A segurança cibernética brasileira e a persistência do básico
A percepção de que a segurança cibernética no Brasil está sob controle pode ser enganosa. Enquanto o mercado de tecnologia e os departamentos de TI das empresas buscam incorporar inteligência artificial e soluções avançadas, cibercriminosos continuam explorando uma realidade preocupante: o básico ainda não é feito de forma adequada. Um estudo recente da consultoria Vultus revela que quase metade dos ataques bem-sucedidos no Brasil (exatos 45,2%) começam por vulnerabilidades tão elementares que beiram o descuido.
Essa é a conclusão do Panorama do Risco Cibernético no Brasil 2026, que analisou 132 empresas em 11 setores da economia, representando mais de R$ 1 trilhão do PIB nacional. Os dados são claros: a probabilidade de um ataque cibernético ser bem-sucedido aumentou 3,7% no último ano, mesmo com um avanço de 5,6% na "maturidade em segurança" das organizações. Ou seja, as empresas estão investindo mais e se considerando mais preparadas, mas a realidade dos incidentes aponta para uma direção oposta.
O estudo indica um descompasso. A evolução interna da segurança nem sempre está alinhada à dinâmica real das invasões. A redução do risco global foi mínima, de apenas 2,8%, um número que mal reflete a dimensão do problema.
Alexandre Brum, CEO da Vultus, avalia que "Enquanto o mercado discute IA, computação quântica e investe como nunca em tecnologia e segurança, os atacantes também nunca tiveram tanto sucesso. Na corrida pelo novo, muitas empresas ainda falham no básico e repetem erros já vistos diversas vezes". Ele aponta para uma falha clara de priorização. As empresas parecem atraídas por tecnologias de ponta, enquanto deixam vulnerabilidades abertas por senhas fracas, sistemas desatualizados e configurações que facilitam a entrada de invasores.
Como os criminosos acessam os sistemas
O modo como os criminosos acessam os sistemas é particularmente revelador. Em 45,2% das simulações, realizadas em ambientes corporativos reais, a entrada para o ataque ocorreu por falhas consideradas básicas. Isso inclui vulnerabilidades de software frequentemente conhecidas, configurações inadequadas e, surpreendentemente, lacunas elementares na gestão de identidade. É como deixar a chave de casa em um local óbvio, com a diferença que a "casa" é uma corporação.
Além disso, em 26,2% dos casos, foram utilizadas credenciais válidas como vetor. Juntos, esses dois métodos representam mais de 70% dos pontos de entrada para os cibercriminosos. É um cenário que sugere que, antes de pensar em inteligência artificial para detecção avançada, as empresas precisam retornar aos fundamentos da higiene digital.
O detalhamento técnico do estudo reforça essa tendência preocupante. Em 38,1% dos testes, a autenticação multifator – um pilar básico da segurança moderna – estava ausente em ambientes de nuvem. Em 35,7% dos ataques, o sucesso veio da exploração de senhas previsíveis, um exemplo clássico da fragilidade humana na segurança. Adicionalmente, 21,4% dos casos viram credenciais capturadas fora do ambiente corporativo permitirem acesso direto aos sistemas internos, demonstrando a interconexão de riscos. E, em 23,8% das vezes, mesmo sem qualquer informação prévia, foi possível acessar Redes Virtuais Privadas (VPNs).
Engenharia social e a persistência do fator humano
A engenharia social, técnica que explora a psicologia humana para enganar e manipular, continua sendo uma ferramenta eficaz nas mãos dos criminosos. O estudo simulou mais de 80 mil interações e os resultados são alarmantes: a cada 34 usuários que abriram um e-mail fraudulento, 3 acabaram fornecendo credenciais válidas. Para um cibercriminoso determinado, um único par de credenciais já é suficiente para iniciar um dano considerável.
Isso ressalta a importância de treinamentos contínuos e eficazes em conscientização para todos os colaboradores, do CEO ao estagiário. Afinal, a tecnologia de segurança mais robusta pode ser ineficaz se o "elo humano" for o ponto mais fraco da corrente.
Serviços e Tecnologia lideram a lista de riscos no Brasil
Embora o risco cibernético seja generalizado, ele não se distribui de forma igual. O setor de Serviços se destaca como o de maior risco no país, com um Indicador de Risco (KRI) de 8,21. Em seguida vêm os setores de Tecnologia (8,12) e Saúde (7,96), ambos caracterizados por complexidade operacional e uma alta dependência de sistemas digitais — o que os torna alvos mais atraentes e, muitas vezes, mais vulneráveis devido à vasta quantidade de dados sensíveis que manuseiam.
Mesmo segmentos mais regulados e, em teoria, mais preparados, como o Financeiro (KRI de 7,86), Mercado de Capitais (7,84) e Telecomunicações (7,84), apresentam níveis elevados de exposição. Nesses casos, o problema não é a ausência de controles, mas sim a dificuldade em executá-los de forma consistente em ambientes que evoluem rapidamente.
O cruzamento de dados entre o impacto potencial e a probabilidade de invasão mostra um cenário ainda mais desafiador para alguns segmentos. Indústria e Agronegócio, por exemplo, concentram alguns dos maiores potenciais de dano após uma invasão. Isso significa que, mesmo que o acesso inicial talvez não seja o mais sofisticado, o prejuízo causado por um ataque bem-sucedido pode ser catastrófico para essas áreas essenciais da economia brasileira.
Incidentes e crises corporativas: a linha tênue
A capacidade de uma organização de responder a um incidente é o que, em última instância, define se ele permanecerá um problema controlável ou se transformará em uma crise corporativa de grandes proporções. E aqui, a notícia não é boa: apenas 23% das organizações no Brasil possuem processos estruturados de continuidade de negócios. E mesmo entre essas que se consideram preparadas, a realidade pode ser bem diferente.
A falta de planos de resposta a incidentes bem definidos e testados é um convite ao caos. Quando a invasão é inevitável – e o estudo sugere que é cada vez mais provável –, a capacidade de minimizar danos, recuperar sistemas e manter a operação é crucial. Sem isso, empresas não apenas perdem dados ou dinheiro, mas também a confiança de clientes e do mercado, um ativo muito mais difícil de reconstruir.
Como as empresas brasileiras podem, então, mudar essa situação? Ignorar o básico em nome da inovação parece ser uma estratégia perigosa. A segurança cibernética deve passar por uma reformulação focada nos fundamentos antes de alcançar as tecnologias futuristas?