Nem todo hacker é criminoso, e nem todos são heróis. A única coisa que decide de que lado da lei um hacker está é a autorização, e o setor de segurança classifica os tipos de hackers com base nessa única linha. Este guia detalha cada categoria que você vai ouvir falar: white hat, black hat e grey hat, além de script kiddies, hacktivistas, grupos patrocinados por Estados e ameaças internas. Para os mecanismos do próprio ofício, veja nosso guia pilar sobre o que é hacking. Quer praticar a versão legal? Comece pelo curso Ethical Hacking da HackerDNA.
As cores dos "chapéus" vêm dos antigos faroestes, onde o herói usava branco e o vilão usava preto. O mundo da cibersegurança adotou esse atalho porque ele captura a única distinção que importa em um tribunal: o dono do sistema disse sim. Todo o resto, as ferramentas, as técnicas, o nível de habilidade, pode ser idêntico entre um pentester remunerado e um operador de ransomware.
Resumo: Os principais tipos de hackers são o white hat (autorizado, legal, pago para encontrar falhas), o black hat (não autorizado, criminoso, lucro ou sabotagem) e o grey hat (não autorizado, mas não malicioso, ainda assim ilegal). Além dos três chapéus, você vai encontrar script kiddies, hacktivistas, grupos APT patrocinados por Estados e insiders maliciosos. A linha que define cada tipo é a autorização, não a técnica. Aprenda o caminho legal por meio de labs em sandbox, nunca em sistemas de produção.
Os Três Chapéus: White, Black e Grey
Os principais tipos de hackers são o white hat, o black hat e o grey hat. Os white hats testam sistemas com autorização por escrito para corrigir vulnerabilidades, e são pagos por isso. Os black hats invadem sem permissão para lucro, sabotagem ou roubo, o que é crime. Os grey hats agem sem autorização, mas divulgam o que encontram em vez de abusar, ficando em uma zona cinzenta jurídica.
Essas três categorias cobrem o eixo ético do hacking. Onde uma pessoa se encaixa não tem nada a ver com o quão habilidosa ela é e tudo a ver com ter ou não consentimento. Um grey hat que encontra a mesma falha de injeção SQL que um white hat usou uma habilidade idêntica, mas apenas um deles pode colocar isso no currículo.
Hackers White Hat
Os white hats, também chamados de hackers éticos, trabalham sob um contrato assinado que define exatamente o que podem testar e quando. Seu trabalho é encontrar fraquezas antes dos criminosos e então entregar as descobertas às pessoas que podem corrigi-las. O trabalho é totalmente legal porque a autorização existe por escrito antes de qualquer teste.
Motivação: salário, reputação e a satisfação de reforçar as defesas. Legalidade: legal, regida por um termo de escopo (Statement of Work) ou pelos termos de um programa de bug bounty. Exemplos reais: os pesquisadores por trás de divulgações coordenadas como Heartbleed e Spectre, os caçadores de bugs que ganham seis dígitos no HackerOne e no Bugcrowd, e equipes como o Project Zero do Google. Pentesters seniores nos Estados Unidos ganhavam cerca de 130 mil a 200 mil dólares em 2025, segundo várias pesquisas salariais. Nossa análise sobre se cibersegurança é uma boa carreira cobre o lado da demanda.
Hackers Black Hat
Os black hats atacam sem permissão, ponto final. Eles roubam dados, implantam ransomware, conduzem operações de phishing e vendem acesso a redes comprometidas. Suas ferramentas muitas vezes coincidem com as dos white hats, mas a falta de autorização transforma as mesmas teclas digitadas em crimes sob leis como o Computer Fraud and Abuse Act dos Estados Unidos.
Motivação: dinheiro, quase sempre. A economia moderna do black hat funciona à base de extorsão e fraude. Legalidade: criminosa em todo lugar, com penas que chegam a uma década ou mais de prisão. Exemplos reais: grupos de ransomware como o LockBit e o grupo Conti, hoje desarticulado, os atacantes por trás da violação da Equifax em 2017 que expôs 147 milhões de registros, e fraudadores individuais que operam kits de phishing. O relatório IBM 2024 sobre o custo de uma violação de dados estimou a violação média em 4,88 milhões de dólares globalmente, grande parte ligada ao hacking criminoso.
Hackers Grey Hat
Os grey hats vivem no meio desconfortável. Eles sondam sistemas que nunca foram convidados a testar, mas, em vez de explorar o que encontram, relatam, às vezes em privado ao fornecedor, às vezes publicando abertamente. A intenção costuma ser benigna. O acesso em si continua não autorizado, o que os mantém do lado errado da lei.
Motivação: curiosidade, reconhecimento ou a convicção de que o fornecedor precisa ser forçado a agir. Legalidade: ilegal na maioria das jurisdições mesmo quando ninguém é prejudicado, porque a lei se importa com o acesso, não com o resultado. Exemplos reais: pesquisadores que varrem a internet pública em busca de bancos de dados expostos e enviam e-mail aos donos, e a longa história dos relatos de "encontrei esse bug e me ameaçaram com um processo". O conselho honesto: se o trabalho de grey hat te atrai, canalize-o para um programa de bug bounty estruturado. A mesma emoção de encontrar bugs reais em sistemas reais, com um contrato que te mantém longe do tribunal.
White Hat vs Black Hat: A Linha da Autorização
A forma mais clara de entender os tipos de hackers é comparar as duas pontas do espectro. Um white hat e um black hat podem rodar o mesmo scan do Nmap contra o mesmo servidor. Um tem um documento de escopo assinado aberto em outra aba. O outro não. Esse documento é a diferença entre um salário e um processo.
Considere um cenário concreto. Um testador encontra um bypass de autenticação em um aplicativo bancário. O white hat documenta, escreve um relatório e orienta os desenvolvedores até a correção, sendo pago. O black hat usa o mesmo bypass para esvaziar contas. Mesma vulnerabilidade, mesmo exploit, mundos jurídicos opostos. A intenção importa moralmente, mas a primeira pergunta que um promotor faz é se você tinha permissão.
Na prática, essa linha também é o que torna a carreira de white hat sustentável. Você constrói um portfólio público de CVEs divulgadas e rankings de CTF sem nunca olhar por cima do ombro, enquanto o melhor trabalho de um black hat nunca pode ser mostrado a ninguém e o portfólio de um grey hat é uma responsabilidade à espera de uma intimação.
Além dos Chapéus: Outros Tipos de Hackers
O modelo dos três chapéus captura a ética, mas o mundo da segurança usa vários outros rótulos para o nível de habilidade, a motivação ou quem está pagando. Essas categorias cruzam os chapéus: um hacktivista geralmente é um black hat aos olhos da lei, um script kiddie pode usar qualquer chapéu de forma desajeitada. O vocabulário ajuda você a ler relatórios de ameaças e entender quem está por trás de um ataque.
Script Kiddies
Os script kiddies usam ferramentas prontas e exploits públicos sem entender como funcionam. O nome é depreciativo de propósito. Eles baixam um booter de DDoS pronto ou copiam um comando do Metasploit e apontam para qualquer alvo que chame a atenção. Motivação: geralmente vaidade ou tédio. Legalidade: seus ataques continuam sendo crimes, e a falta de habilidade costuma fazer com que sejam pegos rápido por deixarem rastros óbvios. Quando o código-fonte do botnet Mirai vazou em 2016, ele colocou uma poderosa capacidade de DDoS nas mãos de milhares de imitadores pouco qualificados da noite para o dia.
Hacktivistas
Os hacktivistas hackeiam para defender uma causa política ou social em vez de dinheiro, geralmente por meio de desfiguração de sites, ataques de negação de serviço e vazamentos de dados destinados a constranger um alvo. Motivação: ideologia, protesto ou ativismo. Legalidade: quase sempre ilegal, por mais simpática que a causa pareça. Exemplos reais: o coletivo difuso Anonymous e suas ramificações, que já visaram desde agências governamentais até fóruns extremistas. Uma causa não concede autorização, e os hacktivistas são processados sob as mesmas leis de crime informático que qualquer outra pessoa.
Hackers Patrocinados por Estados e APTs
Os hackers patrocinados por Estados trabalham para ou em nome de um governo. Os relatórios de inteligência de ameaças os rastreiam como Advanced Persistent Threats (APTs): grupos numerados com financiamento de longo prazo, ferramentas sob medida e paciência medida em meses ou anos. Motivação: espionagem, roubo de propriedade intelectual, sabotagem de infraestrutura crítica e vantagem geopolítica. Legalidade: ilegal sob as leis do país vítima, mas os atacantes operam com imunidade de fato em casa. Exemplos reais: o worm Stuxnet que danificou centrífugas iranianas por volta de 2010, e o comprometimento da cadeia de suprimentos da SolarWinds em 2020, atribuído a um grupo estatal russo que atingiu milhares de organizações. Esses são os atacantes mais bem equipados do planeta.
Insiders Maliciosos
Os insiders já têm acesso legítimo. A ameaça surge quando um funcionário ou prestador de serviço abusa desse acesso para roubar dados, sabotar sistemas ou vender credenciais. Motivação: pressão financeira, vingança após ser preterido ou demitido, ou recrutamento por um grupo externo. Legalidade: criminosa, e muitas vezes mais fácil de processar porque os logs de acesso apontam diretamente para uma conta nomeada. Exemplos reais: funcionários que exfiltram listas de clientes antes de pedir demissão, e o abuso de credenciais que o DBIR da Verizon de 2024 sinaliza repetidamente como um dos principais motores de violações. O risco interno é a razão pela qual o "menor privilégio" e o registro de acessos são controles de segurança fundamentais.
Vermelho, Azul e Roxo: Cores de Equipe, não Chapéus
Uma fonte de confusão: o setor também usa cores para os papéis dentro de uma organização, e elas não têm nada a ver com os chapéus éticos. Todo membro de uma equipe vermelha, azul ou roxa é um white hat trabalhando sob autorização. As cores descrevem de que lado de uma luta simulada eles estão.
A equipe vermelha faz o papel do atacante. Ela simula um adversário real contra os sistemas do próprio empregador, muitas vezes ao longo de semanas, para testar se os defensores conseguem detectar e responder a um invasor determinado. O red teaming vai mais fundo do que um teste de intrusão padrão, que normalmente é uma caça a bugs mais curta e limitada a um escopo.
A equipe azul reúne os defensores: analistas de SOC, respondedores a incidentes e caçadores de ameaças que monitoram os logs, ajustam as detecções e investigam os alertas. Eles constroem e mantêm as defesas que a equipe vermelha tenta burlar.
A equipe roxa é menos um grupo do que um jeito de trabalhar. Ela coloca o vermelho e o azul na mesma sala para que cada ataque bem-sucedido da equipe vermelha vire uma nova detecção escrita pela equipe azul. Você também vai ouvir "green hat" para um iniciante aprendendo o básico. Nenhum desses termos diz respeito à legalidade: são funções, todas firmemente white hat.
Que Tipo de Hacker Você Deve Se Tornar?
Se você está lendo isto para descobrir onde se encaixa, a resposta é quase certamente white hat, e as razões são práticas, não apenas morais. O caminho legal é o único com uma carreira associada: paga bem, a demanda é enorme, e as habilidades se transferem diretamente de um lab para um emprego. Os caminhos ilegais não oferecem currículo, oferecem exposição jurídica constante e um final estatisticamente sombrio.
O aprendizado técnico é idêntico, não importa qual chapéu você imagine usar. Você estuda as mesmas vulnerabilidades, usa as mesmas ferramentas e pensa da mesma forma adversária, só que contra alvos que são explicitamente seus para atacar. Para um roteiro de como os hackers em atividade construíram suas habilidades, leia como os hackers aprendem a hackear, e se as competições te atraem, o guia CTF para iniciantes. Quando estiver pronto para provar a habilidade a um empregador, a OSCP é a certificação ofensiva de nível inicial mais respeitada; nosso guia de preparação para a OSCP aborda isso. Familiarize-se com as ferramentas essenciais por meio do nosso guia rápido do Nmap e do nosso tutorial do Burp Suite.
Considerações Legais e Éticas
Lembrete crítico: O tipo de hacker que você se torna é decidido por uma só coisa: a autorização. Acessar qualquer sistema sem permissão explícita por escrito do seu dono é crime em todos os países desenvolvidos. Nos Estados Unidos, o Computer Fraud and Abuse Act (18 USC 1030) prevê penas de até 10 anos de prisão federal por infração; o Reino Unido aplica o Computer Misuse Act 1990 e a União Europeia a Diretiva 2013/40/UE. Boas intenções não tornam o acesso grey hat legal. Obtenha a permissão por escrito, assinada por alguém com autoridade para concedê-la, antes de tocar em qualquer coisa.
Cada linha ética deste artigo se resume à mesma regra. Os white hats permanecem legais porque têm um escopo por escrito. Os black hats são criminosos porque não têm nenhum. Os grey hats se metem em encrenca porque presumem que a boa intenção substitui o consentimento, e não substitui. Os lugares legítimos para praticar são inequívocos: plataformas de CTF em sandbox, máquinas virtuais vulneráveis que você possui, e provedores de labs cujos alvos são autorizados para ataque. Os programas de bug bounty estendem isso a sistemas de produção, mas apenas dentro das regras publicadas por cada programa.
Seus Próximos Passos
Você agora conhece a taxonomia completa dos tipos de hackers, dos três chapéus às APTs e aos insiders, e o único fator que separa um profissional respeitado de um réu: a autorização. Os rótulos ajudam você a ler relatórios de ameaças, mas para o seu próprio caminho apenas um deles é uma carreira. Escolha o white hat e o resto da jornada passa a ser uma questão de habilidade, não de risco jurídico.
A forma mais rápida de construir habilidades white hat é fazer a coisa legalmente, hoje, em um sandbox. O curso Ethical Hacking da HackerDNA conduz você pelo reconhecimento, varredura e exploração contra alvos autorizados no seu navegador. A partir daí, os labs de cibersegurança oferecem centenas de máquinas vulneráveis, e o curso bug bounty fundamentals mostra como transformar a habilidade em trabalho remunerado. Para os mecanismos de como os ataques realmente funcionam, o guia pilar sobre o que é hacking aprofunda a metodologia e as ferramentas. O plano gratuito não exige cartão de crédito nem instalação local: abra um navegador, escolha um lab e comece a hackear do jeito legal.
Perguntas Frequentes sobre Tipos de Hackers
Quais são os três principais tipos de hackers?
Os três principais tipos de hackers são o white hat, o black hat e o grey hat. Os white hats testam sistemas legalmente com permissão para melhorar a segurança. Os black hats invadem ilegalmente para lucro ou para causar dano. Os grey hats agem sem autorização, mas divulgam falhas em vez de explorá-las, o que ainda é ilegal apesar da boa intenção.
Qual é a diferença entre white hat e black hat?
Os white hats trabalham legalmente com autorização por escrito para encontrar e corrigir vulnerabilidades, e são pagos por isso. Os black hats invadem sistemas sem permissão para fins maliciosos ou ganho financeiro. As habilidades técnicas podem ser idênticas. A diferença que importa no tribunal é a autorização: os white hats a têm, os black hats não.
Os grey hat hackers são ilegais?
Sim, o hacking grey hat é ilegal na maioria das jurisdições mesmo quando o hacker não pretende causar dano. A lei se importa com o acesso não autorizado, não com o resultado, então acessar um sistema que você não foi convidado a testar é crime, relate o bug depois ou não. Os programas de bug bounty oferecem uma alternativa legal com o mesmo tipo de alvos reais.
O que é um script kiddie?
Um script kiddie é um atacante pouco qualificado que usa ferramentas prontas e exploits públicos sem entender como funcionam. Ele depende de softwares prontos como booters de DDoS ou comandos do Metasploit copiados. Seus ataques continuam ilegais, e a falta de habilidade costuma fazer com que deixe rastros óbvios e seja pego rapidamente.
O que é um hacker patrocinado por um Estado?
Um hacker patrocinado por um Estado trabalha para ou em nome de um governo, geralmente rastreado como uma Advanced Persistent Threat (APT). Esses grupos têm financiamento de longo prazo, ferramentas sob medida e paciência, e focam em espionagem, roubo de propriedade intelectual e sabotagem de infraestrutura crítica. Stuxnet e o comprometimento da SolarWinds são exemplos conhecidos de operações em nível estatal.
As equipes vermelha e azul são diferentes dos white hats?
Não. As equipes vermelha, azul e roxa são todas papéis white hat trabalhando sob autorização. As equipes vermelhas simulam atacantes contra a própria organização, as equipes azuis defendem e respondem, e as equipes roxas coordenam as duas para que os ataques virem novas detecções. As cores de equipe descrevem uma função, não a legalidade.
Parte do nosso guia sobre hacking: O que é Hacking? O Guia Completo
- Como os Hackers Aprendem a Hackear?
- Tipos de Hackers: White Hat vs Black Hat
- CTF para Iniciantes
