não são monólitos. Elas integram um ecossistema.

Muitas peças e terceiros

Cobrança, cabeamento, roteadores, experiências do cliente e suporte técnico são só algumas das responsabilidades das operadoras que normalmente exigem a aquisição de software e hardware de vários fornecedores.

Manter essa infraestrutura também requer uma mão de obra considerável, a qual pode ser terceirizada ou realizada em parceria com os fabricantes dos equipamentos e sua rede de assistência autorizada. Às vezes, a terceirização acaba sendo necessária para gerenciar a demanda sazonal ou dar escala às operações durante emergências.

Muitos clientes também são atraídos por pacotes de valor agregado. Isso muitas vezes permite que as operadoras evitem a ideia de que estão prestando um serviço sem diferencial competitivo, como uma commodity. Esses recursos ou pacotes adicionais normalmente dependem de algum compartilhamento de dados, acesso via API ou outras formas de integração.

Sempre que possível, os parceiros devem estar cobertos por um programa de gestão de risco cibernético de terceiros (Third-Party Cyber Risk Management — TPCRM) para evitar danos à reputação e riscos jurídicos – sejam esses riscos derivados de arranjos comerciais ou de necessidades operacionais.

A conectividade não é uma opção

A maioria das empresas podem optar por uma exposição mínima a entidades externas. Operadoras de telecom, no entanto, precisam por definição permitir que suas redes se conectem a outras. Via de regra, as operadoras devem firmar acordos de interconexão ou compra de tráfego para entregar o serviço que os consumidores esperam. 

Há muitos casos em que isso mostrou ser problemático. Os protocolos de rede às vezes supõem que todos os envolvidos na conexão são confiáveis, mas isso não é sempre verdade. Fora os casos em que algumas empresas decidem se comportar de forma irregular, sempre existe a possibilidade de que uma rede venha a ser comprometida e passe a ser explorada de uma forma nova.

Às vezes, o problema aparece por limitações na arquitetura dos protocolos ou em cenários inesperados que surgem por conta de extensões ao serviço. Por exemplo, serviços de voz sobre IP (VoIP) já foram o pilar central de incidentes que derrotaram a autenticação multifatorial (MFA) graças ao spoofing da origem da chamada.

Situações análogas já foram observadas em ataques que utilizam o protocolo SS7. Por conta de redes que atuam de forma irregular ou que foram comprometidas, as vulnerabilidades nesse protocolo obrigaram as operadoras de telecom a implementar medidas de contenção.

O Border Gateway Protocol (BGP) também já esteve no centro de eventos suspeitos. Um vazamento da configuração do BGP fez com que o tráfego de dados móveis da Europa fosse desviado para a China Telecom em 2019, e esse não é o único exemplo. Em 2024, o governo dos Estados Unidos deu início a um projeto cujo intuito é consertar o BGP.

Como lidar com tudo isso

Além de ser um setor operacionalmente complexo, as telecomunicações estão atraindo atacantes dispostos a varrer cada canto da superfície de ataque de seus alvos — incluindo terceiros, fornecedores e empregados. Se não forem gerenciados, esses riscos podem trazer prejuízos, uma vez que consumidores raramente diferenciam entre incidentes que ocorrem em um terceiro ou no próprio provedor que utilizam.

Ainda que alguns dos desafios sejam únicos do setor de telecomunicações, as empresas desse setor não são as únicas que precisam de um programa de TPCRM. Sendo assim, há soluções para a gestão do risco cibernético de terceiros que podem ser usadas para facilitar essa tarefa, seja qual for o negócio. Após entender os desafios, será mais fácil entender o valor do TPCRM e como é possível construir ou aprimorar seus processos para mitigar riscos de terceiros.

Share
Latest Posts
Principais tendências de 2025 na gestão de risco cibernético de terceiros
Read more
Uma retrospectiva dos ataques a terceiros e incidentes em fornecedores de 2024
Read more
Colocando em prática a colaboração em cibersegurança para terceiros
Read more