Existe uma ameaça que não aparece nos relatórios de TI, não dispara alertas no antivírus e não interrompe nenhum sistema. Ela simplesmente fica ali — dentro da sua rede, mapeando servidores, lendo e-mails, aprendendo a rotina da empresa — por semanas ou meses, esperando o momento certo para agir. Não é ficção científica. É a realidade de 80% das empresas brasileiras que sofreram ao menos um incidente cibernético nos últimos 12 meses, segundo o relatório CIO Report 2025 da Logicalis. O maior problema não é o ataque. É que a maioria dessas empresas não sabe que foi atacada.

O Inimigo que Mora Dentro da Sua Rede

No setor de segurança, existe um indicador chamado dwell time: o tempo que um invasor permanece ativo dentro de um ambiente sem ser detectado. De acordo com dados globais compilados pela IBM, esse período médio é de 194 dias. Quase seis meses de acesso livre antes de qualquer descoberta.

No Brasil, esse cenário é ainda mais grave. Investigações de incidentes recentes apontam que a média nacional fica na casa dos meses — e há casos documentados em que o invasor permaneceu por mais de um ano sem ser identificado. Durante esse intervalo, o criminoso não fica parado: ele aprende a rotina operacional da empresa, identifica os sistemas críticos, coleta credenciais de administrador e planeja a extorsão com precisão. O ataque visível — o ransomware que criptografa tudo, o vazamento que aparece na imprensa — é apenas o último capítulo de uma história que começou muito antes.

O dado que deve preocupar qualquer gestor de TI ou segurança: 98% dos ataques registrados no Brasil no primeiro semestre de 2025 já estavam na fase final de impacto no momento da detecção. Ou seja, quando a empresa percebeu que havia algo errado, o invasor já havia concluído o trabalho de reconhecimento e estava pronto para agir.

O Brasil no Centro do Alvo: Os Números que Explicam a Urgência

Para entender a escala do problema, é preciso olhar para os dados sem filtro. No primeiro semestre de 2025, o Brasil registrou 314,8 bilhões de tentativas de ataques cibernéticos, segundo o relatório Cenário Global de Ameaças do FortiGuard Labs. Isso representa 84% de todas as tentativas detectadas na América Latina — números que colocam o país como o principal alvo regional, bem à frente do México (10,8%) e Colômbia (1,89%). Ao encerrar o ano inteiro de 2025, esse número saltou para 753,8 bilhões de tentativas.

O cenário financeiro é igualmente alarmante. O relatório Cost of a Data Breach 2025 da IBM revelou que o custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões — alta de 6,5% em relação ao ano anterior e na contramão da tendência global, onde os custos médios caíram pela primeira vez em cinco anos. Vale notar: esse valor não contempla as perdas de receita hora a hora durante a indisponibilidade, as multas da LGPD nem o impacto reputacional que drena clientes nos meses seguintes ao incidente.

Para uma empresa de médio porte, esses números não são abstratos. Um único ataque bem-sucedido pode representar entre 7% e 24% da receita anual — valor suficiente para comprometer a saúde financeira do negócio por anos.

Por Que Sua Empresa É um Alvo Mais Atraente do que Você Imagina

Existe um equívoco persistente no mercado: a crença de que hackers só atacam grandes corporações. Os dados contradizem isso de forma contundente. O relatório DBIR 2025 da Verizon — que analisou mais de 22 mil incidentes globais — mostrou que o ransomware aparece em 88% das violações de dados em pequenas e médias empresas, contra 39% nas grandes corporações. PMEs são alvos preferenciais por três razões estruturais:

Digitalização sem maturidade de segurança. A maioria das PMEs brasileiras digitalizou processos — ERP em nuvem, acesso remoto, integração com fornecedores — sem construir uma estrutura de segurança proporcional. A maturidade digital das PMEs no Brasil está na faixa de 35 pontos em uma escala de 0 a 80, segundo análise da PEGN citada pelo setor. Isso cria uma superfície de ataque ampla com poucos controles de detecção.

Porta de entrada para alvos maiores. Ataques de cadeia de suprimentos (supply chain) cresceram significativamente em 2025 e 2026. Um fornecedor de software, um prestador de serviços de TI ou uma empresa de logística com acesso ao ambiente de um cliente maior torna-se automaticamente um vetor de ataque. Em média, violações originadas na cadeia de suprimentos levam 254 dias para serem identificadas e contidas.

Credenciais corporativas disponíveis na dark web. O Brasil figura entre os principais países de origem de logs comercializados no Russian Market, representando 8% do total global, segundo o Instituto Brasileiro de Cibersegurança (IBSEC). Esses logs contêm credenciais e informações roubadas de dispositivos comprometidos — e boa parte delas pertence a funcionários de empresas que nunca souberam que foram comprometidas.

Como os Invasores Entram — e Por Que Ficam Invisíveis

Grupos sofisticados de cibercrime operam com lógica industrial: bots e scanners varrem a internet 24 horas por dia em busca de portas abertas, softwares desatualizados e credenciais expostas. Quando encontram uma brecha, entram — e ficam quietos. O objetivo na fase inicial não é causar dano. É persistência e reconhecimento.

Os vetores de entrada mais comuns em 2025 incluem:

Phishing com IA generativa. O relatório IBM 2025 apontou o phishing como o principal vetor de ataque no Brasil, ultrapassando invasões diretas. Com IA generativa, criminosos produzem e-mails convincentes em minutos — mensagens que passam por triagem de filtros e enganam até usuários experientes. O volume de e-mails maliciosos com texto sintético dobrou em dois anos.

Vulnerabilidades em dispositivos de borda. Roteadores, VPNs e gateways corporativos desatualizados continuam sendo as principais portas de entrada. Em 2024, mais de 200 mil desses dispositivos foram identificados sob controle de botnets operadas por grupos criminosos organizados.

Infostealers em dispositivos pessoais. O modelo de trabalho híbrido e políticas de BYOD (Bring Your Own Device) criaram um vetor crítico: dispositivos pessoais com acesso a sistemas corporativos. Infostealers — malwares que roubam credenciais silenciosamente — registraram crescimento de 58% em um único ano, com mais de 70% das infecções ocorrendo em dispositivos pessoais.

Credenciais comprometidas reutilizadas. Um funcionário que usa a mesma senha do e-mail corporativo em um serviço pessoal que sofreu vazamento entrega, sem saber, as chaves de acesso à rede da empresa.

Os Sinais que Estão Lá — e Ninguém Está Vendo

Ataques silenciosos raramente são completamente invisíveis. Eles deixam rastros — mas rastros que só aparecem quando alguém está ativamente monitorando o ambiente. Na maioria das empresas brasileiras, esse monitoramento simplesmente não existe em profundidade suficiente. Os indicadores mais comuns de comprometimento ativo incluem:

Acessos fora do padrão horário. Um usuário que normalmente acessa o sistema entre 8h e 18h começa a registrar logins às 2h da manhã. Sem monitoramento comportamental, esse sinal passa despercebido.

Movimentação lateral entre sistemas. Após comprometer uma estação de trabalho, o invasor começa a acessar servidores e sistemas que aquele usuário normalmente não utilizaria. É o equivalente digital de um funcionário sendo encontrado no cofre fora do expediente.

Exfiltração gradual de dados. Em vez de copiar tudo de uma vez e disparar alertas, invasores sofisticados extraem dados em pequenos volumes ao longo de semanas — volumes indistinguíveis do tráfego normal sem análise de baseline.

Criação silenciosa de contas privilegiadas. Preparação para o ataque final geralmente envolve criação de usuários administradores “fantasmas” que garantem acesso mesmo se a conta original for detectada e bloqueada.

Lentidão pontual e inexplicável. Processos de criptografia — preparação para ransomware — consomem recursos. Uma lentidão incomum em servidores, especialmente fora do horário de pico, pode ser um dos últimos sinais antes do impacto.

O Que Separa as Empresas que Detectam Rápido das que Descobrem Tarde

A IBM identificou uma diferença financeira expressiva entre os dois cenários: empresas que detectam violações internamente economizam em média US$ 900 mil em comparação àquelas notificadas pelos próprios atacantes — o que geralmente significa que o ataque já foi concluído e o criminoso está exigindo resgate ou divulgando os dados.

O que diferencia os dois grupos não é o orçamento de segurança — é a arquitetura de detecção. Empresas com menor tempo de detecção e resposta geralmente combinam três camadas:

Visibilidade de endpoint (EDR). Monitoramento contínuo de desktops, notebooks e servidores, com capacidade de isolar dispositivos comprometidos antes que o invasor se mova lateralmente para outros sistemas. Soluções como o Sophos Intercept X com EDR são projetadas exatamente para esse cenário.

Detecção e resposta gerenciada (MDR). Para empresas que não têm equipe de SOC interna — o que representa a maioria das PMEs — a terceirização da detecção para um provedor especializado comprime o tempo de resposta de dias ou semanas para minutos. O Sophos MDR, por exemplo, opera com analistas humanos que revisam alertas 24×7 e tomam ações de contenção imediata.

Monitoramento de identidade e acesso. MFA em todos os acessos críticos, políticas de acesso mínimo necessário e alertas automáticos para comportamentos anômalos de contas privilegiadas formam a camada que impede a movimentação lateral mesmo após um endpoint ser comprometido.

O DBIR 2025 também revelou um dado operacional relevante: apenas 54% das vulnerabilidades reportadas foram efetivamente corrigidas pelas empresas, com prazo médio de 32 dias para remediação. Esse intervalo é suficiente para que grupos organizados explorem brechas conhecidas antes que os patches sejam aplicados — reforçando a necessidade de gestão de vulnerabilidades estruturada, não reativa.

O Custo de Não Fazer Nada

Os casos concretos registrados no Brasil em 2025 ilustram o que está em jogo. O Grupo Jorge Batista, dono das Farmácias Globo no Piauí, foi atacado pelo grupo Gunra e registrou R$ 400 milhões em prejuízos diretos e indiretos — sistemas fora do ar, vendas paralisadas, ameaça de exclusão total de dados. A XP Investimentos comunicou acesso não autorizado a dados de clientes incluindo nomes, números de conta e limites de crédito. O ataque à C&M Software — empresa que custodia transações Pix entre instituições financeiras e o Banco Central — foi descrito como um dos maiores incidentes cibernéticos da história financeira brasileira.

Esses casos têm algo em comum além do dano financeiro: todas as empresas envolvidas tinham algum nível de estrutura de TI. Nenhuma delas estava completamente despreparada. O que faltou em vários cenários foi detecção antecipada — a capacidade de identificar o invasor durante o dwell time, antes que o ataque final fosse executado.

O CTIR (Centro de Prevenção, Tratamento e Resposta a Incidentes de Governo) registrou que, em apenas 7 meses de 2025, o número de incidentes já havia superado os totais anuais de 2021, 2022 e 2023 combinados. A aceleração é real. E os criminosos estão cada vez mais rápidos: o tempo recorde para um ataque de e-crime bem-sucedido foi registrado em 2 minutos e 7 segundos — o que torna a prevenção e a detecção precoce, não a resposta, a única estratégia eficaz.

O Diagnóstico que Sua Empresa Precisa Fazer Agora

A primeira pergunta que um gestor de segurança deveria conseguir responder hoje é simples: se um invasor entrou na minha rede há 30 dias, eu saberia? Se a resposta for incerta, ou pior, negativa, o risco está ativo — independentemente de nenhum incidente visível ter ocorrido.

A InfoB realiza diagnósticos de maturidade em cibersegurança para empresas de médio porte, mapeando as lacunas de visibilidade antes que elas se tornem vetores de ataque. O processo inclui análise de postura de endpoint, revisão de políticas de acesso, identificação de exposições externas e recomendações priorizadas por criticidade — sem jargão técnico excessivo e com foco no impacto para o negócio.

Não espere o aviso de resgate para descobrir que o problema já existia há meses. Fale com um especialista InfoB e agende seu diagnóstico gratuito de segurança.

Perguntas Frequentes

O que é dwell time em cibersegurança?

Dwell time é o tempo que um invasor permanece dentro da rede de uma empresa sem ser detectado. De acordo com dados globais da IBM, esse período médio é de 194 dias — quase seis meses de acesso livre antes da descoberta do incidente.

Como saber se minha empresa foi atacada?

Os sinais mais comuns incluem lentidão inexplicável na rede, acessos a sistemas fora do horário comercial, criação de novos usuários sem solicitação formal, aumento repentino no tráfego de dados e alertas de segurança ignorados. Um diagnóstico com monitoramento contínuo (MDR/XDR) é a forma mais confiável de identificar comprometimentos ativos antes do impacto.

Qual é o custo médio de uma violação de dados para empresas no Brasil?

Segundo o relatório Cost of a Data Breach 2025 da IBM, o custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões — alta de 6,5% em relação ao ano anterior, na contramão da tendência global de queda.

Pequenas e médias empresas são alvos de ransomware?

Sim. O relatório DBIR 2025 da Verizon revelou que o ransomware aparece em 88% das violações de dados em PMEs, contra 39% em grandes corporações. A percepção de que “hackers só atacam empresas grandes” é um dos maiores equívocos do mercado.

O que é monitoramento contínuo de rede e por que é importante?

Monitoramento contínuo é a vigilância permanente do ambiente de TI em busca de comportamentos anômalos — acessos suspeitos, movimentações laterais, exfiltração de dados. É a principal diferença entre detectar um ataque em minutos ou em meses. Soluções como Sophos MDR e Microsoft Sentinel são exemplos de tecnologias que oferecem essa camada de proteção.