Cloud security resource

Maturidade em segurança cresce, mas phishing revela nova fragilidade no brasil

Maturidade em segurança cresce, mas onda de phishing expõe nova fragilidade no Brasil

O ambiente de cibersegurança corporativa no Brasil está mais estruturado do que há alguns anos, mas a realidade dos ataques mostra um cenário contraditório. De um lado, as empresas amadurecem, criam estruturas dedicadas e ampliam a cultura de proteção de dados. De outro, o phishing – golpes baseados em engenharia social para roubar credenciais e informações sensíveis – não apenas resiste, como cresce de forma preocupante.

Entre 2021 e 2026, a fatia de organizações brasileiras com mais de cinco anos de investimentos contínuos em segurança da informação saltou de 14% para 67%. Trata-se de um avanço expressivo na consolidação de programas de segurança mais perenes, deixando para trás a lógica de ações pontuais ou reativas. Porém, no mesmo intervalo, a proporção de empresas atingidas por ataques de phishing mais que dobrou: saiu de 28% para 58% das companhias analisadas.

Os dados fazem parte do Brazilian CyberSecurity Index, levantamento da BugHunt que acompanhou 240 empresas ao longo de cinco anos para entender como evoluíram a maturidade de segurança, os orçamentos e o panorama de ameaças. O estudo mostra que o Brasil vive um “novo ciclo” de cibersegurança: mais estrutura, mais tecnologia, mas também adversários mais sofisticados e focados em explorar o elo humano.

Investimentos quase universais, mas com teto à vista

Atualmente, 96% das empresas brasileiras declaram investir em segurança da informação, contra 72% em 2021. Na prática, significa que a proteção digital deixou de ser um diferencial e tornou-se praticamente um requisito básico para operar em qualquer setor, especialmente após a consolidação do trabalho remoto, da computação em nuvem e de legislações de proteção de dados.

Esse movimento, porém, encontra um limite financeiro. O estudo revela uma tendência de estagnação dos orçamentos:
– 39% das organizações não pretendem ampliar os recursos de segurança até 2026;
– 37% planejam aumentos de, no máximo, 10%, valor que mal acompanha a inflação;
– apenas 24% projetam crescer o investimento em termos reais.

Ou seja, o investimento em segurança foi universalizado, mas não necessariamente fortalecido na mesma proporção da complexidade dos riscos. Em um cenário em que a superfície de ataque se expande com nuvem, dispositivos móveis, IoT e integrações com parceiros, manter o orçamento congelado significa, na prática, perder capacidade relativa de defesa.

Phishing: a ameaça que ignora fronteiras tecnológicas

Entre todas as categorias de ataque analisadas, o phishing é a única que apresenta crescimento contínuo em todas as edições do estudo. Ele se consolidou como o principal vetor de ataque às empresas brasileiras, mostrando que, mesmo com mais ferramentas, monitoramento e processos, os criminosos continuam encontrando brechas no comportamento humano.

Como observa Caio Telles, CEO da BugHunt, o fenômeno evidencia que segurança não é apenas uma questão de tecnologia. A eficácia das defesas depende de processos bem desenhados, treinamento recorrente dos usuários e validações constantes das camadas de proteção. Em outras palavras, firewalls e antivírus ajudam, mas não substituem uma cultura de segurança sólida.

O avanço do phishing também reflete a sofisticação das campanhas: mensagens mais personalizadas, uso de dados expostos em vazamentos, imitação convincente de marcas e serviços legítimos, exploração de temas sensíveis (como benefícios, cobranças e prazos urgentes) e até uso de inteligência artificial para criar textos e páginas falsas com aparência profissional.

Queda de malware e ransomware, ascensão de novas vulnerabilidades

Enquanto o phishing sobe, algumas ameaças tradicionais recuam.
– O uso de malware como principal vetor de ataque diminuiu de 24% em 2021 para 15% em 2026.
– O ransomware, que viveu um pico de atenção nos últimos anos, cai de 25% em 2022 para 12% no período mais recente do estudo.

Isso não significa que essas ameaças deixaram de existir, mas sim que os ataques estão se diversificando e se apoiando em outras fraquezas da infraestrutura digital. O levantamento mostra o crescimento de três frentes preocupantes:

– falhas de autenticação, que atingem 31% das empresas;
– exploração de vulnerabilidades em sistemas, com 23%;
– indisponibilidade de serviços e aplicações, impactando 19% das organizações.

Esses dados sugerem que os atacantes buscam, cada vez mais, brechas em configurações, erros de desenvolvimento, acessos mal gerenciados e falhas em políticas de backup e continuidade de negócios. A simples instalação de ferramentas de segurança, sem um trabalho consistente de gestão de identidades, análise de vulnerabilidades e testes de resiliência, já não é suficiente.

Bug Bounty ganha espaço como estratégia de prevenção

Um dado relevante do Brazilian CyberSecurity Index é o crescimento dos programas de Bug Bounty – iniciativas em que empresas convidam pesquisadores de segurança a encontrar falhas em seus sistemas, recompensando as descobertas de forma estruturada e controlada.

– Em 2021, apenas 24% das empresas utilizavam ou consideravam adotar esse modelo.
– Agora, 48% já implementam ou planejam implementar Bug Bounty nos próximos dois anos.
– Entre as organizações que conhecem a prática, 56% se dizem promotoras da abordagem.

Esse avanço mostra que o mercado começa a enxergar a segurança de forma mais colaborativa, entendendo que uma rede de pesquisadores externos pode identificar vulnerabilidades que, muitas vezes, passam despercebidas em auditorias internas. Em vez de reagir apenas após um incidente, as empresas antecipam problemas, pagam por relatórios de falhas e têm a chance de corrigir pontos fracos antes que sejam explorados criminosamente.

Inteligência artificial e automação no topo da lista de prioridades

Quando se olha para o futuro próximo, a inteligência artificial desponta como a principal prioridade de investimento em segurança: 63% dos entrevistados apontam IA como foco para os próximos dois anos. Na sequência aparecem:

– soluções de automação e orquestração, citadas por 51%;
– arquiteturas Zero Trust, mencionadas por 49%.

A aposta em IA reflete a necessidade de lidar com volumes gigantescos de dados de logs, alertas e eventos de segurança, algo impossível de acompanhar manualmente. Ferramentas baseadas em aprendizado de máquina prometem detectar padrões suspeitos, automatizar respostas e reduzir o tempo entre a detecção e o bloqueio de incidentes.

Automação e orquestração, por sua vez, ajudam a integrar diferentes sistemas de segurança (como SIEM, EDR, firewalls e soluções de identidade), padronizando fluxos de resposta e minimizando erros humanos. Já o modelo Zero Trust rompe com a lógica tradicional de “confiar na rede interna”, adotando o princípio de que nenhum usuário, dispositivo ou aplicativo é confiável por padrão, devendo ser constantemente verificado e autenticado.

Por que o phishing cresce mesmo com mais tecnologia?

O crescimento do phishing, mesmo em um contexto de maior maturidade, revela uma lição central: o ser humano continua sendo o alvo mais fácil e rentável para o criminoso digital. Ao invés de gastar tempo explorando uma complexa vulnerabilidade técnica, muitos atacantes preferem enganar colaboradores, fornecedores ou clientes para que entreguem, voluntariamente, suas credenciais ou dados confidenciais.

Alguns fatores explicam essa tendência no Brasil:

– alta dependência de e-mail, aplicativos de mensagem e redes sociais no ambiente de trabalho;
– excesso de informação e pressão por respostas rápidas, que favorecem cliques impulsivos;
– falta de programas contínuos de conscientização, substituídos por treinamentos pontuais que logo são esquecidos;
– avanço de técnicas de engenharia social que imitam linguagem, identidade visual e contexto de empresas reais.

Essa combinação faz com que campanhas de phishing tenham alta taxa de sucesso, principalmente em organizações que ainda não implementaram autenticação multifator de forma abrangente, nem estabeleceram processos claros para validação de pedidos sensíveis (como mudanças de conta bancária, redefinições de senha ou transferências urgentes).

Como as empresas podem enfrentar o novo ciclo de ameaças

Diante desse cenário, não basta apenas manter o nível atual de maturidade; é preciso ressignificar a estratégia de segurança. Algumas linhas de atuação tornam-se prioritárias:

1. Fortalecer a educação contínua em segurança
Treinamentos anuais não dão conta da velocidade dos ataques. Campanhas mensais, simulações de phishing, comunicação clara sobre golpes em circulação e envolvimento da liderança são essenciais para criar uma cultura em que os colaboradores se sintam responsáveis pela proteção da empresa.

2. Combinar tecnologia com processos bem definidos
Ferramentas de segurança precisam estar integradas a políticas claras: quem aprova o quê, em quanto tempo, por quais canais. Processos de dupla checagem para solicitações críticas e fluxos de resposta a incidentes devem ser documentados, testados e revisados periodicamente.

3. Expandir o uso de autenticação multifator e gestão de identidades
Mesmo que um colaborador caia em um golpe de phishing, a autenticação multifator reduz significativamente a chance de invasão de contas. Complementar esse recurso com gestão de privilégios, revisão periódica de acessos e monitoramento de logins suspeitos melhora a postura geral de segurança.

4. Adotar programas de testes contínuos, como Bug Bounty e pentests
Em vez de encarar testes de intrusão como um evento isolado, a tendência é integrar avaliações recorrentes – internas, externas e feitas por pesquisadores independentes – ao ciclo de desenvolvimento de sistemas e produtos.

O desafio do orçamento estagnado

Um dos maiores dilemas para os próximos anos será alinhar a necessidade crescente de proteção com orçamentos que tendem a ficar praticamente estacionados. Com mais dispositivos conectados, mais dados circulando e uma cadeia de fornecedores cada vez mais complexa, manter o investimento no mesmo patamar equivale a, proporcionalmente, investir menos.

Nesse contexto, ganhar eficiência torna-se tão importante quanto ampliar gastos. Isso inclui:

– revisar ferramentas redundantes e consolidar soluções;
– priorizar tecnologias que tragam ganho real de visibilidade e resposta;
– adotar métricas de risco para justificar investimentos à alta gestão;
– demonstrar, com dados, o impacto potencial de um incidente em termos financeiros, operacionais e de reputação.

Empresas que conseguem traduzir riscos técnicos em linguagem de negócios têm mais chances de defender orçamentos adequados e de envolver conselhos e diretoria nas decisões estratégicas de segurança.

Próximo passo da maturidade: da reação à resiliência

O movimento captado pelo Brazilian CyberSecurity Index aponta que o Brasil deixou, em grande parte, a fase mais básica de segurança – centrada apenas em ferramentas e respostas pontuais – e caminha para uma etapa onde a resiliência organizacional é o foco.

Nessa nova fase, as perguntas mudam: deixa-se de olhar apenas para “como evitar ataques?” e passa-se a discutir “como continuar operando mesmo sob ataque?” e “como reduzir ao máximo o impacto inevitável de incidentes?”. A combinação de tecnologia, processos, pessoas bem treinadas e governança forte é o que define, de fato, o grau de maturidade.

Em resumo, o avanço da maturidade de segurança no Brasil é inegável, mas o crescimento dos ataques de phishing serve como alerta: criminosos continuam um passo à frente sempre que o fator humano é negligenciado. O próximo ciclo do setor dependerá da capacidade das empresas de equilibrar investimentos, inovar em modelos de proteção e, principalmente, fazer da segurança um valor incorporado ao dia a dia de toda a organização, e não apenas um tema restrito à área de TI.