Ataques cibernéticos no Brasil: triplicam em 2026 e expõem vulnerabilidades estruturais

O que aconteceu e por que importa

Entre janeiro e fevereiro de 2025, o Gabinete de Segurança Institucional do governo federal registrou uma média mensal de aproximadamente mil e quinhentas notificações de ataques cibernéticos e tentativas de invasão de sistemas contra órgãos públicos. Até fevereiro de 2026, esse mesmo indicador havia saltado para mais de quatro mil e seiscentos casos por mês, um crescimento superior a 300% em um período de doze meses. O dado, divulgado pelo GSI à imprensa brasileira, representa o maior salto já registrado na série histórica de monitoramento de ameaças cibernéticas contra a infraestrutura digital do Estado brasileiro.

Os números absolutos são igualmente impressionantes. Segundo o Relatório Global de Ameaças 2026, publicado por empresa de segurança cibernética, o Brasil sofreu 753,8 bilhões de tentativas de ataques cibernéticos ao longo de 2025. Esse volume coloca o país entre os mais visados do mundo no espaço digital. Outubro de 2025 foi o mês mais intenso, com 198 bilhões de tentativas de ataque registradas em um único mês. Setores como governo, educação e serviços financeiros figuram entre os mais frequentemente alvejados.

A questão não se limita ao volume. Em fins de semana recentes, clientes do BTG Pactual não puderam realizar transferências via PIX após o banco identificar um ataque hacker que desviou, segundo investigações em curso, cem milhões de reais da instituição. Em outro episódio significativo, a empresa C&M Software sofreu em 2025 um ataque que desviou mais de oitocentos milhões de reais, considerado o maior ataque hacker ao sistema financeiro brasileiro já registrado. Há suspeitas de que o grupo responsável pelo ataque ao BTG Pactual seja próximo ao que praticou a invasão à C&M Software.

Contexto: a industrialização do crime digital

Fernando Marino, executivo de Solução Antifraude do CPQD, centro de pesquisa e desenvolvimento em tecnologias de informação e comunicação, sostiene que o fenômeno não se explica apenas pelo aumento do número de ameaças, mas sobretudo pela sua sofisticação. Em declaração à imprensa, Marino alertou que o Brasil vive uma era de industrialização dos ciberataques: os ataques estão muito mais sofisticados e principalmente mais escaláveis. A inteligência artificial não criou o crime digital, mas ela aumentou muito a capacidade de personalizar golpes, de automatizar tentativas de invasão e de tornar fraudes muito mais convincentes do que eram.

A análise de Marino aponta para uma mudança estrutural na natureza das ameaças. O modelo tradicional de ataque hacker envolvia um ator individual ou pequeno grupo com habilidades técnicas elevadas, desenvolvendo vulnerabilidades específicas para cada alvo. Esse modelo ainda existe, mas está sendo progressivamente complementado, e em alguns contextos substituído, por estruturas que operam como verdadeiras empresas de crime digital, com divisões de trabalho, centros de treinamento, atendimento ao cliente e infraestrutura compartilhada.

Essa industrialização tem consequências diretas sobre a capacidade de defesa. Se o ataque tradicional era limitado pela capacidade técnica de um indivíduo ou pequeno grupo, os novos modelos de ataque são limitados apenas pela infraestrutura computacional disponível, que se torna progressivamente mais barata e acessível. Ferramentas de IA generativa permitem a criação de phishing personalizado em escala, a geração de deepfakes para fraudes de engenharia social e a automação de varreduras de vulnerabilidades em redes inteiras. Essas capacidades, antes restritas a atores sofisticados, estão hoje disponíveis para qualquer pessoa disposta a pagar por elas no mercado de crime digital.

Ataques a órgãos públicos: mais do que triplicaram

O GSI identificou que o salto de mil e quinhentas para quatro mil e seiscentas notificações mensais não reflete apenas o aumento de tentativas hostis, mas também a ampliação de ferramentas de detecção implementadas pelo órgão. Isso não significa que o crescimento seja exclusivamente artifactual: a percepção dos especialistas é de que houve aumento real no volume e na sofisticação das ameaças, e que as novas ferramentas de detecção estão respondendo por capturar parte do fenómeno que antes passava despercebida.

A vulnerabilidade dos órgãos públicos é particularmente crítica porque eles detêm grandes volumes de dados pessoais de cidadãos, CPF, registros tributários, histórico de saúde, dados de segurança social. Esses dados, em poder de atacantes, podem ser usados para fraudes de identidade, abertura fraudulenta de contas bancárias e outros crimes que afetam diretamente os cidadãos cujas informações são expostas. A gravidade desses vazamentos é ampliada pelo facto de que muitos desses sistemas foram desenvolvidos em décadas passadas, sem os padrões de segurança que a tecnologia atual torna possíveis, e sua modernização é lenta e onerosa.

O Tribunal de Justiça do Estado de São Paulo, o Superior Tribunal de Justiça e outras cortes judiciais já foram alvo de ataques significativos. Em março de 2025, o STJ registrou um ataque de negação de serviço distribuído que manteve o portal institucional fora do ar por aproximadamente 48 horas durante o período de Carnaval. O tribunal informou que os sistemas internos de julgamento não foram afetados, mas a instância expôs a vulnerabilidade dos canais de comunicação pública. Já em setembro de 2024, outro ataque ao STJ havia sido repelido pela equipe de segurança do tribunal.

Dados, evidências e o que os números mostram

Os números disponíveis consolidam um cenário de elevação acelerada. O Relatório Global de Ameaças 2026 indica que o Brasil foi o país mais atacado da América Latina e um dos mais atacados do mundo em 2025, com 753,8 bilhões de tentativas registradas. Esse volume é 23 vezes superior ao número de tentativas registradas em 2023, evidenciando a velocidade de expansão das ameaças. Dados da PwC, coletados em 2025 em levantamento global que incluiu o Brasil, mostram que 66% das empresas brasileiras estavam aumentando investimentos em segurança cibernética naquele ano, um sinal de que o setor privado reconhece a gravidade do cenário e tenta se proteger proativamente.

A elevação do número de ataques coincide com a expansão do PIX e de outros serviços bancários digitais, que ofereceram novos vetores de ataque para cibercriminosos. O sistema PIX, criado pelo Banco Central em 2020, ampliou massivamente a velocidade e o volume de transações financeiras no Brasil e, ao mesmo tempo, criou uma superfície de ataque de dimensões inéditas. Ataques ao PIX, incluindo invasões a instituições financeiras para desvio de recursos via transferências instantâneas, tornaram-se um dos modus operandi mais rentáveis para grupos de crime digital.

No setor governamental, os números de tentativas de ataque também refletem a maior atenção que o tema passou a receber. O GSI, antes restrito ao monitoramento de ameaças a órgãos ligados à Presidência da República, expandiu progressivamente seu escopo e hoje monitora um universo mais amplo de instituições públicas. Essa ampliação do monitoramento é, ao mesmo tempo, resposta ao aumento das ameaças e fator que permite melhor visibilidade sobre a dimensão real do fenómeno.

O que os dados ainda não respondem

Apesar dos números disponíveis, importantes questões permanecem sem resposta. Não há, nos dados públicos, uma ventilação detalhada do tipo de ataques que compõem o universo de 753,8 bilhões de tentativas. É possível que uma parcela significativa seja composta por tentativas automatizadas de baixíssima sofisticação, varreduras de portas abertas e scripts genéricos, que são neutralizadas automaticamente por sistemas de defesa sem intervenção humana. Separar essas tentativas de baixo impacto das ameaças genuinamente sofisticadas é necessário para uma leitura mais precisa do verdadeiro nível de risco.

Também não está claro, nos dados disponíveis, qual a proporção de ataques que resultaram em algum tipo de comprometimento efetivo, isto é, vazamento de dados, desvio de recursos ou interrupção de serviços, em comparação com meras tentativas. Estabelecer essa proporção é fundamental para calibrar a resposta de política pública: se a maioria esmagadora das tentativas é bloqueada, o problema pode estar mais na percepção do que na realidade concreta. Inversamente, se mesmo uma pequena fração de ataques bem-sucedidos gera danos enormes, a prioridade deve ser a elevação dos padrões de segurança.

Outra lacuna diz respeito aos custos econômicos. Ainda não há uma metodologia amplamente aceita para calcular o custo total dos ataques cibernéticos para a economia brasileira, incluindo tanto os danos diretos, recursos desviados, sistemas interrompidos, quanto os custos indiretos, perda de confiança, elevação de prêmios de seguros, investimentos defensivos obrigatórios. Estimativas internacionais sugerem que o custo global do cibercrime atinge percentuais significativas do PIB de países fortemente conectados, mas não há números amplamente aceitos para o Brasil.

Contrapontos, críticas e limites da análise

Uma leitura possível para os dados de crescimento de ataques é que eles são, paradoxalmente, sinal de amadurecimento defensivo. À medida que organizações públicas e privadas investem em ferramentas de detecção mais sofisticadas, aumenta a capacidade de identificar e registrar tentativas de ataque que antes passavam despercebidas. O salto de 300% no número de notificações não significaria, nessa leitura, que o ambiente se tornou muito mais hostil, mas que a capacidade de vê-lo melhorou. Essa interpretação não é irreal, mas tampouco resolve as preocupações de fundo.

Outros analistas, porém, apontam que a interpretação defensiva não esgota o fenómeno. A entrada de grupos ligados a Estados nacionais no espaço do cibercrime, ou pelo menos a utilização de capacidades cibernéticas estatais para fins parcialmente comerciais, representa uma mudança na natureza das ameaças que as estatísticas de volume não captam adequadamente. Esses atores dispõem de recursos, infraestrutura e capacitação técnica que excedem em muito aquilo que grupos criminais tradicionais conseguiam mobilizar. Quando um grupo dessa natureza consegue desviar oitocentos milhões de reais de uma empresa de software, como no caso da C&M Software, está-se diante de um tipo de ameaça para o qual a maior parte das organizações brasileiras não dispõe de defesas proporcionais.

A crítica mais substantiva ao atual padrão de resposta brasileira é que ela permanece predominantemente reativa. O país não dispõe de uma estratégia nacional de cibersegurança com abrangência e recursos comparáveis aos de países como Estados Unidos, União Europeia ou Israel, que há décadas tratam o ciberespaço como domínio operacional prioritário. O GSI, que é o órgão central de monitoramento, opera com recursos limitados e mandato restrito. Enquanto isso, a superfície de ataque, dado o avanço da digitalização de serviços públicos e da operação bancária digital, se expande continuamente. Esse descompasso entre a velocidade de expansão da superfície de ataque e a velocidade de ampliação das capacidades defensivas é, para muitos especialistas, o principal fator de vulnerabilidade.

Perspectivas internacionais e modelos de resposta

A União Europeia, por meio da Diretiva NIS2, Network and Information Security Directive 2, estabelecida em 2022 e em fase de implementação pelos Estados membros, impõe requisitos obrigatórios de cibersegurança para setores críticos, incluindo energia, saúde, infraestrutura digital e administração pública. A diretiva prevê sanções significativas para organizações que não cumpram os padrões de segurança exigidos e estabelece mecanismos de cooperação entre Estados membros para resposta a incidentes de larga escala. O Brasil não dispõe de legislação equivalente.

Nos Estados Unidos, a Cybersecurity and Infrastructure Security Agency opera como agência federal central para coordenação de respostas a incidentes cibernéticos e disseminação de informações de ameaça. A agência mantém programas de compartilhamento de indicadores de ataque entre setor privado e governo e oferece suporte técnico diretamente a organizações críticas que sofrem incidentes. O modelo pressupõe investimento público significativo e uma estrutura de cooperação público-privada que o Brasil ainda está longe de implementar.

Israel é frequentemente citado como referência em cibersegurança por combinar capacidades militares cibernéticas avançadas com um ecossistema próspero de empresas de segurança digital. A Unidade 8200 das Forças de Defesa de Israel é reconhecida internacionalmente por suas capacidades em operações cibernéticas defensivas e ofensivas, e muitas das principais empresas de cibersegurança do mundo têm origem em ex-membros dessa unidade. Esse modelo, porém, pressupõe um ambiente de investimento em defesa e tecnologia que o Brasil não consegue replicar em curto prazo.

Impactos práticos e consequências

Os ataques cibernéticos contra instituições financeiras geram consequências que vão além do prejuízo imediato do valor desviado. Quando o BTG Pactual sofreu o ataque que paralisou transferências via PIX, a interrupção do serviço afetou diretamente milhares de clientes que dependiam da plataforma para realizar transações no fim de semana. Embora o banco tenha informado que nenhum dado foi extraído e que os recursos dos clientes não foram comprometidos, a paralisação demonstra como a dependência digital cria vulnerabilidades específicas: um ataque a uma instituição financeira pode paralisar serviços essenciais para populações inteiras, não apenas afetar o patrimônio da instituição atacada.

Para os cidadãos cujos dados pessoais são vazados, as consequências podem ser duradouras e de difícil quantificação. A advogada Ana Sylvia Coelho, professora de Privacidade e Proteção de Dados, explica que, quando uma instituição financeira sofre desvio de recursos, os consumidores geralmente não são responsabilizados pela perda porque a instituição deve repor os valores. O problema é que quando os dados são vazados, número de conta, nome completo, CPF, data de nascimento, informações sobre a sua identidade e vida privada, você se torna vulnerável a cair em golpes. Os dados roubados podem ser usados para aberturas fraudulentas de contas bancárias, solicitação de cartões de crédito em nome da vítima, contratos de empréstimo, e outras fraudes que podem levar meses ou anos para serem completamente remediadas.

No setor público, a vulnerabilidade é particularmente crítica porque muitos sistemas legados, desenvolvidos em décadas passadas com padrões de segurança agora considerados insuficientes, não podem ser facilmente atualizados sem interrupção de serviços essenciais. O desafio da modernização de sistemas legados é técnico, financeiro e político. Técnico porque muitos desses sistemas foram desenvolvidos com arquiteturas que não permitem atualizações incrementais e precisam ser substituídos integralmente. Financeiro porque o custo de substituição de sistemas críticos pode alcançar centenas de milhões de reais. Político porque a decisão de substituir sistemas legados frequentemente envolve debates sobre soberania tecnológica e preferências por soluções nacionais versus estrangeiras.

Cenários e síntese

O horizonte para 2026 sugere que a tendência de alta nos ataques cibernéticos deve persistir. A sofisticação das ferramentas de ataque disponíveis no mercado de crime digital continua crescendo, e a adoção de IA generativa por grupos cibercriminosos amplia significativamente sua capacidade de escalar operações. Ao mesmo tempo, a digitalização de serviços públicos e financeiros no Brasil avança sem que haja uma correspondente elevação proporcional dos investimentos em segurança cibernética em muitas organizações, especialmente nas de menor porte.

Alguns fatores podem moderar a trajetória de crescimento. A expansão da cobertura do GSI para além dos órgãos diretamente ligados à Presidência da República fortalece a capacidade de monitoramento e resposta. A elevação dos investimentos defensivos pelo setor privado, sinalizada pela pesquisa da PwC, indica que o mercado está se movendo, ainda que de forma reativa e não preventiva. E a crescente atenção do Congresso Nacional ao tema, manifestada em projetos de lei sobre segurança cibernética e proteção de dados em tramitação, sugere que o arcabouço regulatório pode se tornar mais exigente nos próximos anos.

Porém, a lacuna central não é regulatória nem tecnológica, é de investimento e coordenação. O Brasil carece de um centro de coordenação de cibersegurança com autoridade, recursos e capacidade técnica comparável aos de países que lograram estabelecer respostas efetivas ao cibercrime. A fragmentação de responsabilidades entre GSI, Polícia Federal, Ministério da Defesa, tribunais e órgãos reguladores cria pontos de fricção que podem atrasar a resposta a incidentes críticos. Enquanto a superfície de ataque se expande exponencialmente, a capacidade de resposta coordenada permanece linear, e essa assimetria é o principal fator de vulnerabilidade do país no espaço cibernético.

A síntese que os dados permitem é direta: o Brasil enfrenta um problema crescente de cibersegurança que não pode ser atacado apenas com ferramentas reacionais e investimentos incrementais. A magnitude das ameaças, manifestada nos 753,8 bilhões de tentativas de 2025 e no salto de mais de 300% nos ataques a órgãos públicos, exige uma resposta estrutural que inclua investimento significativo em capacidades defensivas, atualização do arcabouço regulatório, formação de profissionais de segurança cibernética e, sobretudo, coordenação efetiva entre os múltiplos atores do ecossistema de segurança digital do país.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.