Cibercriminosos – O ritmo do crime digital atingiu um novo patamar de aceleração e sofisticação, conforme revela o Relatório Global de Resposta a Incidentes de 2026, elaborado pela Unit 42, a equipe de investigação e resposta a incidentes da Palo Alto Networks.
Os dados mostram que, até 2025, os 25% dos ataques mais rápidos conseguiram roubar dados em apenas 72 minutos, evidenciando uma agilidade sem precedentes. Além disso, a análise aponta que 87% das invasões atravessaram múltiplas superfícies de forma simultânea, demonstrando a capacidade dos criminosos de transitar por diferentes ambientes corporativos.
LEIA: Chinesa SpaceSail é autorizada a operar no Brasil e disputará mercado com Starlink
A investigação, fundamentada em mais de 750 casos tratados entre 2024 e 2025, confirma uma mudança drástica na dinâmica do setor. A identidade, composta pelas contas e permissões que dão acesso a sistemas, tornou-se o principal vetor de entrada e movimentação. Quase 90% das investigações apontaram falhas de identidade como fator determinante para o sucesso da invasão. Um exame de 680.000 identidades na nuvem revelou que 99% delas possuíam privilégios excessivos, facilitando a escalada de privilégios e a permanência oculta de agentes maliciosos.
De acordo com o relatório, os criminosos agora operam integrando navegação web, aplicativos em nuvem e identidades como se estivessem em uma única área de trabalho. O navegador tornou-se o centro do trabalho diário e, caso credenciais ou sessões sejam reutilizadas, permite que o invasor salte de um sistema para outro em questão de minutos. Por essa razão, o gerenciamento adequado de acessos e a visualização clara do ambiente SaaS tornaram-se pilares essenciais para reduzir o alcance das invasões.
No que diz respeito aos pontos de entrada, o phishing e a exploração de vulnerabilidades aparecem empatados com 22% cada. No entanto, as técnicas baseadas especificamente em identidade representaram 65% do acesso inicial, combinando phishing que burla a autenticação multifator (MFA), uso de credenciais vazadas (13%) e ataques de força bruta (8%).
A extorsão também apresentou mudanças significativas. Embora a criptografia de dados ainda ocorra, ela caiu para 78% dos casos, contra índices que anteriormente superavam 90%. Atualmente, grupos de cibercriminosos priorizam o roubo de informações e o contato direto com as vítimas, mesmo mantendo os sistemas operacionais.
Financeiramente, o mercado do crime inflou: a demanda inicial mediana subiu para US$ 1,5 milhão, enquanto o pagamento mediano fixou-se em US$ 500.000, refletindo negociações mais agressivas.
Para Patrick Rinski, Líder da Unit 42 para a América Latina, o cenário regional apresenta desafios específicos. Ele afirma que, na América Latina, a coexistência de ambientes híbridos, cadeias de suprimentos complexas e a adoção acelerada de SaaS exige o fechamento de lacunas de exposição, melhor governança de identidade e automação da contenção, mantendo o foco em práticas de higiene cibernética para evitar que o acesso inicial se transforme em uma crise operacional.
O relatório destaca ainda que o uso de ferramentas de acesso remoto que mimetizam tarefas administrativas comuns foi identificado em 39% das técnicas de comando e controle. Integrações OAuth, chaves de API e pacotes de terceiros podem herdar permissões e abrir portas para invasores por meio de um único ponto de comprometimento. Além disso, nota-se um ajuste estratégico em atores estatais, que buscam infiltração de longo prazo através de identidades falsas e processos de contratação, dificultando a detecção.
Para mitigar esses riscos, especialistas recomendam que as organizações reduzam a exposição com patches automáticos e inventários de integração, contenham o impacto com o uso de MFA resistente a phishing e apliquem o princípio do menor privilégio. A resposta rápida, medida em minutos, depende da unificação da telemetria e da automação de processos no centro de operações de segurança (SOC).
A experiência do último ano reforça que a melhor defesa não reside em ferramentas complexas, mas na execução rigorosa dos fundamentos de segurança: visibilidade total do ambiente, controle rigoroso de acessos e reação imediata a qualquer atividade suspeita.
(Com informações de TI Inside)
(Foto: Reprodução/Freepik/Zay Win Htal)
