A probabilidade de um ataque hacker bem-sucedido contra organizações brasileiras cresceu 3,7% no último ano, mesmo com avanço de 5,6% na maturidade em segurança. Os dados constam do estudo “Panorama do Risco Cibernético no Brasil 2026”, publicado pela consultoria Vultus, com base em 132 organizações de 11 setores da economia que representam mais de R$ 1 trilhão do PIB brasileiro. O documento indica que a redução do risco global foi de apenas 2,8%, evidenciando um descompasso entre a evolução interna das defesas e a dinâmica real das invasões.
Falhas básicas e credenciais respondem por 70% dos acessos iniciais
O estudo da Vultus revela que, em 45,2% das simulações conduzidas em ambientes corporativos reais, o acesso inicial ocorreu por falhas básicas, como vulnerabilidades de software, configurações inadequadas e lacunas na gestão de identidade. Outros 26,2% dos casos envolveram uso de credenciais válidas. Juntos, esses dois vetores concentram mais de 70% das portas de entrada. O detalhamento técnico mostra que, em 38,1% dos testes, ambientes em nuvem operavam sem autenticação multifator. Em 35,7% dos casos, ataques tiveram sucesso ao explorar senhas previsíveis. Em 21,4% das simulações, credenciais capturadas fora do ambiente corporativo permitiram acesso direto aos sistemas. Mesmo sem qualquer informação prévia, foi possível acessar VPNs em 23,8% das simulações.
Engenharia social amplia cenário; serviços lideram risco no Brasil
Alexandre Brum, CEO da Vultus, afirmou que o cenário evidencia uma falha de priorização: enquanto o mercado discute IA e computação quântica, muitos atacantes ainda obtêm sucesso ao explorar o básico. O estudo aponta que, em mais de 80 mil interações simuladas de engenharia social, a cada 34 usuários que abriram um e-mail fraudulento, 3 forneceram credenciais válidas. O relatório indica que o risco é elevado em todos os setores, mas não homogêneo. Serviços lidera o ranking, com indicador de risco (KRI) de 8,21, seguido por tecnologia (8,12) e saúde (7,96). Mesmo setores regulados, como financeiro (7,86) e telecomunicações (7,84), mantêm níveis elevados de exposição pela dificuldade de executar controles de forma consistente.
Governança fica para trás e capacidade de resposta é o elo fraco
A análise de maturidade da Vultus mostra um desalinhamento estrutural: o pilar de tecnologia apresenta o maior nível entre os avaliados, enquanto governança aparece na última posição. Apenas 23% das organizações possuem processos estruturados de continuidade de negócios, e os planos frequentemente estão desatualizados ou desconectados dos riscos reais. O estudo conclui que empresas com controles implementados, mas sem capacidade de sustentar a operação diante de um ataque, amplificam o dano com indisponibilidade prolongada e perdas operacionais e financeiras maiores.
Falhas básicas (vulnerabilidades de software, ausência de MFA e senhas previsíveis) ainda respondem pela maioria dos acessos iniciais em organizações brasileiras. Observa-se que mesmo setores regulados e com alta maturidade tecnológica apresentam riscos elevados devido à dificuldade de execução consistente de controles. O caso demonstra que a capacidade de resposta e continuidade de negócios é o fator mais negligenciado, amplificando o dano de crises. Recomenda-se que empresas priorizem a correção de lacunas básicas e invistam em governança e planos de continuidade atualizados e testados.
FONTE: CISO ADVISOR
