Dezoito anos em segurança ofensiva nos setores financeiro, governo, mídia, saúde e infraestrutura crítica. Do Brasil à Europa. Confiança em grau federal.
Pentester · Red Team · Open Banking · FAPI · LGPD · GDPR · PCI-DSS
Citado nos principais veículos brasileiros e internacionais cobrindo segurança cibernética, fraude financeira e investigações digitais.
Onde fomos foco
Since 2007. No hacking course — I watched my first bank get breached and realized the problem wasn't technical, it was about people.
Dezoito anos depois, a mesma obsessão: encontrar a porta antes do criminoso encontrar. Operei dentro do maior banco público da América Latina, em plataformas de Open Banking, em bancos privados de Brasil, Portugal, Itália e Marrocos, na maior empresa de iGaming do mundo e no backbone de pagamentos da Europa.
Em paralelo, auxiliei a Polícia Federal e a Polícia Civil em casos cibernéticos complexos, e palestrei na Florida Association of Private Investigators sobre phishing e técnicas de ataque web.
O foco é o mesmo em qualquer engagement: onde dói mais, onde o adversário é mais sofisticado, onde a margem de erro é zero.
Setor financeiro domina em número de engagements, mas o ofício é o mesmo em todo ambiente regulado e de alta exposição. Onde o dado tem consequência, eu operei.
Por restrição contratual, as descrições são intencionalmente genéricas. Vulnerabilidades específicas, vetores explorados e achados de auditoria nunca são publicados — nem aqui, nem em LinkedIn, nem em CV. A lista abaixo cobre apenas relações contratuais públicas.
Lista parcial · Engajamentos ativos permanecem confidenciais até o fim do contrato · Clientes só são divulgados com consentimento
Palestra sobre ameaças digitais, investigações cibernéticas e proteção de dados. Foco em phishing, ataques web e cadeia de evidência forense aplicada à investigação privada.
Apoio técnico em casos cibernéticos de alta complexidade — análise forense, atribuição de ataque, identificação de vetores e suporte à fase investigativa.
Você explica o escopo. Eu explico se encaixa. Conversa direta com quem opera — não com vendedor.
Slot de 30 minutos. Vídeo ou áudio. Inglês, português, espanhol ou italiano.
Não consegue ver o calendário? Abrir em nova aba.
Divulgações em tempo real de vítimas de ransomware, do ransomware.live, para o Brasil.
Disclaimer. Não me responsabilizo por essa lista. O ransomware.live agrega claims públicas postadas por atacantes em leak sites e fóruns. A informação pode ser verdadeira ou não — atacantes às vezes exageram, vítimas às vezes ainda não confirmaram publicamente. Trate como awareness situacional, não como registro legal.
Tático, atual, com opinião. Tirado de engagements reais — não de um Slideshare de 2018. iOS · Android · ambos.
Operadoras já foram manipuladas via engenharia social para transferir números a atacantes. Configure um PIN de transferência com a operadora. Sem ele, seu telefone está a uma ligação de pertencer a outra pessoa.
iOS 17.3+. Exige Face ID para mudanças sensíveis mesmo em locais "confiáveis". Derrota o ataque celular-roubado-com-PIN-observado que esvazia contas em 90 segundos.
SMS roda no SS7 — desenhado nos anos 80, ainda hoje trivialmente interceptado por qualquer um com acesso à telco. Use TOTP (Aegis, Raivo, 2FAS) ou, melhor, passkeys.
Ajustes → Face ID e Senha → Acessórios USB DESLIGADO. Bloqueia ferramentas forenses de extração (Cellebrite, GrayKey) quando o aparelho é plugado bloqueado.
Malware vive na Acessibilidade. Concedido o acesso, ele lê cada tela, digita cada tecla, descarta cada prompt. Configurações → Acessibilidade → revise mensalmente. Revogue tudo que não reconhecer.
iOS 17.2+. Detecta quando um contato foi substituído via MITM no servidor. Crítico para executivos, advogados, jornalistas. Desativado por padrão — ligue com quem você troca dados sensíveis.
Celulares transmitem probe requests para cada rede que lembram. Atacantes estilo Karma falsificam "linksys" ou "Starbucks Wi-Fi" e seu telefone conecta silenciosamente. Esqueça o que não usa.
FIDO2/WebAuthn. Chave privada vive no secure enclave, nunca transmitida. Imune a phishing por design. Apple, Google, Microsoft e grandes bancos suportam — comece pelo banco.
Portas USB públicas = superfície de juice-jacking. Aeroportos, hotéis, conferências. Um adaptador USB data-block de €4 ou um cabo só-carga mata o ataque. Use sempre que não estiver em casa.
Atualizado em 2026-04 · A lista rota conforme a superfície de ameaça muda