Relatório da Sophos revela: falhas de identidade estão por trás de 67% dos ataques cibernéticos
Pesquisadores da Sophos identificaram que quase sete em cada dez incidentes de segurança analisados no último ano tiveram um ponto em comum: problemas de identidade e controle de acesso. O Relatório Sophos Active Adversary 2026, que examinou 661 casos entre novembro de 2024 e outubro de 2025, mostra que credenciais expostas, MFA mal implementado e sistemas de autenticação frágeis continuam sendo o principal vetor de entrada para criminosos digitais.
Identidade no centro dos ataques
De acordo com o estudo, 67% dos incidentes cibernéticos investigados tiveram origem em ataques relacionados à identidade. Isso inclui desde o uso de senhas roubadas ou reaproveitadas em vários serviços até a exploração de falhas em provedores de identidade e erros de configuração em mecanismos de autenticação.
Os invasores têm concentrado esforços em tudo que envolve contas de usuários, privilégios administrativos e Active Directory. Em muitos casos, não é necessário explorar uma vulnerabilidade sofisticada: basta encontrar uma combinação de login e senha válida, sem proteção adicional, para iniciar a invasão.
Força bruta encosta na exploração de vulnerabilidades
O relatório revela ainda uma mudança importante na forma como os atacantes obtêm o acesso inicial. A atividade de força bruta – quando sistemas automatizados tentam senhas repetidamente até acertar – representou 15,6% dos casos, praticamente empatando com a exploração direta de vulnerabilidades em sistemas e aplicações, responsável por 16% dos acessos iniciais.
Esse equilíbrio indica que, para muitos criminosos, tentar adivinhar ou testar credenciais comprometidas é tão eficiente quanto explorar falhas técnicas em software. O investimento em mecanismos de proteção de identidade, portanto, torna-se tão ou mais crítico do que apenas o patching de sistemas.
Ausência de MFA abre as portas
Um dos dados mais preocupantes do estudo é a baixa adoção de autenticação multifator. Em 59% dos incidentes analisados, nenhuma forma de MFA estava habilitada nas contas comprometidas. Sem essa camada extra de verificação, o criminoso só precisa de usuário e senha para assumir o controle de serviços corporativos, e-mails e portais internos.
A falta de MFA facilita diretamente o abuso de credenciais vazadas em incidentes anteriores, phishing, malware ou compra em mercados clandestinos. Mesmo quando a organização possui MFA em parte do ambiente, contas privilegiadas ou serviços críticos muitas vezes permanecem desprotegidos, servindo de ponto de entrada para ataques complexos.
Segundo John Shier, Field CISO da Sophos, as empresas precisam tratar a segurança de identidade como prioridade estratégica, adotando uma postura proativa em vez de reagir somente após uma invasão.
Movimentação rápida dentro da rede
O relatório também destaca uma redução no tempo de permanência dos invasores dentro das redes comprometidas. Em média, os criminosos permanecem cerca de três dias antes de serem detectados ou concluírem suas ações. Essa queda é resultado tanto da maior agilidade dos defensores quanto do comportamento mais “acelerado” dos próprios atacantes, que buscam agir rapidamente para reduzir chances de detecção.
Depois da invasão inicial, o tempo até o alcance do servidor de Active Directory (AD) é alarmantemente curto: em torno de 3,4 horas. Esse intervalo é suficiente para que invasores escalem privilégios, criem novas contas, alterem políticas e preparem o terreno para atividades como ransomware, exfiltração de dados ou persistência de longo prazo.
Ransomware ainda prefere o “pós-expediente”
Os dados da Sophos reforçam um padrão já observado em anos anteriores: a esmagadora maioria dos ataques de ransomware é executada fora do horário comercial. Aproximadamente 88% das cargas de ransomware são disparadas durante a noite, fins de semana ou feriados, quando as equipes de TI e segurança estão operando com menos recursos ou até em regime de plantão.
No mesmo sentido, 79% das atividades de exfiltração de dados – cópia e envio de informações sensíveis para servidores controlados pelos criminosos – também ocorrem fora do expediente. A combinação entre movimentação rápida na rede e ataques programados para horários críticos dificulta a resposta e aumenta o impacto para a organização.
Crescimento e diversificação de grupos de ameaça
O relatório registra o maior número de grupos de ameaça ativos desde o início da pesquisa. Entre eles, o grupo Akira se destaca, aparecendo em 22% dos incidentes analisados. Ao todo, foram identificadas 51 “marcas” diferentes de ransomware em atividade, sendo 24 delas novas no período avaliado.
Essa fragmentação do cenário de ameaças mostra que o ecossistema criminoso está em constante renovação. Grupos se desdobram, se reorganizam, mudam de nome ou adotam novos modelos de negócio, como o ransomware-as-a-service, o que dificulta o rastreio e a prevenção apenas com base em indicadores estáticos.
Falta de telemetria: um inimigo silencioso
Um dos obstáculos mais graves para a defesa é a escassez de telemetria confiável. A Sophos registrou um aumento significativo na ausência de logs e dados de auditoria, em grande parte devido a políticas inadequadas de retenção de informações ou limitação de armazenamento. Em comparação com o ano anterior, os casos em que não havia registros suficientes praticamente dobraram.
Sem logs de autenticação, eventos de sistema e registros de rede, é muito mais difícil reconstruir a cronologia de um ataque, identificar o ponto de entrada, avaliar o escopo do comprometimento e corrigir falhas estruturais. Além disso, a ausência de telemetria impede o uso efetivo de soluções avançadas de detecção e resposta, como EDR, XDR e SOC gerenciado.
Inteligência artificial: impacto mais sutil que o esperado
Apesar da forte atenção dada ao uso de inteligência artificial por criminosos, o estudo não identificou uma transformação radical das técnicas de ataque motivada exclusivamente por IA. Em vez de novas táticas espetaculares, o que se observa é um ganho de escala e refinamento em práticas que já existiam.
Um exemplo claro é o phishing: IA generativa e ferramentas automatizadas têm sido usadas para produzir mensagens mais convincentes, adaptadas ao idioma, ao contexto da vítima e até a estilos de comunicação específicos. Isso aumenta a taxa de sucesso de campanhas de roubo de credenciais, que continuam sendo a porta de entrada para muitos dos ataques analisados.
O papel de Cloud e SaaS na superfície de ataque
Embora o relatório foque na atividade dos invasores dentro dos ambientes corporativos, é impossível ignorar o papel crescente de serviços em nuvem e aplicações SaaS na superfície de ataque. Muitas organizações partem do pressuposto equivocado de que dados em ferramentas de colaboração, e-mail corporativo em nuvem ou plataformas de produtividade estão automaticamente protegidos e com backup garantido.
Na prática, porém, a responsabilidade por cópias de segurança, política de retenção e proteção contra exclusão maliciosa costuma recair sobre o próprio cliente. Quando um invasor obtém acesso a uma conta com privilégios amplos em um serviço SaaS, pode não apenas roubar informações, como também apagar dados críticos, alterar configurações de segurança e criar novas brechas.
Boas práticas para fortalecer a segurança de identidade
Diante dos números apresentados pela Sophos, algumas medidas se destacam como prioritárias para reduzir o risco de ataques relacionados à identidade:
– Implementar MFA de forma ampla, incluindo contas privilegiadas, VPN, acesso remoto, e-mails e serviços críticos em nuvem.
– Adotar autenticação baseada em risco e acesso condicional, bloqueando ou restringindo logins suspeitos, mesmo com senha correta.
– Aplicar o princípio do menor privilégio, limitando permissões de usuários e administradores ao estritamente necessário.
– Realizar revisões periódicas de contas órfãs, acessos antigos, grupos de administradores e integrações com sistemas externos.
– Investir em proteção de Active Directory, monitoramento de alterações e segregação de funções administrativas.
Essas ações, combinadas com monitoramento contínuo, podem interromper o ciclo em que uma única credencial vazada resulta em comprometimento em larga escala.
Telemetria e resposta: por que SOC gerenciado ganha relevância
Com invasores se movendo em poucas horas até o Active Directory e executando ransomware fora do horário comercial, contar apenas com equipes internas em horário de expediente se torna arriscado. Serviços de monitoramento 24×7, seja por meio de SOC interno maduro ou de soluções gerenciadas, tornam-se fator decisivo para detectar movimentos laterais, escalonamento de privilégios e tentativas de exfiltração em tempo hábil.
A coleta e correlação adequada de logs – de endpoints, servidores, firewalls, proxies, serviços em nuvem e soluções de identidade – permite identificar padrões anômalos que, isoladamente, poderiam passar despercebidos. Sem essa visibilidade, a organização fica cega justamente nos momentos em que mais precisa reagir.
Cultura de segurança e treinamento de usuários
Como grande parte dos ataques parte do abuso de identidade, o elo humano permanece no centro da discussão. Programas recorrentes de conscientização em segurança, com foco em reconhecimento de phishing, uso de senhas fortes, reporte rápido de atividades suspeitas e cuidado com dispositivos pessoais, ajudam a reduzir a taxa de sucesso de ataques de engenharia social.
No entanto, treinamento por si só não substitui controles técnicos robustos. Ele precisa ser combinado com tecnologias como filtros de e-mail, proteção de endpoint, isolamento de conteúdo e monitoramento de comportamento para criar camadas sucessivas de defesa.
Planejamento de resposta e resiliência
Os dados do relatório reforçam a necessidade de preparar a organização para o cenário de inevitabilidade: em algum momento, uma conta pode ser comprometida ou uma vulnerabilidade pode ser explorada. O diferencial estará na capacidade de detectar cedo, conter o ataque e restaurar operações com o menor impacto possível.
Planos de resposta a incidentes testados regularmente, simulações de ataques (tabletop exercises), inventário atualizado de ativos e rotinas claras de comunicação interna e externa são elementos que aumentam a resiliência. Backups isolados, frequentemente testados, continuam sendo a última linha de defesa contra ransomware e apagamento de dados em escala.
Conclusão: identidade como novo perímetro
O Relatório Sophos Active Adversary 2026 deixa claro que o “perímetro” da segurança corporativa mudou. Em vez de se concentrar exclusivamente em firewalls e borda de rede, as organizações precisam encarar a identidade – contas, credenciais, roles e provedores de autenticação – como o núcleo da sua estratégia de proteção.
Com 67% dos ataques começando em falhas de acesso, não basta corrigir sistemas vulneráveis: é indispensável revisar como usuários se autenticam, que privilégios possuem e como suas ações são monitoradas. Somente ao combinar controles de identidade robustos, telemetria abrangente e capacidade de resposta em tempo quase real será possível reduzir de forma consistente o impacto dos ataques descritos pela Sophos.