_Tecnologia

Hackers já não precisam só da sua senha

O Verizon 2026 Data Breach Investigations Report revela que falhas de software superaram senhas roubadas como principal causa de invasões hackeadas em 2026.

Hackers já não precisam só da sua senha

A exploração de vulnerabilidades de software superou oficialmente o uso de credenciais roubadas como o principal método de invasão corporativa. De acordo com o Verizon 2026 Data Breach Investigations Report (DBIR), essa tática agora responde por 31% de todas as violações confirmadas. O estudo, que analisou mais de 31.000 incidentes de segurança em 145 países, aponta que o uso de inteligência artificial (IA) permitiu que criminosos identifiquem e ataquem falhas em sistemas em questão de horas.

Pela primeira vez em 19 anos de história do relatório, o roubo de senhas perdeu a liderança, caindo para apenas 13% dos incidentes relatados. Esse deslocamento técnico reflete uma mudança na estratégia dos atacantes, que aproveitam ferramentas automatizadas para monitorar vulnerabilidades conhecidas. Daniel Lawson, SVP de Global Solutions na Verizon Business, destacou que, embora a velocidade das ameaças tenha aumentado com a IA, os fundamentos da segurança e da gestão de riscos continuam sendo as defesas mais eficazes.

De acordo com o TechRadar, o cenário é agravado pela lentidão das empresas em aplicar correções. Em 2025, apenas 26% das vulnerabilidades críticas listadas no catálogo da Cybersecurity and Infrastructure Security Agency (CISA) foram totalmente remediadas. O tempo médio para a aplicação de patches de segurança saltou para 43 dias, um aumento considerável em relação aos 32 dias registrados no ano anterior, deixando redes expostas por períodos perigosamente longos.

IA acelera ataques e impacta a resiliência corporativa

A inteligência artificial transformou a descoberta de brechas em um processo industrial. Atacantes utilizam a tecnologia para pesquisa de vulnerabilidades e desenvolvimento de malware, encurtando a janela de defesa das organizações de meses para horas. Apesar disso, o Verizon 2026 DBIR indica que o uso de IA pelos criminosos ainda não resultou em um aumento estatisticamente mensurável no sucesso de ataques de phishing no conjunto de dados analisado.

O ransomware continua sendo uma ameaça persistente, presente em 48% de todas as violações. Mas as empresas estão demonstrando maior resistência: cerca de 69% das vítimas recusaram-se a pagar o resgate no último ano. Esse posicionamento defensivo contribuiu para a queda no valor médio dos pagamentos de extorsão, que recuou para US$ 139.875, contra US$ 150.000 no período anterior.

Métrica de Cibersegurança DBIR 2025 (Dados) DBIR 2026 (Dados)
Exploração de Vulnerabilidades 20% 31%
Uso de Credenciais Roubadas 22% 13%
Presença de Ransomware 44% 48%
Tempo Médio para Patch (Correção) 32 dias 43 dias
Recusa de Pagamento de Resgate Não especificado 69%

O perigo do Shadow AI e falhas na cadeia de suprimentos

O comportamento dos funcionários introduz novos riscos, especialmente através do chamado “Shadow AI”. Aproximadamente 45% dos colaboradores já utilizam ferramentas de IA no trabalho, mas impressionantes 67% acessam essas plataformas por meio de contas pessoais não autorizadas. Essa prática tornou a Shadow AI a terceira causa mais frequente de vazamento não malicioso de dados, com funcionários subindo códigos-fonte para sistemas públicos.

Além dos riscos internos, a segurança externa também se fragilizou. Os ataques envolvendo a cadeia de suprimentos e a participação de terceiros aumentaram 60% em relação ao ano anterior. Atualmente, brechas relacionadas a parceiros externos figuram em 48% de todas as violações confirmadas, exigindo que as empresas monitorem não apenas sua própria infraestrutura, mas todo o seu ecossistema de fornecedores.

A comunicação móvel surge como outro vetor crítico de ataque. Simulações de phishing revelaram que mensagens de texto e chamadas de voz possuem taxas de cliques 40% superiores ao e-mail tradicional. O elemento humano, embora tenha sido superado pela vulnerabilidade técnica como porta de entrada inicial, ainda está presente em 62% de todas as violações registradas no relatório.

FAQ

Qual foi a principal mudança no Verizon 2026 DBIR?

A principal mudança foi que a exploração de vulnerabilidades de software tornou-se o método número um de invasão, superando o roubo de credenciais pela primeira vez em 19 anos. Esse método agora é responsável por 31% das violações confirmadas.

O que o relatório diz sobre o uso de IA nas empresas?

O relatório aponta que 45% dos funcionários usam ferramentas de IA, mas 67% o fazem sem autorização oficial (Shadow AI). Isso levou a IA não oficial a ser a terceira maior causa de vazamento acidental de dados sensíveis nas organizações.

Como o ransomware se comportou no último ano?

O ransomware apareceu em 48% das brechas, mas o pagamento médio caiu para US$ 139.875. Isso ocorreu porque 69% das empresas vítimas de ataques optaram por não pagar o resgate aos criminosos.

Sair da versão mobile