Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança em 2026: A Ascensão das Ameaças de Cadeia de Suprimentos e o Dilema da IA

Published
16 min read
M
Matheus Banhos

Cibersegurança em 2026: A Ascensão das Ameaças de Cadeia de Suprimentos e o Dilema da IA

Meta descrição: Analise as maiores ameaças cibernéticas de 2025 e 2026: ataques à cadeia de suprimentos via SaaS e o impacto da IA. Coneds detalha riscos e soluções para o Brasil.

O cenário da cibersegurança global nunca esteve tão volátil e complexo como observamos no final de 2025 e início de 2026. Os profissionais de TI, CISOs e gestores no Brasil enfrentam uma maré crescente de ameaças sofisticadas que transcendem as defesas tradicionais, exigindo uma reavaliação constante das estratégias de proteção. Incidentes que antes pareciam isolados agora revelam padrões de ataques em cascata, impactando múltiplos setores simultaneamente. A promessa e o perigo da Inteligência Artificial, a fragilidade das cadeias de suprimentos digitais e a persistência do ransomware com táticas de extorsão aprimoradas definem a linha de frente da batalha cibernética.

Com a digitalização acelerada, a adoção massiva de plataformas em nuvem e SaaS, e a crescente dependência de ecossistemas de parceiros, a superfície de ataque das empresas brasileiras expandiu-se exponencialmente. Regulamentações como a LGPD, o PCIDSS e as normas do Banco Central (BACEN) para o setor financeiro aumentam a pressão por uma governança de segurança mais rigorosa e por uma capacidade de resposta a incidentes robusta. Neste artigo, vamos mergulhar nas tendências mais críticas que moldaram o panorama da cibersegurança e apresentar insights práticos para que sua organização possa não apenas sobreviver, mas prosperar em um ambiente de ameaças em constante evolução.

⚡ Resumo Executivo

  • Cadeia de Suprimentos Crítica: Ataques via SaaS e fornecedores de TI se tornaram o vetor mais eficaz, com grandes incidentes como os do grupo ShinyHunters em plataformas CRM (Salesforce) expondo milhões de dados.
  • IA: Aliada e Ameaça: A Inteligência Artificial potencializa tanto ataques (phishing avançado, deepfakes) quanto defesas, mas a falta de governança de "Shadow AI" e vulnerabilidades em ferramentas de codificação baseadas em IA são riscos emergentes.
  • Ransomware Persistente: Grupos como Qilin e Cl0p continuam a focar em setores críticos, utilizando táticas de dupla e tripla extorsão, mesmo com queda nas taxas de pagamento. A resiliência é a chave.
  • Vulnerabilidades em Softwares Comuns: Falhas em plataformas de transferência de arquivos (MFT) e em ferramentas de desenvolvimento (como o Claude Code) abrem portas para acesso e exfiltração massiva de dados.

Ataques à Cadeia de Suprimentos e Plataformas SaaS: O Novo Elo Fraco

O ano de 2025 e o início de 2026 foram marcados por uma escalada sem precedentes nos ataques à cadeia de suprimentos, solidificando este vetor como um dos mais críticos para a segurança corporativa. A interconectividade inerente ao ambiente de negócios moderno – onde empresas dependem de dezenas, senão centenas, de fornecedores, parceiros e plataformas SaaS – criou uma vasta e complexa superfície de ataque. Os adversários, conscientes de que atacar o elo mais forte diretamente pode ser custoso, passaram a focar nos elos mais fracos da cadeia para alcançar seus alvos de alto valor.

Um dos exemplos mais proeminentes dessa tendência foi a série de incidentes orquestrada pelo grupo criminoso ShinyHunters em agosto de 2025. Esse grupo explorou vulnerabilidades em integrações de plataformas de CRM baseadas no Salesforce, conseguindo comprometer dados de dezenas de grandes empresas globalmente, incluindo gigantes como Google, Air France-KLM, TransUnion, Workday, Salesloft Drift, Pandora e Chanel. Os ShinyHunters, frequentemente utilizando engenharia social avançada (como o vishing, ou phishing por voz) para obter acesso inicial, demonstraram como a confiança implícita em um fornecedor terceirizado pode ser fatal. Os dados roubados incluíam tokens OAuth, chaves de acesso AWS, senhas e informações sensíveis de clientes de instâncias do Salesforce, totalizando milhões de registros expostos.

Além das plataformas CRM, softwares de transferência de arquivos gerenciada (MFT - Managed File Transfer) também se tornaram alvos lucrativos. Em outubro de 2025, o notório grupo Cl0p explorou uma vulnerabilidade crítica de execução remota de código (RCE) no Oracle E-Business Suite (CVE-2025-61882), bem como outras falhas em produtos de transferência de arquivos da Cleo (como CVE-2025-10035). Esses ataques permitiram ao Cl0p exfiltrar dados massivamente de diversas organizações que utilizavam essas plataformas, sem a necessidade de implantar ransomware tradicional. A estratégia do Cl0p de focar na extorsão pura por roubo de dados, sem criptografia, tornou-se um modelo a ser copiado por outros grupos, provando que o dano reputacional e as multas regulatórias por vazamento de dados podem ser tão (ou mais) eficazes quanto a interrupção das operações por criptografia.

A natureza desses ataques ressalta que a segurança de uma organização não se limita mais às suas próprias fronteiras digitais. Cada fornecedor, cada ferramenta SaaS e cada parceiro com acesso aos seus sistemas ou dados representa um ponto de entrada potencial para um adversário. A proliferação de credenciais roubadas, muitas vezes vendidas em fóruns da dark web, alimenta esses ataques, permitindo que os criminosos bypassem a autenticação tradicional e movam-se lateralmente nas redes comprometidas.

A Conexão com o Ransomware e a Dupla Extorsão

Embora não sejam sempre a fase inicial, o ransomware frequentemente se beneficia desses acessos à cadeia de suprimentos. Grupos como o Qilin e o Akira têm sido implacáveis em seu foco em setores críticos como manufatura, saúde e serviços financeiros. Eles não apenas criptografam dados, mas também os roubam, ameaçando publicá-los em sites de vazamento se o resgate não for pago (dupla extorsão). Em 2025, a tática de "tripla extorsão" — adicionando ameaças de ataques DDoS ou contato direto com clientes da vítima para aumentar a pressão — também se tornou mais comum.

Ataques como os que afetaram a Synnovis (serviços de patologia do NHS no Reino Unido, em junho de 2024, atribuído ao Qilin, que resultou em interrupções graves e, tragicamente, contribuiu para a morte de um paciente) e a Change Healthcare (processadora de pagamentos de saúde nos EUA, em fevereiro de 2024, pelo ALPHV/BlackCat, afetando quase 200 milhões de registros) servem como lembretes sombrios do impacto catastrófico que essas violações podem ter, estendendo-se muito além das perdas financeiras para afetar vidas humanas. Embora esses incidentes tenham ocorrido em 2024, eles continuam sendo referenciados em relatórios de 2025 e 2026 como catalisadores para a reavaliação das defesas, especialmente em infraestruturas críticas.

A mensagem é clara: a gestão de riscos de terceiros não é mais um item a ser riscado de uma lista de verificação, mas uma disciplina estratégica que exige visibilidade contínua, auditorias rigorosas e a implementação de princípios de Confiança Zero (Zero Trust) para qualquer acesso externo.

A Dupla Face da IA na Cibersegurança: Armas e Escudos Digitais

A Inteligência Artificial (IA) emergiu como a tecnologia mais disruptiva e paradoxal no campo da cibersegurança em 2025 e 2026. Se, por um lado, ela oferece ferramentas poderosas para fortalecer as defesas, por outro, ela armou os cibercriminosos com capacidades sem precedentes, acelerando a sofisticação e o volume dos ataques.

No lado ofensivo, a IA generativa está remodelando fundamentalmente as táticas de engenharia social. A era do phishing com erros gramaticais e frases estranhas está em rápido declínio. Em 2025, os atacantes utilizaram modelos de linguagem avançados para criar e-mails e mensagens de phishing impecáveis, personalizados e contextualizados, muitas vezes no idioma nativo da vítima. O uso de deepfakes (mídias sintéticas geradas por IA) também se tornou uma ameaça real. Houve relatos de golpes de vishing (phishing por voz) em que a voz de executivos era clonada para autorizar transferências fraudulentas, demonstrando a capacidade da IA de enganar até mesmo os usuários mais vigilantes. Em um incidente notável de dezembro de 2025, o grupo chinês Salt Typhoon, associado a ataques patrocinados por estados-nação, teria usado IA para automatizar partes de campanhas de espionagem, como reconhecimento e desenvolvimento de C2 (comando e controle).

Uma preocupação crescente que se materializou no início de 2026 são as vulnerabilidades em ferramentas de codificação baseadas em IA. Em fevereiro de 2026, pesquisadores da Check Point Research revelaram três vulnerabilidades críticas no Claude Code da Anthropic, uma ferramenta de codificação assistida por IA. As falhas, rastreadas como CVE-2025-59536 e CVE-2026-21852, poderiam permitir a um invasor obter o controle total da máquina de um desenvolvedor e roubar credenciais simplesmente ao abrir um repositório de projeto malicioso. A CVE-2025-59536, especificamente, envolvia a execução de comandos arbitrários por meio de arquivos de configuração controlados por repositório, criando sérios riscos de ataque à cadeia de suprimentos de software. Já a CVE-2026-21852 permitia o roubo de chaves de API. Esse tipo de vulnerabilidade destaca um novo vetor de ataque: o comprometimento das próprias ferramentas que visam aumentar a produtividade e a segurança do desenvolvimento, gerando um risco de "IA dentro da cadeia de suprimentos".

Outro risco alarmante é a "Shadow AI" – o uso de ferramentas de IA por funcionários sem o conhecimento ou a supervisão do departamento de segurança. Relatórios de 2025 indicaram que a "Shadow AI" pode expandir drasticamente a superfície de ataque, aumentando os custos de violação quando incidentes relacionados à IA ocorrem. A ausência de políticas claras e governança sobre o uso de IA corporativa expõe as empresas a vazamentos de dados através de prompts sensíveis ou a comprometimento de dados através de integrações de IA não sancionadas.

No entanto, a IA também é uma ferramenta indispensável para os defensores. Em 2025, organizações que implementaram amplamente a segurança impulsionada por IA e automação conseguiram reduzir o ciclo de vida de uma violação em até 80 dias e economizar milhões em custos de incidente. A IA está sendo utilizada para detecção de anomalias em tempo real, análise de comportamento de usuários e entidades (UEBA), triagem de alertas e resposta automatizada a incidentes (SOAR). Essas capacidades são cruciais para combater ataques que se movem em "velocidade de máquina". A batalha cibernética está se tornando, cada vez mais, uma corrida armamentista entre IAs atacantes e IAs defensoras.

Para o futuro, a governança da IA será tão crítica quanto sua implementação. As empresas precisam estabelecer políticas rigorosas para o uso de IA, tanto pelas equipes de desenvolvimento quanto pelos usuários finais, garantindo que as próprias ferramentas de IA sejam seguras e que seu uso seja monitorado e auditado.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua economia digital em expansão e uma base de usuários e empresas cada vez mais conectada, é um terreno fértil para as ameaças de cibersegurança destacadas em 2025 e 2026. As tendências globais de ataques à cadeia de suprimentos, a proliferação de ransomware e o dilema da IA têm um impacto direto e amplificado no cenário nacional, especialmente devido a algumas particularidades:

  • Regulamentação (LGPD e Setoriais): A Lei Geral de Proteção de Dados (LGPD) já é uma realidade e, em 2025, a Autoridade Nacional de Proteção de Dados (ANPD) demonstrou sua capacidade de fiscalização com multas crescentes e novas diretrizes. Vazamentos de dados via cadeia de suprimentos ou causados por IA não governada podem resultar em sanções pesadas, além do dano reputacional. Para o setor financeiro, as regulamentações do Banco Central (BACEN), como a Resolução Conjunta nº 6, impõem requisitos ainda mais rigorosos de cibersegurança e gestão de riscos de terceiros, tornando as empresas bancárias e fintechs particularmente vulneráveis a ataques que exploram fornecedores ou falhas em plataformas SaaS. O sistema Pix, por exemplo, embora robusto, é um alvo constante para fraudes e engenharia social, que podem ser aprimoradas pela IA.

  • Setores Mais Afetados: Assim como globalmente, o setor de saúde no Brasil é um alvo de alto valor. Hospitais, clínicas e operadoras de planos de saúde detêm um volume imenso de dados sensíveis, tornando-os alvos ideais para extorsão via ransomware e vazamento de dados. A interrupção de serviços médicos, como visto no incidente Synnovis no Reino Unido, teria consequências desastrosas em hospitais brasileiros. O setor financeiro, com sua alta liquidez e dados valiosos, continua sendo um dos mais visados. Ataques que comprometem plataformas de pagamento, APIs bancárias ou provedores de serviços terceirizados (como os que afetam a Salesforce) podem ter um efeito cascata em todo o ecossistema financeiro brasileiro. A manufatura e a infraestrutura crítica também estão sob crescente ameaça, com ataques de ransomware buscando paralisar operações e exigir altos resgates, aproveitando a convergência de ambientes de TI e OT (Tecnologia Operacional) muitas vezes menos protegidos.

  • Dependência de Terceiros e SaaS: As empresas brasileiras, de startups a grandes corporações, dependem fortemente de provedores de serviços em nuvem, SaaS e fornecedores terceirizados. A falta de diligência e monitoramento adequado desses parceiros é um risco sistêmico. Um incidente em uma plataforma global de CRM ou MFT pode expor dados de milhares de clientes brasileiros sem que a empresa nacional tenha controle direto sobre a infraestrutura comprometida. A complexidade de gerenciar a segurança desses ecossistemas é um desafio premente.

  • Escassez de Talentos: A crescente demanda por profissionais de cibersegurança no Brasil, aliada à escassez de mão de obra qualificada, agrava o cenário. Equipes sobrecarregadas e a dificuldade em preencher vagas críticas significam que as defesas podem estar aquém do necessário para combater ameaças sofisticadas. A adoção de IA para automação pode ajudar, mas exige expertise para sua configuração e governança.

  • Educação e Conscientização: A engenharia social, potencializada pela IA, continua sendo um vetor de ataque primário. A conscientização e o treinamento contínuos dos funcionários são a primeira linha de defesa. No Brasil, a diversidade regional e cultural exige abordagens de treinamento adaptadas para serem eficazes, combatendo desde o phishing básico até os deepfakes mais convincentes.

Em suma, o Brasil não está imune às tendências globais de cibersegurança, e em muitos aspectos, as vulnerabilidades existentes (como a alta dependência de terceiros e a escassez de talentos) tornam o país particularmente suscetível a impactos significativos. A proatividade, a adaptabilidade e o investimento estratégico em pessoas, processos e tecnologia são imperativos para proteger o capital digital das organizações brasileiras.

🔒 Recomendações Práticas da Coneds

Para navegar neste cenário de ameaças complexas, a Coneds recomenda as seguintes ações práticas e implementáveis para CISOs e gestores:

  1. Ação Imediata (Gestão de Identidade e Acesso): Implemente autenticação multifator (MFA) robusta em todos os sistemas críticos e contas privilegiadas, dando preferência a métodos resistentes a phishing (chaves de segurança FIDO2, aplicativos autenticadores). Revise e fortaleça políticas de senhas.
  2. Curto Prazo (1-4 semanas - Gestão de Riscos de Terceiros): Mapeie todos os fornecedores e parceiros com acesso a dados ou sistemas críticos. Realize uma avaliação de risco de segurança para cada um, focando em suas práticas de IA e segurança da cadeia de suprimentos. Inclua cláusulas de segurança e direito de auditoria em contratos.
  3. Médio Prazo (1-3 meses - Governança de IA e Segurança de Dados): Desenvolva e implemente uma política de uso de IA para funcionários e desenvolvedores. Treine equipes sobre os riscos de "Shadow AI" e deepfakes. Classifique dados sensíveis e utilize criptografia ponta a ponta para proteger informações em repouso e em trânsito, especialmente aquelas acessíveis via SaaS ou por terceiros.
  4. Estratégia Long-term (Confiança Zero e Resiliência): Adote uma arquitetura de Confiança Zero (Zero Trust) em sua rede, verificando explicitamente cada usuário, dispositivo e transação, independentemente da localização. Invista em microsserviços e segmentação de rede para limitar o movimento lateral de invasores. Desenvolva planos de resiliência cibernética que contemplem a recuperação de desastres e a continuidade de negócios.
  5. Governança (Monitoramento Contínuo e Resposta a Incidentes): Estabeleça um SOC (Security Operations Center) ou contrate um serviço de MDR (Managed Detection and Response) para monitoramento 24/7. Crie e teste regularmente um Plano de Resposta a Incidentes (IRP) que inclua cenários de ransomware e violação de dados por terceiros, com foco em comunicação e recuperação rápida.
  6. Treinamento (Conscientização e Simulações): Conduza treinamentos de conscientização de segurança regulares e simulações de phishing (incluindo vishing e smishing) para toda a força de trabalho. Inclua módulos específicos sobre os perigos do phishing avançado por IA e a importância da verificação de identidade em solicitações urgentes.
  7. Tecnologia (Patch Management e Detecção Avançada): Mantenha todos os sistemas, softwares e firmwares atualizados, priorizando a aplicação de patches para vulnerabilidades com CVEs ativamente explorados (como as detectadas no Claude Code ou Oracle EBS). Implemente soluções de EDR/XDR para detecção e resposta avançadas em endpoints e ambientes de nuvem.

❓ Perguntas Frequentes

P: Como a IA está mudando o cenário das ameaças de cibersegurança?

R: A IA tem um impacto duplo. No lado ofensivo, ela é usada por cibercriminosos para criar ataques de phishing e engenharia social muito mais convincentes (como deepfakes de voz e texto), automatizar a descoberta de vulnerabilidades e gerar malware adaptável. No lado defensivo, a IA é fundamental para a detecção de anomalias em tempo real, análise de comportamento de usuários, e automação da resposta a incidentes, ajudando a identificar ameaças em velocidade de máquina e a conter o dano rapidamente.

P: Quais são os principais riscos de segurança ao usar plataformas SaaS e serviços de terceiros?

R: O principal risco é que a segurança da sua organização se torna tão forte quanto o elo mais fraco da sua cadeia de suprimentos. Se um fornecedor de SaaS ou um terceiro com acesso aos seus dados for comprometido, seus dados também podem ser expostos. Incidentes em 2025 mostraram que vulnerabilidades em plataformas de CRM ou de transferência de arquivos podem levar a vazamentos massivos de dados em centenas de empresas clientes. É crucial realizar due diligence, impor requisitos de segurança por contrato e monitorar continuamente o acesso e as atividades de terceiros.

P: Como a Coneds pode ajudar minha empresa a se preparar para essas ameaças emergentes?

R: A Coneds oferece treinamentos especializados e consultoria para equipar sua equipe com o conhecimento e as habilidades necessárias para enfrentar o cenário de ameaças atual. Nossos cursos abordam desde a implementação de arquiteturas de Confiança Zero e gestão de riscos de terceiros, até a governança de IA e a resposta a incidentes de ransomware. Realizamos workshops práticos e simulações que preparam sua organização para identificar, reagir e se recuperar de ataques sofisticados, garantindo a conformidade com a LGPD e outras regulamentações setoriais no Brasil.

P: O que é "Shadow AI" e por que é uma preocupação de segurança?

R: "Shadow AI" refere-se ao uso de ferramentas de Inteligência Artificial por funcionários dentro de uma organização sem o conhecimento, a aprovação ou a supervisão do departamento de TI ou segurança. Isso se torna uma preocupação porque essas ferramentas podem processar dados corporativos sensíveis, gerar código com vulnerabilidades ou criar vetores para engenharia social, expandindo a superfície de ataque da empresa e expondo-a a riscos como vazamento de dados, uso indevido de propriedade intelectual e vulnerabilidades não gerenciadas, aumentando os custos de uma eventual violação.

Conclusão

O ano de 2025 e o início de 2026 solidificaram uma verdade inegável: a cibersegurança deixou de ser uma preocupação meramente técnica para se tornar um pilar estratégico essencial para a sustentabilidade de qualquer negócio no Brasil. As estatísticas e os incidentes destacados, desde a complexidade dos ataques à cadeia de suprimentos via plataformas SaaS até a dualidade da Inteligência Artificial, ressaltam a necessidade urgente de uma postura proativa, adaptativa e resiliente. Não se trata mais de "se" uma violação ocorrerá, mas "quando", e a capacidade de sua organização de detectar, responder e se recuperar rapidamente determinará o impacto real.

A proteção do seu ecossistema digital exige uma abordagem multifacetada: investir em tecnologias avançadas como IA para defesa, reforçar os controles de identidade e acesso com Confiança Zero, gerenciar rigorosamente os riscos de terceiros e, acima de tudo, capacitar sua equipe. A força de sua defesa cibernética reside na combinação de tecnologia robusta, processos bem definidos e, crucialmente, uma cultura de segurança informada e vigilante. As regulamentações brasileiras, como a LGPD, apenas intensificam a necessidade de ação imediata e contínua.

Não espere pelo próximo grande ataque para reavaliar sua estratégia. A Coneds está aqui para ser sua parceira nessa jornada, transformando desafios em oportunidades e fortalecendo a resiliência cibernética da sua empresa. Invista na capacitação da sua equipe e na segurança dos seus dados hoje para proteger o futuro do seu negócio.

📚 Aprenda mais: Descubra Nossos Treinamentos em Cibersegurança para Gestores e Equipes 🔗 Fontes:

  • DeepStrike.io. (29 de novembro de 2025). Cybersecurity Statistics 2025: Essential Trends & Attack Data. Disponível em: https://deepstrike.io/blog/cybersecurity-statistics-2025-threats-trends-challenges
  • CM-Alliance. (1 de setembro de 2025). Major Cyber Attacks, Ransomware Attacks and Data Breaches: August 2025. Disponível em: https://www.cm-alliance.com/cybersecurity-blog/major-cyber-attacks-ransomware-attacks-and-data-breaches-august-2025
  • CybersecurityNews.com. (14 de fevereiro de 2026). Ransomware Attack 2025 Recap - From Critical Data Extortion to Operational Disruption. Disponível em: https://cybersecuritynews.com/ransomware-attack-2025-recap/
  • SecurityBoulevard.com. (27 de dezembro de 2025). Inside the Biggest Cyber Attacks of 2025. Disponível em: https://securityboulevard.com/2025/12/inside-the-biggest-cyber-attacks-of-2025/
  • SCMedia.com. (25 de fevereiro de 2026). Flaws in Claude Code Put Developers' Machines at Risk. Disponível em: https://www.scworld.com/application-security/flaws-claude-code-developer-machines-risk
  • SCMedia.com. (2 de março de 2026). AI threats get the spotlight, but it's human error that puts businesses at risk. Disponível em: https://www.scworld.com/perspective/ai-threats-get-the-spotlight-but-its-human-error-that-puts-businesses-at-risk
  • DarkReading.com. (2 de fevereiro de 2026). Attackers Harvest Dropbox Logins Via Fake PDF Lures. Disponível em: https://www.darkreading.com/cloud-security/attackers-harvest-dropbox-logins-fake-pdf-lures
  • CRN.com. (2025). 10 Major Cyberattacks And Data Breaches In 2025. Disponível em: https://www.crn.com/news/security/2025/10-major-cyberattacks-and-data-breaches-in-2025
  • PKWARE.com. (2 de janeiro de 2026). Data Breaches 2025: Biggest Cybersecurity Incidents So Far. Disponível em: https://www.pkware.com/blog/recent-data-breaches
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts