Hacker x cracker: o trabalho ético dos invasores de sistemas

Fugindo da imagem de criminosos virtuais, hackers mostram que o ataque pode ser a melhor defesa - Adobe Stock — Fugindo da imagem de criminosos virtuais, hackers mostram que o ataque pode ser a melhor defesa

Por Felipe Cavalheiro

20/12/2025 | 08h00 ● Atualizado | 17h10

Compartilhe

São Paulo, 20/12/2025 - Uma conta invadida, milhares de senhas vazadas e dados valiosos nas mãos do crime. Diante de um escândalo de cibersegurança, o nome "hacker" aparece como uma assombração. Mas especialistas da área vêm tentando afastar esta imagem de criminoso digital.

Cada vez mais o mercado da transformação digital tem encontrado lugar legítimo para os hackers: seus conhecimentos permitem fugir do óbvio e testar os sites de maneiras inusitadas, apontando possíveis lacunas de segurança às empresas.

Para se diferenciar daqueles que invadem sistemas para obter vantagens ilícitas e explorar os dados ilegalmente, a comunidade hacker criou outro nome: cracker. Cunhado em 1985, o termo vem do inglês "Crack" (quebrar), e reflete o caráter destrutivo destes agentes.

A classificação por chapéus

Uma solução mais moderna, preferida entre os profissionais da área, é a classificação por chapéus. A ideia é focar a denominação de "hacker" nas habilidades digitais e apontar o uso dessas habilidades como uma área cinza, onde o hacker transita conforme a ética do seu trabalho. A classificação tem a seguinte divisão:

Chapéu Branco: Estes são os hackers éticos mais tradicionais, que trabalham em conjunto com as instituições e fazem do ataque a melhor defesa.
Chapéu Cinza: Nesta categoria estão aqueles hackers independentes, que não pedem permissão, mas não exploram as fraquezas de forma ilícita. Seja por pura curiosidade, ou testar suas habilidades, eles invadem os sistemas, mas, ao obterem os dados sensíveis, notificam as empresas e não os vendem por dinheiro.
Chapéu Preto: Esta é a categoria que também representa os crackers. Mas um "hacker de chapéu preto" vai abusar do sistema em benefício próprio.

Mas como os "chapéus brancos" usam sua experiência para auxiliar na cibersegurança?

Invadindo sistemas como profissão

Pense no gerente de um banco, que mantém a chave para o cofre bem escondida, mas nem faz ideia de que um "MacGyver" consegue abrir a tranca usando um clipe de papel. No meio digital, os códigos de sites apresentam dezenas dessas fraquezas invisíveis, e é ai que um hacker entra: são contratados para invadir os sistemas, testar a segurança e notificar as próprias empresas sobre suas vulnerabilidades.

Chamado de "Pentest" (teste de penetração) esses ataques são permitidos e seguem contratos rigorosos, nos quais os hackers devem fazer um relatório detalhado de todos os pontos fracos, e nunca usar as informações em proveito próprio. É o que explica o fundador da escola de cibersegurança "Hackers Hive", Daniel Donda.

Nós identificamos a falha e apresentamos detalhadamente às empresas. Enquanto isso, um cracker identifica a falha e usa para roubar os dados, ou vender a informação. A diferença entre nós está nesse finalzinho: o que fazemos com o que foi descoberto."

Um dos grandes problemas pelo qual a segurança digital passa atualmente é a falta desses profissionais. Segundo levantamento da multinacional da área Fortinet, faltam cercade 750 mil especialistas em cibersegurança no País. Para lidar com este deficit, existem programas como o "Hackers Do Bem" da Rede Nacional de Ensino e Pesquisa (RNP), que oferece especializações específicas para os invasores éticos e introduzem o mercado aos futuros profissionais.

Donda explica que o mercado de trabalho é composto em sua maioria por agências de hackers que vendem o serviço às empresas, mas algumas multinacionais podem até mesmo ter invasores próprios, contratados como funcionários.

Além do trabalho tradicional, o especialista conhece hackers que obtêm toda a sua renda atuando como "caçadores de recompensa" das falhas. Nestes programas, chamados de "bug bounty", grandes empresas, principalmente as big techs, oferecem prêmios para quem conseguir encontrar as vulnerabilidades de seus sites.

A Meta, por exemplo, tem recompensas que variam de US$ 500 àUS$ 300 mil, dependendo do estrago que a vulnerabilidade encontrada poderia causar.

O diretor-adjunto da RNP, Leandro Guimarães explica que, além de ajudar a localizar as falhas, grandes prêmios servem como uma "propaganda" de segurança da empresa.

Se uma empresa oferece um valor muito baixo em seu programa de bug bounty, ela passa uma imagem de insegurança, como se qualquer um conseguisse invadi-la. Já um valor alto revela uma confiança da empresa, mostrando que garante a segurança de seus sistemas e está disposta a apostar um bom dinheiro nisso"

O rei da internet brasileira

Aos 15 anos, Daniel Nascimento era um jovem sem muita aptidão para estudos ou esportes. Mas, online, era um hacker respeitado, conhecido pelo "nick" (alcunha usada na internet) de DNX. O ano era 2004 quando outro hacker, da antiga Brasnet, roubou seu nick. Tendo seu orgulho de hacker ferido, ele respondeu derrubando os serviços da Telemar, responsável pelos servidores de Brasnet e mais um quarto da internet do Nordeste, deixando a região offline por uma semana.

Daniel Nascimento em roupas sociais, sentado em uma mesa do plenário, com um copo d'água, enquanto fala ao microfone — Daniel Nascimento em discurso no Plenário do Senado Federal durante sessão especial de debates temáticos destinada a discutir o tema fake news e seu impacto nas eleições de 2018 - Foto: Geraldo Magela/Agência Senado

Após ser preso em 2005 na operação pontocom; Nascimento decidiu mudar. Hoje, ele é consultor de cibersegurança e um dos grandes nomes brasileiros na defesa de sistemas.

Após contar sua história no livro "DN Pontocom", adaptado para o filme "O Rei da Internet" (2026), o hacker viveu algumas decepções ao "mudar de lado", especialmente no julgamento de quem ainda o liga a um criminoso.

"Eu abri minha vida ao alcance de qualquer autoridade, mas ainda tenho que ouvir 'você é corrupto'. O preconceito é muito grande, mas não vou abaixar minha cabeça".

Outra mudança que Nascimento implementou foi sua relação com a internet. Ele conta que, atualmente, evita navegar na rede e se conecta apenas para assistir filmes e séries. Após ver como o ambiente virtual realmente é, prefere manter somente o contato profissional.

Você vê muita coisa errada, como vazamento de dados, e sabe que está sendo monitorado; mas vai fazer o quê? Mesmo que eu trabalhe e viva disso, procuro ser um cara mais offline."

Uma batalha desigual

Um sentimento comum entre os hackers éticos é de que a disputa contra os invasores maliciosos é desbalanceada. Enquanto grupos criminosos se reúnem para adquirir as ferramentas mais avançadas e equipamento de qualidade, até mesmo usando Inteligência Artificial, muitas empresas ainda resistem em fazer o investimento adequado em cibersegurança, tornando o trabalho da defesa mais difícil.

Além disso, Donda relata sentir o peso da idade. Já acima dos 50 anos, ele vê o meio dominado por gente jovem, com uma linguagem própria e habilidades mais recentes. Treinando a nova geração, ele entende que a área da tecnologia sempre dá vantagem aos jovens.

Mesmo Nascimento, que ainda encontra respeito no meio hacker, enfrenta dificuldade para se manter atualizado. A velocidade da evolução tecnológica somada à restrição que os grupos crackers põem em suas técnicas evidenciam as diferenças etárias da área. Ainda assim, a experiência prática garante um diferencial.

São os ossos da idade, né? Não tem como se manter no auge, virando noites sem nem sentir como fazia aos 18 anos. Mas, enquanto alguns desses jovens estão 'voando' e citam a bíblia da tecnologia, nunca invadiram nada. Essa bagagem eu tenho."

Estagiário sob supervisão de Marcia Furlan

Compartilhe

Comentários

Política de comentários

Este espaço visa ampliar o debate sobre o assunto abordado na notícia, democrática e respeitosamente. Não são aceitos comentários anônimos nem que firam leis e princípios éticos e morais ou que promovam atividades ilícitas ou criminosas. Assim, comentários caluniosos, difamatórios, preconceituosos, ofensivos, agressivos, que usam palavras de baixo calão, incitam a violência, exprimam discurso de ódio ou contenham links são sumariamente deletados.