O panorama das ameaças: Lições de 2025 e o que significam para 2026

Olha com mais atenção para os riscos que se escondem à vista de todos

Para muitas organizações, grande parte da conversa sobre cibersegurança continua a centrar-se no que está para vir: Ataques orientados para a IA, novas classes de malware, disrupção quântica e o pressuposto de que as ameaças de ontem já estão sob controlo.

Mas quando olhas mais de perto para a forma como os incidentes reais se desenrolaram ao longo do ano passado, surge uma imagem mais instrutiva; uma imagem que está a moldar o cenário de ameaças que as organizações enfrentam neste momento. E, em muitos casos, quando se analisa a situação, não foi a tecnologia que falhou – foi o comportamento humano sob pressão.

As violações mais prejudiciais não foram causadas por caminhos de ataque novos ou futuristas. Foram originadas por fraquezas familiares que já tinham sido documentadas, corrigidas ou exploradas anteriormente, mas que continuavam presentes em ambientes reais. . Uso indevido de identidade. Atrasos na correção de erros. Engenharia social que se misturava perfeitamente com os fluxos de trabalho diários. Lacunas operacionais que persistiam apesar de painéis de controlo tranquilizadores, métricas de conformidade e pilhas de tecnologia aparentemente maduras.

Este debriefing corta a especulação e concentra-se nas provas. Os comportamentos, padrões de ataque e riscos negligenciados que definiram as violações recentes e que continuam a influenciar a forma como os atacantes operam em 2026.

As ameaças em si não são novas. O risco reside na frequência com que são subestimadas e no facto de as organizações não estarem preparadas quando são exploradas.

O que realmente aconteceu no ano passado

1. As vulnerabilidades foram exploradas mais rapidamente do que as organizações conseguiram responder

A velocidade de exploração acelerou novamente em 2025. Em vários casos de elevada gravidade, o código de prova de conceito e a exploração ativa surgiram poucas horas após a divulgação, e não dias ou semanas; como se viu em incidentes amplamente divulgados que afectaram plataformas VPN e de firewall, tais como Ivanti Connect Secure e Palo Alto PAN-OSpara citar alguns.

Em vários casos, os atacantes agiram com base em vulnerabilidades recém-divulgadas poucas horas após a emissão de avisos públicos.. Embora os dias zero tenham feito manchetes, uma proporção significativa de intrusões bem sucedidas baseou-se em vulnerabilidades mais antigas e bem documentadas que as organizações acreditavam serem riscos já “conhecidos”.

Os serviços remotos, como VPNs, firewalls, hipervisores e fornecedores de identidade, continuaram a ser os alvos mais atractivos devido ao seu acesso direto a ambientes internos.

Para muitas organizações, o problema não era a complexidade das vulnerabilidades, mas a lacuna operacional entre saber que existia uma correção e ser capaz de a aplicar de forma rápida e segura.

Porque é que isto é importante:

“Corrige mais depressa” parece simples, mas o ano passado mostrou que a exploração ultrapassa habitualmente os ciclos de correção tradicionais. Sem uma visibilidade precisa dos activos, uma definição de prioridades baseada no risco e uma capacidade operacional, as vulnerabilidades conhecidas continuam a fornecer pontos de entrada fiáveis.

2. O ransomware não diminuiu, mudou discretamente de forma

As previsões de declínio do ransomware não se concretizaram. Em vez disso, o ransomware evoluiu.

O relatório Relatório da ENISA sobre o panorama das ameaças mostra que a atividade de ransomware aumentou em frequência e impacto durante 2025, com uma clara mudança para a exfiltração e extorsão de dados sem encriptação. No entanto, muitas campanhas já não começaram com eventos de encriptação ruidosos e perturbadores. Em vez disso, os atacantes concentraram-se primeiro no roubo de dados, no reconhecimento e na recolha de credenciais.

A encriptação tornou-se opcional. Em vários casos, foi totalmente ignorada. A ameaça de divulgação dos dados, por si só, revelou-se suficiente para forçar negociações, mesmo quando as cópias de segurança estavam intactas.

O acesso inicial foi frequentemente conseguido através de uma combinação de exploração de vulnerabilidades e de credenciais roubadas, em vez de apenas a entrega de malware.

Porque é que isto é importante:

As cópias de segurança já não são uma rede de segurança suficiente. A defesa contra o ransomware deve agora abranger todo o ciclo de vida da intrusão, desde o acesso inicial, passando pelo movimento lateral, até à exfiltração de dados.

3. A engenharia social tornou-se consciente do contexto e mais difícil de ver

A mudança mais significativa na engenharia social durante 2025 não foi o volume, mas a precisão.

Os atacantes usaram cada vez mais iscas altamente contextuais que espelhavam fluxos de trabalho internos, comunicações com fornecedores, pedidos de aprovação e alertas de sistema. As ferramentas assistidas por IA permitiram uma rápida variação na linguagem, formatação e marca, ajudando as tentativas de phishing a contornar os controlos de deteção estática.

Muitos utilizadores não estavam a responder a e-mails obviamente suspeitos. Estavam a reagir a mensagens que pareciam e pareciam ser comunicações operacionais de rotina.

A utilização generalizada de ferramentas de acesso remoto, VPNs e modelos de trabalho híbridos criou pontos de pressão adicionais, em especial no que respeita às contas administrativas e privilegiadas.

Porque é que isto é importante:

A formação de sensibilização baseada em exemplos de phishing desactualizados já não reflecte a realidade. Quando o engano parece autêntico, o risco passa das lacunas de conhecimento para a tomada de decisões sob pressão.

4. A identidade tornou-se a principal superfície de ataque

Uma das lições mais claras do ano passado foi o papel central dos ataques baseados na identidade.

O uso indevido de credenciais, a pulverização de senhas, o sequestro de sessões, o roubo de tokens e a fadiga de MFA foram fatores recorrentes em violações em vários setores. As ameaças orientadas para a identidade aumentaram acentuadamente desde 2023, sendo responsáveis por 59% de todos os incidentes confirmados até ao início de 2025. Isto representa um aumento de 156% nos ataques baseados na identidade num período de dois anos.

Em muitos ambientes, o movimento lateral permaneceu surpreendentemente fácil devido à segmentação limitada e à fraca governação do acesso.

Porque é que isto é importante:

A identidade ultrapassou os terminais como o ponto de entrada mais fiável. O privilégio mínimo (limitar os utilizadores e os sistemas apenas ao acesso de que realmente necessitam), juntamente com uma forte governação do acesso e uma MFA resistente ao phishing, é agora um controlo de segurança fundamental e não uma melhoria opcional.

5. As grandes perturbações resultam de falhas conhecidas

Muitos dos incidentes mais perturbadores em 2025 resultaram de falhas operacionais conhecidas, incluindo interfaces de gestão expostas, activos de nuvem mal configurados, sistemas em fim de vida, fraca separação entre ambientes críticos e não críticos e pontos únicos de falha em serviços de terceiros.

Não se tratava de ataques avançados. Foram falhas evitáveis que persistiram por detrás de pressupostos de maturidade e controlo.

Porque é que isto é importante:

As ferramentas avançadas não podem compensar as bases operacionais fracas. A diferença entre um incidente contido e um acontecimento de destaque resume-se muitas vezes a aspectos básicos que se supunha estarem “feitos”.

Principais vulnerabilidades e exposições comuns exploradas (CVEs)

Em todos os relatórios globais, surgiram vários padrões:

1. A exploração concentrou-se sobretudo em sistemas públicos

Os aparelhos VPN, os dispositivos de firewall, os gateways de correio eletrónico e os fornecedores de identidade na nuvem continuam a ser os principais alvos.

2. As vulnerabilidades amplamente conhecidas continuam a ser das mais exploradas

Os CVE mais antigos com correcções disponíveis continuaram a prevalecer devido a longos prazos de correção, sistemas antigos ou implementações incompletas de correcções.

3. Os atacantes exploraram oportunidades de encadeamento

Em vez de se basearem numa única falha, os agentes de ameaças combinam frequentemente:

• Uma vulnerabilidade conhecida de execução remota de código

• Uma falha de escalonamento de privilégios

• Uma configuração incorrecta ou uma credencial não segura

Esta abordagem em cadeia permitiu um movimento lateral rápido após o acesso inicial.

4. O tempo de armamento acelerou drasticamente

Várias vulnerabilidades críticas foram exploradas ativamente no mesmo dia em que os os avisos dos fornecedores foram publicados.

O que isto nos diz:

A ameaça não tem apenas a ver com novas vulnerabilidades, mas também com visibilidade, definição de prioridades e velocidade. Os atacantes concentram-se no caminho mais fácil para entrar, não no mais sofisticado.

Tácticas, técnicas e procedimentos do ransomware

• A atividade de ransomware recuperou em 2025: uma análise estima um aumento de cerca de 34 em incidentes de ransomware confirmados em comparação com 2024.

• No entanto, ao contrário dos modelos mais antigos que se centravam na encriptação pura de ficheiros, muitos atacantes preferem agora dupla extorsão: primeiro exfiltra os dados, depois encripta-os ou ameaça divulgá-los.

• A economia do ransomware está a mudar. De acordo com um inquérito global, o pagamento médio de um resgate em 2025 manteve-se elevado (≈ US$1,0 M)mas apenas uma minoria de organizações pagou.
• Os actores do ransomware combinam cada vez mais a exploração de vulnerabilidades (por exemplo, VPNs/firewalls não corrigidas) com o roubo de credenciais ou phishing/engenharia social para obter o acesso inicial.

Porque é que isto é importante:

A mudança para uma tática que privilegia a exfiltração e a encriptação como meio auxiliar significa que os defensores não podem confiar apenas nas cópias de segurança dos ficheiros. A deteção e a prevenção têm agora de abranger todo o ciclo de vida da intrusão, desde o acesso até à exfiltração, e acompanhar o ritmo dos ataques orientados para a exploração.

Evoluções da engenharia social: O que surpreendeu (e teve sucesso)

• A engenharia social continuou a ser o principal motor das campanhas de ransomware e de violação em 2025. Em particular, O phishing como ponto de acesso inicial aumentou significativamente.

• A ascensão do phishing alimentado por IAOs atacantes utilizam agora frequentemente ferramentas automatizadas ou assistidas por IA para criar e-mails de phishing convincentes e altamente adaptados que contornam a deteção tradicional.

• Como resultado, muitos e-mails de phishing usam agora “polimórficos“, variando os nomes dos remetentes, metadados, assuntos e logótipos, para derrotar os filtros baseados em assinaturas e evitar a deteção de padrões.
• A mudança para o trabalho híbrido, os ambientes remotos e a utilização generalizada de software de acesso remoto (VPNs, RDP, ferramentas de ambiente de trabalho remoto) aumentou ainda mais a eficácia do roubo de credenciais e as tácticas de engenharia social.

Porque é que isto é importante:

A sensibilização para a segurança, por si só, já não é suficiente. À medida que os atacantes utilizam a IA para escalar e adaptar a engenharia social, as organizações têm de investir em defesas em camadas (controlos técnicos e formação humana e deteção de anomalias), especialmente em torno do correio eletrónico e do acesso à identidade.

Onde as previsões falharam e porquê

Muitas previsões anteriores partiam do princípio de que o ransomware continuaria a ser dominado por ataques de encriptação de grande impacto e que os ciclos de aplicação de patches manteriam o ritmo. Essa visão foi subestimada:

1. A explosão do volume de vulnerabilidades e a sua rápida utilização como armaEm 2025, houve muito mais divulgações de CVE do que muitas previsões previam, e os atacantes exploraram muitas delas em poucas horas.

1. A mudança para modelos de negócio de dupla extorsão/fuga de dados: A encriptação por si só está a perder o seu valor quando os alvos têm boas cópias de segurança; o roubo de dados e a extorsão dão mais vantagem.

1. O poder da engenharia social + IAO que é que se passa com a engenharia social: as previsões que se centravam apenas nas vulnerabilidades técnicas não tinham em conta a eficácia do phishing assistido por IA e dos ataques baseados em credenciais.

Isto significa que os defensores e os modelos de risco que se baseavam principalmente em ciclos de correção, resiliência de cópias de segurança ou mitigação baseada na encriptação precisam de ser reavaliados. A verdadeira ameaça, especialmente para muitas organizações, é agora mais vasta: abrange a identidade, o acesso inicial, a exfiltração de dados e a engenharia social.

O que o cenário de ameaças indica para 2026

Quando olhas com atenção para a forma como os ataques recentes se desenrolaram, começa a formar-se um padrão. Os atacantes não recorreram a técnicas futuristas ou a complexos “zero-days”. Na maioria dos casos, escolheram o caminho mais simples e mais fiável para entrar numa organização.

Muitas vezes, esse percurso envolveu pessoas.

Em todas as utilizações indevidas de identidade, atrasos na aplicação de patches, caminhos de intrusão de ransomware e campanhas de engenharia social, o fio condutor não era apenas a tecnologia. Era o comportamento. Decisões tomadas sob pressão. Acessos que cresceram com o tempo. Controlos que pareciam fortes no papel, mas que não foram testados na prática.

A identidade continua a estar no centro de tudo isto. As credenciais são partilhadas, reutilizadas, aprovadas demasiado depressa ou expostas através de phishing. Mesmo os ambientes bem configurados tornam-se vulneráveis quando os comportamentos quotidianos criam aberturas não intencionais.

A velocidade de exploração está também a forçar uma mudança de mentalidade. Os ciclos de correção tradicionais e os controlos baseados em políticas podem ter dificuldade em acompanhar o ritmo quando os atacantes agem em poucas horas. É nesse intervalo entre o saber e o fazer que reside o risco.

O ransomware seguiu a mesma trajetória. A exposição e a extorsão de dados são agora, a par da encriptação, as principais tácticas. Prevenir o impacto significa compreender não só onde os sistemas são vulneráveis, mas também onde as pessoas e os processos podem introduzir riscos.

Os programas de sensibilização também precisam de evoluir. O phishing moderno não parece obviamente suspeito. Parece rotineiro. Espelha fornecedores, colegas, notificações de sistema e pedidos internos. Reconhecer este tipo de engano requer mais do que formação básica. Requer discernimento.

O que 2025 deixou claro é que a força operacional depende de mais do que ferramentas. Depende da visibilidade do comportamento real, da exposição real e da prontidão real.

Em 2026, as organizações que compreendem o seu risco humano tão claramente como o seu risco técnico estarão numa posição muito mais forte para evitar perturbações e responder com confiança.

Trabalha com o MetaCompliance

Na MetaCompliance, ajudamos as organizações a olhar mais de perto os riscos que, muitas vezes, se encontram logo abaixo da superfície. Os incidentes que moldam o atual cenário de ameaças raramente acontecem porque os funcionários não conhecem as regras. Acontecem porque as organizações se baseiam em suposições sobre comportamento, cobertura e prontidão que já não reflectem a forma como os ataques se desenrolam na realidade.

A nossa abordagem baseia-se em transformar esses pressupostos em provas. Através da nossa plataforma de Gestão do Risco Humano, os líderes de segurança ganham visibilidade sobre onde o risco realmente existe, com base em comportamentos reais, padrões de envolvimento e exposição a ameaças modernas, em vez de taxas de conclusão ou métricas estáticas.

Em vez de programas de sensibilização de tamanho único, as organizações podem oferecer intervenções direcionadas e personalizadas, alinhadas com o perfil de risco de cada utilizador. Isto garante que a formação concentra a atenção onde é mais importante, em vez de distribuir o esforço uniformemente por utilizadores de baixo e alto risco.

A nossa formação baseada em cenários reflecte a forma como o engano se apresenta hoje em dia, desde o phishing contextual e a personificação de fornecedores até às tentativas de intrusão baseadas na identidade. Estes momentos de aprendizagem curtos e focados são concebidos para aguçar o discernimento em condições realistas, ajudando os funcionários a reconhecer o risco quando este é subtil, familiar e fácil de passar despercebido.

As simulações de phishing evoluem continuamente na plataforma, reflectindo as tácticas, a linguagem e o contexto que os atacantes utilizam em campanhas reais. Isto faz com que as organizações ultrapassem o simples teste de aprovação ou reprovação e passem para uma mudança de comportamento sustentada que reduz a exposição ao longo do tempo.

A gestão de políticas e de conformidade está totalmente integrada, dando às organizações uma visão mais clara da forma como a governação, o comportamento e o risco se cruzam. Os relatórios destacam as tendências emergentes e as fraquezas ocultas, permitindo aos líderes dar prioridade à ação com base em provas e não em garantias.

À medida que o fosso entre a confiança na segurança e a realidade das violações continua a aumentar, a MetaCompliance ajuda as organizações a colmatá-lo, concentrando-se nas decisões humanas e nos controlos diários que os atacantes exploram com mais frequência. Está na altura de olhar mais de perto para onde o risco realmente vive.