Ataques a dispositivos inteligentes já aparecem no topo das preocupações de cibersegurança das empresas brasileiras – e a sensação generalizada é de falta de preparo. Em plena era dos produtos conectados, em que geladeiras, TVs, relógios, carros e até fechaduras inteligentes trocam dados em tempo real, cresce o alerta sobre os riscos que isso representa para a privacidade e a segurança dos consumidores.
Uma pesquisa global recente, o Digital Trust Insights 2026, da PwC, ouviu mais de 3.800 executivos de negócios e tecnologia em 72 países, entre eles o Brasil, e revelou um dado incômodo: para 39% das organizações brasileiras, ataques a produtos conectados são hoje a ameaça para a qual elas se sentem menos preparadas. No cenário global, essa preocupação aparece em segundo lugar, mencionada por 28% dos líderes.
Essa sensação de vulnerabilidade não se limita ao universo dos dispositivos inteligentes. Os executivos também demonstram inquietação com sua capacidade de resposta a incidentes na nuvem – tema citado por 33% dos líderes no Brasil e 39% no mundo – e com o risco de comprometimento das cadeias de suprimentos de software, apontado por 31% das empresas brasileiras e 33% das organizações globalmente. Em outras palavras, a superfície de ataque cresce em várias frentes, enquanto a maturidade de proteção avança em ritmo mais lento.
Apesar do aumento de riscos, os orçamentos de segurança cibernética ainda não acompanham plenamente essa complexidade. No Brasil, 90% dos líderes dizem que pretendem ampliar os investimentos em cibersegurança até 2026. Porém, apenas cerca de um terço planeja reforçar o orçamento em mais de 10%, o que é pouco diante da expansão do uso de nuvem, da digitalização acelerada e da proliferação de dispositivos conectados no cotidiano de clientes e colaboradores.
Para Eduardo Batista, sócio e líder de Cibersegurança e Privacidade da PwC Brasil, proteção digital é antes de tudo sinônimo de preparo. Isso envolve planejamento e investimento em ações proativas: monitoramento contínuo, avaliações recorrentes, testes de segurança, implantação de controles robustos e capacitação constante de equipes. Batista destaca ainda a importância de adotar o uso responsável e em escala de soluções de inteligência artificial, antes que uma crise force decisões às pressas.
A inteligência artificial, aliás, surge como grande vetor de transformação na área de segurança. As empresas começam a enxergar a IA não só como ferramenta de eficiência, mas como um reforço essencial na detecção e resposta a ameaças em tempo quase real. Ao serem questionados sobre quais capacidades tecnológicas pretendem fortalecer nos próximos 12 meses, líderes no Brasil e em outros países apontam o threat hunting – a caça ativa a ameaças dentro do ambiente – como prioridade máxima.
Além do threat hunting, as organizações têm direcionado investimentos para soluções agênticas baseadas em IA, mecanismos avançados de detecção de eventos e análises comportamentais, ferramentas de gestão de identidades e acessos, além de varreduras e avaliações de vulnerabilidades mais frequentes e automatizadas. O objetivo é sair da postura reativa e construir uma defesa contínua, capaz de identificar sinais precoces de ataques, inclusive em dispositivos inteligentes distribuídos na borda da rede.
No entanto, a adoção de IA em cibersegurança só é efetiva quando acompanhada de uma governança sólida de dados. No Brasil, quase 60% das empresas afirmam já adotar, em escala, políticas robustas de criptografia, tokenização e/ou anonimização (59%), bem como práticas estruturadas de prevenção à perda de dados nos principais canais de saída (58%). Mais da metade (52%) declara implementar políticas formais de classificação da informação, etapa essencial para definir o que é mais sensível e precisa de proteção reforçada.
Para Batista, a proteção de dados vai muito além da compra pontual de soluções tecnológicas. Ela exige uma adaptação estratégica e cultural. A cibersegurança passa a orientar decisões-chave: onde a empresa deve operar, com quais parceiros fará integração, que dados coletará de seus consumidores e de que forma irá habilitar novos modelos de negócio sem expor pessoas e operações a riscos desnecessários. Empresas mais maduras já perceberam que o problema não se resume à escassez de profissionais qualificados, mas à velocidade e qualidade das decisões em um contexto de negócios altamente volátil.
Em um ambiente em que novas ameaças surgem em ciclos cada vez mais curtos, a verdadeira prontidão depende de um entendimento profundo e atualizado dos riscos. Para transformar essa compreensão em ações concretas, que protejam tanto o negócio quanto o consumidor final, a PwC sugere uma série de recomendações práticas aos líderes de segurança cibernética.
A primeira delas é adotar uma abordagem secure-by-design. Segurança não pode ser um remendo aplicado depois do lançamento de um produto ou serviço digital. Os riscos precisam ser tratados desde a fase de concepção, com requisitos de segurança incorporados ao projeto, testes de vulnerabilidade antes da ida para produção e controles embutidos em todas as etapas do ciclo de vida de produtos conectados, desde o desenvolvimento de firmware até atualizações remotas.
Outra orientação é priorizar a prevenção em vez de confiar apenas na capacidade de reação. Modelos baseados somente em “apagar incêndios” – atender consumidores prejudicados, restaurar sistemas após incidentes, lidar com sanções regulatórias – tendem a ser muito mais caros e insustentáveis no longo prazo. É recomendável destinar mais recursos a medidas preventivas, como monitoramento contínuo, testes de intrusão, simulações de incidentes (tabletop exercises), programas de bug bounty e atualização permanente de sistemas.
Para ampliar a proteção dos consumidores especificamente em relação a dispositivos inteligentes, as empresas precisam repensar toda a jornada desses produtos. Isso começa pela coleta mínima de dados: reunir apenas o que é realmente necessário, com justificativa clara de uso e prazos definidos de retenção. Dados armazenados devem ser cifrados, tanto em repouso quanto em trânsito, e protegidos por controles rígidos de acesso, reduzindo a chance de exposição em caso de invasão.
Um ponto crítico é a gestão de senhas e credenciais padrão em produtos conectados. Fabricantes devem eliminar o uso de senhas genéricas pré-configuradas e incentivar, ou mesmo exigir, que o consumidor crie credenciais fortes e únicas logo na primeira utilização. Recursos como autenticação em duas etapas, chaves físicas de segurança e autenticação baseada em dispositivos confiáveis podem elevar de forma significativa a proteção, mesmo em cenários de vazamento de senhas.
A atualização de software e firmware também precisa ser encarada como parte central da segurança do consumidor. Empresas devem disponibilizar mecanismos seguros e automáticos de atualização, com assinaturas digitais verificáveis, para corrigir rapidamente vulnerabilidades descobertas. Além disso, é importante comunicar com transparência aos usuários sobre a importância dessas atualizações e por quanto tempo o produto receberá suporte de segurança.
Transparência, aliás, é uma das chaves para fortalecer a confiança digital. Políticas de privacidade devem ser claras, objetivas e compreensíveis, explicando que tipo de dado o dispositivo coleta, para qual finalidade, com quem é compartilhado e como o usuário pode gerenciar suas preferências. Em casos de incidentes de segurança que afetem consumidores – como vazamento de dados ou acesso indevido a um dispositivo doméstico – a comunicação deve ser rápida, direta e acompanhada de orientações práticas sobre o que fazer.
Outro eixo fundamental é a educação do usuário. Mesmo o produto mais bem desenhado pode ser explorado se o consumidor não souber configurá-lo corretamente ou cair em golpes que exploram engenharia social. Empresas podem criar programas contínuos de conscientização, com tutoriais simples, alertas sobre golpes recorrentes, recomendações de boas práticas (como segmentar a rede Wi-Fi para dispositivos IoT) e checklists de segurança na instalação e no uso diário.
Na dimensão interna, proteger consumidores implica fortalecer também a cadeia de parceiros e fornecedores. Dispositivos inteligentes costumam depender de múltiplos componentes – hardware de um lado, sistema operacional de outro, aplicativos de terceiros, serviços em nuvem, APIs de integração – o que amplia a superfície de ataque. Por isso, é fundamental estabelecer critérios rígidos de segurança para seleção de parceiros, realizar auditorias periódicas, exigir testes de segurança em componentes terceirizados e prever cláusulas contratuais específicas sobre proteção de dados e resposta a incidentes.
A governança de identidade e acesso (IAM) assume papel central quando se fala em proteção de produtos conectados. Políticas de menor privilégio, revisão constante de perfis de acesso e automação de concessão e revogação de credenciais reduzem o risco de contas internas comprometidas serem usadas para manipular sistemas que controlam dispositivos inteligentes ou para acessar dados sensíveis de usuários.
Vale destacar também a importância de métricas e indicadores. Sem medir, é impossível melhorar. Empresas que querem, de fato, ampliar a proteção dos consumidores precisam acompanhar indicadores como tempo médio para correção de vulnerabilidades em produtos, volume de incidentes que envolvem dispositivos conectados, número de atualizações de segurança aplicadas por ciclo de vida e grau de adoção de recursos de segurança pelos próprios usuários.
Por fim, cibersegurança em dispositivos inteligentes não é um “projeto” com começo, meio e fim; é um processo contínuo. À medida que novos tipos de produtos conectados surgem e tecnologias como IA generativa se popularizam, atacantes também se tornam mais criativos. As empresas que conseguirão proteger melhor seus clientes serão aquelas que enxergarem a segurança como parte da estratégia de negócio, integrarem equipes multidisciplinares (tecnologia, jurídico, produto, atendimento ao cliente) e mantiverem um ciclo constante de aprendizado com base em incidentes, testes e feedback dos usuários.
Em um cenário em que a casa, o carro, o trabalho e até a saúde do consumidor passam a depender de dispositivos conectados, a responsabilidade das empresas vai muito além de cumprir normas. Ampliar a proteção dos consumidores significa assumir um compromisso permanente com design seguro, transparência, prevenção e resposta rápida, construindo, assim, a base de confiança necessária para que a transformação digital seja sustentável para todos.