Verificar arquivos não é mais o suficiente: como a NordVPN define “antivírus de última geração”

O problema da definição atual

A indústria da cibersegurança sempre definiu gerações inteiras de antivírus pelo modo como eles detectam arquivos maliciosos. As primeiras ferramentas comparavam os arquivos com assinaturas de ataque conhecidas. As gerações posteriores adicionaram heurísticas, análise comportamental, sandboxing e classificação baseada em aprendizagem de máquina (machine learning).

Cada nova geração respondeu a mesma pergunta: esse arquivo é malicioso? Mas o cenário de ameaças mudou. Hoje, a maioria dos ataques (como phishing, golpes, roubo de identidade e engenharia social) não depende mais de um arquivo malicioso. A definição atual de “antivirus” ficou defasada.

Os vírus não são mais a maior ameaça

A maioria das ciberameaças hoje não envolve vírus. É isso que atualmente mais ameaça as pessoas online:

• Os golpes se transformaram em operações sofisticadas de engenharia social. Lojas falsas de e-commerce usam páginas de produto bem convincentes, reviews falsas e fluxos funcionais de checkout para roubar informações financeiras de pagamento. Mensagens fraudulentas de SMS que se passam por serviços de entrega, autoridades fiscais e bancos. Golpes pelo telefone que usam adulteração de ID de quem liga e vozes geradas por ferramentas de IA para roubar dinheiro e informações pessoais das vítimas. Nenhum desses ataques depende de um arquivo malicioso para ser executado.
• Phishing que evoluiu para além dos e-mails com ortografia ruim tão comuns há uma década. Hoje, as páginas de phishing são réplicas quase perfeitas dos sites legítimos, muitas vezes hospedados em domínios comprometidos com certificados SSL válidos. Elas são projetadas para roubar credenciais, tokens de sessão, códigos de autenticação multifatorial e dados pessoais usados para recuperação de contas.
• Roubo de identidade, que hoje é a maior preocpuação para os usuários da NordVPN¹. Os criminosos podem obter acesso não autorizado às contas através do roubo de credenciais, sequestro de sessões, troca ou clonagem de SIM e ataques de engenharia social. Depois de invadir a conta, eles tomam o controle bloqueando o acesso do proprietário original. Os criminosos também podem usar dados pessoais roubados para contratar novas linhas, contrair empréstimos e cometer diversas fraudes em nome do proprietário da conta.
• Malware e arquivos maliciosos, que continuam sendo uma grande ameaça. Aquilo que as pessoas baixam e o que é executado nos dispositivos delas ainda exige inspeção e controle. Mas os arquivos agora são só um vetor malicioso entre inúmeros outros.

Uma ferramenta de proteção digital que só reage aos arquivos maliciosos ignora a maioria dos ataques que as pessoas enfrentam hoje.

Redefinindo o termo “antivírus”

O termo antivírus vem de uma era na qual os arquivos maliciosos eram a principal ameaça digital. Décadas de marketing das marcas tradicionais de segurança digital transformaram "antivírus" em um termo genérico para software de segurança do mesmo jeito que "Kleenex" virou sinônimo de lenços de papel e "Band-Aid" virou o termo referencial para curativos adesivos. Essa associação não vai desaparecer.

A indústria de segurança corporativa foi a primeira a reconhecer as limitações dos softwares antivírus tradicionais. As principais empresas de cibersegurança introduziram o antivírus de próxima geração (NGAV) para complementar ou substituir a verificação de arquivos baseada em assinaturas. Os NGAVs usam uma combinação de detecção comportamental e algoritmos de aprendizagem de máquina para identificar ameaças, ajudando a detectar processos maliciosos, malwares sem arquivo e comportamentos de exploração que os antivírus tradicionais muitas vezes deixam passar batido.

Para os ambientes corporativos, os NGAVs continuam sendo uma evolução importante. Mas eles foram desenvolvidos em grande parte para dispositivos corporativos gerenciados, equipes de segurança dedicadas e um modelo de ameaça centrado no comprometimento de endpoints. Eles dependem de uma extensa telemetria comportamental que um produto para o consumidor com foco em privacidade não deveria coletar.

Então, o termo antivírus agora carrega duas definições: o modelo tradicional criado para usuários comuns em uma época em que arquivos maliciosos eram a principal ameaça, e o modelo corporativo NGAV, criado para ambientes corporativos gerenciados. A definição tradicional está desatualizada, e a definição corporativa nunca foi orientada para os usuários individuais. Nenhuma das duas cobre as ameaças que as pessoas enfrentam hoje em seus dispositivos pessoais no cotidiano.

As pessoas ainda pesquisam por "antivírus" quando o que elas realmente precisam é de proteção contra malware, phishing, roubo de identidade, golpes e roubo de contas. A definição precisa evoluir para acompanhar as ameaças que se espera que ela cubra.

A NordVPN define "antivírus de próxima geração" como uma ferramenta abrangente de proteção contra ameaças digitais. Com essa definição, um antivírus de última geração abrange a proteção em cinco áreas:

• Proteção contra golpes — detecta sites fraudulentos e lojas falsas, alertando os usuários sobre golpes em mensagens de SMS, identificando ligações suspeitas e dando proteção para as sessões bancárias.
• Proteção contra phishing — avalia URLs, links de e-mails e contéudo web em tempo real para identificar a coleta de credenciais antes que ela afete os usuários.
• Proteção contra sequestro de identidade e de contas — monitora tentativas de roubo de identidade, detecta padrões fraudulentos, verifica vazamentos na dark web para identificar exposição de informações pessoais e alerta sobre credenciais comprometidas. Do lado da conta, a detecção alerta sobre tentativas de acesso não autorizadas através de roubo de identidade, sequestro de sessões, clonagem de SIM e engenharia social, assim como sinalização de credenciais frágeis antes que os criminosos possam explorá-las.
• Bloqueio de rastreadores e anúncios — remove rastreadores cross-site, scripts de impressões digitais e anúncios intrusivos que prejudicam a privacidade, diminuem o desempenho do dispositivo e que criam pontos de entrada adicionais para ataques de engenharia social.
• Proteção de arquivos e de dispositivos — verificação de downloads, quarentena e remoção de arquivos maliciosos antes que eles sejam executados.

A NordVPN não está reinventando a categoria de antivírus, ela está expandindo essa categoria para abranger as ameaças que as pessoas já enfrentam e que esperam que um antivírus seja capaz de deter.

Como nós construímos nosso antivírus de última geração

Proteção digital eficiente é algo que exige equilíbrio entre três compromissos concorrentes: nós não criamos perfis dos usuários, nós medimos dados que podem ajudar a melhorar o produto e construímos um produto feito para funcionar sem exigir atenção por parte dos usuários.

Otimizar um elemento em detrimento dos outros gera um produto que ou é invasivo, inseguro ou difícil demais de usar. Um produto moldado para atender todos esses três princípios é algo difícil de fazer, mas é algo mais fácil de confiar.

Nós não criamos perfis

A NordVPN é uma empresa de privacidade. Nossos usuários confiam em nós porque não monitoramos o que eles fazem. Esse compromisso cria uma limitação constante, já que a detecção de ameaças tem que ser eficiente mesmo com menos dados do que seria o convencional.

Nossa regra é simples: só os dados necessários para identificar ameaças saem do dispositivo. Quando as análises precisam acontecer nos nossos servidores ao invés do dispositivo do usuário, nós removemos quaisquer conexões com o usuário antes que o dado seja movido.

Na prática, isso significa que:

• Os arquivos são verificados por hash sempre que possível, e não por conteúdo.
• Nós removemos quaisquer parâmetros de consulta das URLs antes de qualquer inspeção em nuvem, o que significa que nenhuma URL é vinculada a um usuário específico.
• Os cookies de autenticação são hasheados e só os primeiros oito caracteres saem do dispositivo.

Nosso esquema de dados não deixa nenhum espaço para identificação direta de usuários. Isso significa que a proteção de privacidade não depende de ninguém seguir as regras, já que o sistema força essas regras por padrão e design.

Nós fazemos métricas sem monitorar

A identificação de ameaças sem métricas é mera suposição. Afinal, nós precisamos saber se nosso classificador de phishing está melhorando, se nossa detecção de fraudes está capturando novos padrões e em quais situações nossos modelos estão deixando as ameaças passar. Responder essas perguntas exige dados de feedback.

No entanto, dados de feedback coletados sem restrições são exatamente a forma como um software de segurança se transforma em um software de vigilância. Nós evitamos esse risco medindo os sistemas de detecção e não coletando dados pessoais. Cada camada da nossa pilha produz dados agregados de desempenho:

• Os classificadores de aprendizagem de máquina (machine learning) relatam a taxa de detecção e a proporção de falsos positivos.
• O fuzzy hashing relata a velocidade de classificação.
• Os feeds de inteligência de ameaças relatam a atualidade do conteúdo.

O produto calcula essas métricas com base em amostras de nível populacional. Os modelos são retreinados com amostras de ameaças anonimizadas e resumos estatísticos. Nenhum histórico de navegação dos usuários entra no ciclo de feedback. Podemos informar se o nosso modelo de phishing está melhorando, mas não podemos dizer o que um usuário específico estava fazendo no momento em que uma ameaça foi sinalizada.

Nós projetamos nosso programa para ser invisível

A melhor segurança é aquela com a qual as pessoas nunca precisam se preocupar, sem configurações, sem aquele cansaço com tantos alertas e sem exigir conhecimentos técnicos. Desenvolver um produto que seja invisível para os usuários exige observar como as pessoas interagem com ele. Nós definimos o mínimo de dados necessários para aprimorar a experiência do usuário e paramos por aí.

Com o consentimento dos usuários, nós monitoramos:

• Informações sobre qual funcionalidade está ativada ou desativada e com que frequência cada uma é usada.
• Métricas de volume sobre quantas ameaças foram bloqueadas em um período determinado.
• Pontuações de satisfação dos usuários coletados por meio de pesquisas diretas.

Nenhum desses pontos de dados nos diz o que um usuário específico estava fazendo. Eles nos informam se o produto está funcionando bem o suficiente para que os usuários nunca precisem pensar nele.

Dados desse nível não são, por concepção, dados sensíveis. Eles não podem ser combinados para reconstruir comportamentos, inferir intenções ou criar um perfil.

A abordagem da NordVPN sobre a IA: modelos pequenos para funções específicas

A NordVPN emprega modelos de aprendizagem de máquina que são pequenos e dedicados, cada um deles treinado para tarefas de detecção bem definidas. Ao invés de construir um modelo único que tenta classificar todas as ameaças, nós desenvolvemos modelos construídos com propósito e que são usados em categorias de ameaças distintas:

• Um modelo treinado para avaliar URLs e identificar características de phishing.
• Um modelo focado em identificar os padrões de páginas de golpes de e-commerce.
• Um modelo que analisa o comportamento dos arquivos para buscar indicadores de malware.
• Um modelo refinado para identificar padrões de engenharia social nas mensagens.

Alguns modelos são leves o bastante para serem executados diretamente no dispositivo do usuário. Outros são executados dentro da extensão de navegador. E outros modelos exigem mais poder de processamento para rodar em backend. Quando o processamento acontece localmente, os dados relevantes continuam no dispositivo e não são enviados para servidores externos para análise.

Cada modelo pode ser validado e atualizado de forma independente. Então, quando houver uma queda na eficiência, nós podemos rastrear qual é a causa. E, como cada modelo é executado separadamente, nenhum deles demanda atenção por parte dos usuários nem interrompe a experiência deles.

Essa separação também faz com que as métricas sejam mais precisas. Quando um modelo dedicado a identificar phishing não tem um bom desempenho, nós sabemos exatamente o que devemos treinar mais e quais dados precisam de mais atenção. Quando um modelo de detecção de golpes gera falsos positivos, nós podemos ajustá-los sem efeitos colaterais na detecção de malware. Como cada modelo tem uma função única, nós podemos identificar exatamente o que falhou e como essa falha foi gerada.

Os modelos de aprendizagem de máquina funcionam bem dentro de um escopo definido, mas podem falhar quando são tratados como uma solução completa. Nossos modelos funcionam com sistemas baseados em regras, feeds de inteligência de ameaças e revisão humana, cada um deles cobrindo algo que o outro não pode cobrir.

Para classificar as ameaças em tempo real entre milhões de diferentes dispositivos e contextos, os pequenos modelos dedicados são a abordagem mais eficiente que nós encontramos e que não sacrifica a privacidade dos usuários.

Qual caminho vamos tomar a partir daqui

O termo antivírus não vai desaparecer. É nele que as pessoas pensam quando querem proteção digital, é sobre ele que elas pesquisam e é ele que elas compram. A indústria pode continuar estreitando a definição para a simples verificação de arquivos e tratar o resto do horizonte de ameaças como algo que é problema dos outros ou pode construir produtos que atendam as necessidades atuais e que realmente ajudem as pessoas que procuram por eles.

Nós escolhemos a segunda opção. Nós construímos um produto que abrange proteção contra golpes, identificação de phishing, monitoramento de identidade e segurança de arquivos, tudo baseado em privacidade, medido de forma rigorosa e projetado para funcionar sem exigir que os usuários sejam experts em segurança.

Uma ferramenta de proteção digital que abrange phishing, golpes, roubo de identidade e malware é o que nós acreditamos que a categoria antivírus deve ser capaz de entregar hoje.

Referências

¹ Šlekytė, I. (2025, June 25). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/