Alerta da Associação Juliano Varela: como a falta de segurança da informação afeta oganizações do terceiro setor
Maio de 2025 – O recente ataque cibernético à Associação Juliano Varela, instituição social de Campo Grande (MS), é um triste exemplo das fragilidades digitais que ainda afetam o terceiro setor no Brasil. Apesar da rápida recuperação dos valores desviados (R$ 60 mil), o incidente escancarou vulnerabilidades tecnológicas graves e a urgente necessidade de políticas eficazes de segurança da informação em ONGs, fundações e entidades filantrópicas.
O ataque, ocorrido em setembro de 2024 e investigado até maio de 2025, não envolveu técnicas extremamente sofisticadas. Segundo relatos da diretoria da entidade e da polícia, os criminosos burlaram dois fatores de autenticação, acessando a conta bancária da instituição com informações legítimas.
Isso indica um cenário comum nas organizações sociais. Muitas vezes, são utilizadas senhas fracas, repetidas ou comprometidas em vazamentos anteriores. A autenticação multifator, quando existe, costuma estar mal configurada — limitada a mensagens SMS ou aplicativos vulneráveis. Também é comum que qualquer colaborador tenha acesso a informações sensíveis, sem segmentação ou restrição adequada. Além disso, há uma ausência generalizada de monitoramento em tempo real para identificar atividades suspeitas. Esses erros são evitáveis, mas continuam sendo cometidos por falta de uma cultura de cibersegurança.
Organizações sociais geralmente operam com orçamentos limitados e equipes pequenas, o que leva à negligência tecnológica. Muitas vezes, os sistemas operacionais utilizados estão desatualizados e sem correções de segurança. Falta proteção básica, como firewalls, antivírus atualizados ou ferramentas de detecção de ameaças.
O armazenamento de informações críticas — inclusive dados pessoais e financeiros — costuma ser feito em planilhas abertas, sem criptografia, muitas vezes compartilhadas por diversos usuários. E, em tempos de trabalho remoto, o acesso é feito de forma insegura, sem uso de VPNs ou protocolos de proteção adicionais.
Esse conjunto de vulnerabilidades cria o cenário ideal para golpes de engenharia social, invasões simples e roubo de credenciais. Ao mesmo tempo, essas instituições lidam com recursos públicos, doações e informações sensíveis, o que as torna alvos estratégicos e, infelizmente, desprotegidos.
Mais do que ferramentas, o que falta é maturidade em segurança da informação. Isso começa com educação e capacitação. É essencial oferecer treinamentos regulares para que colaboradores reconheçam tentativas de phishing, compreendam o funcionamento de golpes de engenharia social e adotem boas práticas no uso de e-mails, redes e dispositivos. Também devem entender a importância de políticas claras para senhas e proteção de dados.
Na gestão de acesso e autenticação, é necessário implementar autenticação multifator (MFA) real, utilizando aplicativos confiáveis ou chaves físicas. Os acessos precisam ser segmentados de acordo com a necessidade de cada função: quem não precisa ver ou editar dados financeiros, não deve ter esse privilégio. Mesmo equipes pequenas podem se beneficiar de soluções de gestão de identidade e acesso (IAM).
No que se refere a monitoramento e resposta, é fundamental adotar ferramentas capazes de registrar logins, rastrear movimentações financeiras e acompanhar o tráfego de rede. Auditorias periódicas devem ser realizadas em sistemas e dispositivos. E, acima de tudo, é preciso ter um plano de resposta a incidentes: um protocolo claro de quem deve ser acionado, como conter o dano e como comunicar o ocorrido aos envolvidos.
Por fim, é preciso garantir uma tecnologia mínima viável. Isso inclui manter todos os sistemas e softwares com atualizações automáticas ativadas, instalar antivírus e firewalls mesmo em estações de trabalho simples, e realizar backups regulares. Esses backups devem ser criptografados e armazenados fora do ambiente principal para evitar que também sejam comprometidos em caso de ataque.
O caso da Associação Juliano Varela não deve ser lembrado apenas como um crime resolvido, mas como um alerta estrutural. É possível — e necessário — investir em segurança da informação de maneira acessível, escalável e adequada à realidade do terceiro setor.
Essa transformação começa com uma mudança de mentalidade: entender que proteger dados e sistemas é proteger a própria missão da organização. O roubo de R$ 60 mil por falta de segurança pode interromper serviços essenciais — e isso é inaceitável quando vidas dependem da continuidade do trabalho dessas instituições. Segurança da informação não é um luxo. É um compromisso institucional.