Anúncios online já superam o e-mail como principal canal de entrega de malware e se consolidam, em 2025, como uma das maiores superfícies de ataque do ecossistema digital. Segundo dados da The Media Trust, 60% de todas as campanhas de malware registradas no ano passado tiveram origem em anúncios maliciosos – o chamado malvertising. A combinação entre infraestrutura de publicidade altamente automatizada e o uso intensivo de inteligência artificial pelos criminosos criou um ambiente perfeito para ataques em larga escala.
O “Relatório de Inteligência de 2026” da empresa, intitulado “Quando a Publicidade Entrou na Conversa sobre Segurança Cibernética: Uma Retrospectiva de 2025 e o Imperativo da Segurança Digital para 2026”, marca um ponto de inflexão: a publicidade digital deixa de ser enxergada apenas como mecanismo de monetização e passa a ser tratada como parte crítica do cenário de risco cibernético. Reguladores, empresas de mídia, grandes plataformas e o próprio público passaram a perceber que o sistema de anúncios carrega, hoje, responsabilidade direta sobre a segurança do usuário.
Até pouco tempo, predominava a ideia de neutralidade: plataformas e editores viam-se apenas como intermediários entre anunciantes e audiência. Essa visão está se esgotando. O relatório aponta que ações de fiscalização mais duras, políticas governamentais em constante atualização e iniciativas de autorregulação por parte de grandes empresas de tecnologia e veículos de mídia deixaram claro que ignorar o problema não é mais uma opção. Permanecer inerte frente à atividade maliciosa em sistemas de publicidade significa aceitar riscos concretos: perda de reputação, sanções regulatórias, queda de receita e aumento da responsabilidade jurídica.
Para 2026, a questão central já não é “se” existe responsabilidade sobre o que acontece dentro dos sistemas de anúncios, mas “como” organizações – de todos os portes – vão operacionalizar essa responsabilidade. Isso envolve desde mudanças técnicas, como adoção de ferramentas de monitoramento em tempo real, até revisões contratuais com parceiros, redes de anúncios e fornecedores de tecnologia, incluindo cláusulas claras sobre segurança, verificação de criativos e resposta a incidentes.
O estudo da The Media Trust tem base em dados de detecção de ameaças em tempo real, coletados a partir de sua infraestrutura global. A empresa analisa mais de 200 bilhões de anúncios por mês em mais de 100 mil propriedades digitais. A partir desse volume, o relatório detalha como malvertising, redirecionamentos maliciosos, páginas de destino ocultas e táticas de manipulação habilitadas por IA estão explorando a publicidade como uma superfície de ataque altamente escalável.
Essas campanhas não são aleatórias nem oportunistas: elas seguem lógicas claras de segmentação e monetização. De acordo com a TMT, os ataques se concentram em determinadas regiões, miram comunidades de usuários específicas e são desenhados para extrair valor econômico em larga escala, seja via roubo de credenciais, fraude financeira, instalação de ransomware ou manipulação comportamental. O crime digital no ecossistema de anúncios é hoje estruturado, repetível e, em grande parte, automatizado.
Publicidade como infraestrutura de execução de código
Uma das conclusões mais importantes do relatório é a mudança de percepção sobre o papel dos sistemas de publicidade. Em vez de serem apenas canais de exibição de peças criativas, esses sistemas funcionam, na prática, como ambientes de execução de alta velocidade para código de terceiros. Cada criativo pode carregar scripts, rastreadores, iframes e outros componentes que são processados pelo navegador do usuário quase sem fricção.
Quando essa infraestrutura é explorada por agentes maliciosos, transforma-se em uma via extremamente eficiente para distribuição de malware, fraude publicitária, rastreamento abusivo e vigilância encoberta. A complexidade da cadeia – envolvendo ad exchanges, DSPs, SSPs, redes de afiliados e intermediários pouco transparentes – amplia a superfície de ataque e dificulta a responsabilização direta de um único ator.
IA como acelerador de ataques e defesas
A inteligência artificial aparece, no relatório, como fator duplo: ao mesmo tempo em que fortalece a capacidade de defesa, ela turbina a ofensiva criminosa. Do lado dos atacantes, algoritmos de IA são usados para:
– gerar anúncios deepfake altamente convincentes, muitas vezes imitando marcas legítimas ou rostos de pessoas conhecidas;
– otimizar campanhas maliciosas em tempo real, ajustando mensagens, visuais e segmentação com base nos resultados;
– automatizar a criação de variações de criativos e domínios, escapando de filtros tradicionais baseados em listas de bloqueio;
– adaptar o discurso ao contexto local e ao perfil socioeconômico da vítima, aumentando a taxa de conversão dos golpes.
Em contrapartida, defesas baseadas em IA em tempo real tornaram-se essenciais para analisar, em milissegundos, o comportamento de anúncios, identificar padrões anômalos, bloquear redirecionamentos suspeitos e impedir que o usuário final seja exposto a conteúdo malicioso. A disputa entre atacantes e defensores, portanto, deixou de ser apenas técnica e passou a ser uma corrida de automação e aprendizado contínuo.
A geografia do crime digital
Outra descoberta relevante do relatório é a “localização” das ameaças. A atividade criminosa não está uniformemente distribuída pelo globo. Em vez disso, concentra-se em países, estados ou até cidades onde há combinação de alta conectividade, baixa educação digital, lacunas regulatórias e maior presença de populações vulneráveis.
Isso significa que campanhas de malvertising podem ser ajustadas para explorar, por exemplo, momentos de crise econômica regional, benefícios sociais, disputas políticas locais ou tragédias específicas, aumentando o poder de manipulação. Essa dimensão geográfica reforça a necessidade de respostas coordenadas entre governos, empresas e entidades setoriais em cada mercado, e não apenas em nível global.
Um custo humano cada vez mais visível
A publicidade maliciosa não gera apenas números frios em relatórios de incidente. Ela se traduz em prejuízos financeiros diretos, danos à marca e interrupção de receitas para empresas que têm seus sites explorados como vetor de ataque. Mas o impacto vai muito além do balanço corporativo.
Para usuários finais – especialmente idosos, pessoas com baixa literacia digital, pequenos empreendedores e cidadãos em situação de vulnerabilidade econômica – os golpes associados a anúncios fraudulentos podem significar perda de economias, endividamento, exposição de dados sensíveis e até riscos físicos, quando há extorsão e ameaças. As campanhas de manipulação política e desinformação, por sua vez, corroem a confiança social e distorcem processos democráticos.
Cibersegurança x segurança digital centrada no ser humano
O relatório faz uma distinção importante entre cibersegurança em nível de sistema e segurança digital em nível humano. A primeira está ligada a configurações de servidores, criptografia, firewalls, autenticação e outras camadas clássicas de proteção. A segunda olha para o impacto real na vida das pessoas, para a forma como dados são coletados, processados, vendidos e utilizados em campanhas de segmentação e influência.
A conclusão é que, no ecossistema de publicidade orientado por dados, conformidade mínima com normas técnicas e regulatórias já não basta. É necessário adotar uma postura ativa de proteção ao usuário, questionando se determinadas práticas – ainda que legais – são éticas, seguras e sustentáveis a longo prazo. A segurança digital passa a incluir transparência sobre rastreamento, limitação de coleta excessiva de dados e mecanismos claros de consentimento e revogação.
O que empresas e veículos podem fazer na prática
Diante do avanço dos anúncios como principal canal de malware, organizações que dependem de publicidade – seja como fonte de receita, seja como ferramenta de marketing – precisam revisar sua postura. Algumas medidas práticas incluem:
– implementar soluções de monitoramento em tempo real de criativos e tags de terceiros, com capacidade de bloquear automaticamente anúncios maliciosos;
– reduzir a dependência de intermediários opacos e priorizar parcerias com plataformas que adotem políticas rigorosas de segurança e transparência;
– estabelecer processos de due diligence para novos anunciantes e redes, avaliando histórico, origem de tráfego e padrão de comportamento;
– revisar contratos para incluir cláusulas específicas sobre segurança, responsabilidade em caso de incidente e rotinas de resposta e comunicação;
– investir em treinamento interno para times de marketing, produto e tecnologia, aproximando-os das equipes de segurança da informação.
Como usuários podem se proteger diante do malvertising
Embora a responsabilidade principal recaia sobre plataformas e empresas, usuários finais também podem adotar algumas práticas para reduzir a exposição a anúncios maliciosos:
– manter sistemas operacionais, navegadores e aplicativos sempre atualizados;
– utilizar navegadores com recursos avançados de proteção contra rastreadores e scripts suspeitos;
– desconfiar de anúncios que prometem ganhos fáceis, descontos irreais, “presentes” inesperados ou solicitações urgentes de dados financeiros;
– evitar clicar em anúncios para acessar serviços sensíveis (bancos, governo, e-commerce); sempre prefira digitar o endereço diretamente ou usar aplicativos oficiais;
– usar soluções de segurança confiáveis com proteção de navegação e detecção de sites maliciosos.
Essas atitudes não eliminam o risco, mas reduzem consideravelmente a probabilidade de infecção por malware ou de cair em golpes financeiros.
O papel dos reguladores e do setor público
A crescente centralidade da publicidade no cenário de risco cibernético pressiona governos e reguladores a atualizar normas e mecanismos de fiscalização. Entre os caminhos que vêm ganhando força estão:
– exigência de maior transparência na cadeia de publicidade programática, incluindo identificação clara dos responsáveis por cada etapa;
– criação de requisitos mínimos de segurança para plataformas que operam em larga escala, especialmente em setores críticos como finanças, saúde e serviços públicos;
– incentivos para que empresas adotem padrões de certificação e auditoria independentes focados em segurança de anúncios;
– campanhas de educação digital voltadas à população, explicando riscos de malvertising e golpes associados.
No médio prazo, a tendência é que a responsabilidade legal sobre incidentes envolvendo anúncios seja compartilhada entre diferentes elos da cadeia, pressionando todos os atores a elevar o padrão de segurança.
2026: da tomada de consciência à execução
Se 2025 foi o ano em que o problema se tornou incontornável – com anúncios ultrapassando o e-mail como principal vetor de malware -, 2026 tende a ser o ano da operacionalização da responsabilidade. Isso significa transformar diagnósticos em planos concretos, com metas, recursos, equipes dedicadas e indicadores de resultado.
Empresas que dependem fortemente de publicidade precisarão tratar a segurança digital como tema estratégico, e não apenas técnico. Marcas que investem grandes volumes em mídia terão de exigir mais dos parceiros e se comprometer com práticas mais responsáveis. Plataformas e editores, por sua vez, terão de equilibrar pressões por receita com a necessidade de preservar a confiança do usuário.
No fim, a mensagem central do relatório é clara: a publicidade entrou de vez na agenda de segurança cibernética. Ignorar essa realidade deixou de ser um risco abstrato e passou a ser uma ameaça concreta, mensurável e, em muitos casos, irreversível. O desafio agora é transformar um sistema historicamente orientado por cliques e impressões em uma infraestrutura capaz de conciliar monetização, proteção de dados e segurança real para as pessoas.