Brasil entre os três maiores alvos de ransomware no mundo enquanto cibersegurança busca resposta

O Brasil no topo do ranking global de ataques cibernéticos

O Brasil se consolidou em 2026 como um dos três países mais atacados por ransomware no mundo, atrás apenas dos Estados Unidos e da Índia, segundo dados do relatório de ciberameaças da Acronis relativo ao segundo semestre de 2025. O levantamento, baseado em telemetria coletada pela unidade de pesquisa de ameaças da empresa, coloca o país como líder isolado na América Latina em volume de registros desse tipo de ataque, que consiste no sequestro de dados corporativos mediante criptografia, seguido de exigência de resgate para liberação das informações. Mais de 7.600 vítimas foram divulgadas publicamente por grupos criminosos no período, com os grupos Qilin, Akira e Cl0p respondendo pela maior parte dos ataques.

Os números refletem uma tendência que se acelerou ao longo de 2025. Os ataques avançados direcionados a plataformas de colaboração, como ferramentas de videoconferência e sistemas de automação de escritório, passaram de 12% do total em 2024 para 31% em 2025, de acordo com o mesmo relatório. O phishing permaneceu como principal vetor inicial de comprometimento, respondendo por 52% dos ataques direcionados a provedores de serviços gerenciados, empresas que fornecem suporte de TI terceirizado para milhares de organizações. O volume médio de incidentes por organização aumentou 16% na comparação anual, e o número de ataques por usuário cresceu 20%.

O perfil dos ataques e as novas táticas dos criminosos

O relatório da Acronis identifica padrões de ataque que se sofisticaram em relação aos métodos tradicionais. Uma das tendências mais preocupantes é o uso crescente de ferramentas legítimas do ecossistema Windows como veículo de ataque. O PowerShell, aplicativo nativo do sistema operacional usado para automação e gerenciamento de configuração, apareceu como a aplicação mais explorada por criminosos no Brasil, padrão também observado nos Estados Unidos e na Alemanha. Essa estratégia permite que os atacantes executem código malicioso sem recorrer a arquivos tradicionais, reduzindo a eficácia de soluções de segurança baseadas apenas em assinaturas de antivírus.

O uso de inteligência artificial por grupos criminosos também foi documentado no relatório. Segundo a empresa, sistemas automatizados já são empregados em etapas como reconhecimento de alvos, criação de ataques de phishing personalizados e negociação de resgates. Há registros de ferramentas que gerenciam múltiplas extorsões simultaneamente e de sistemas capazes de produzir deepfakes para golpes de sequestro virtual, nos quais criminosos simulam o sequestro de um executivo para aplicar resgates de familiares e contatos profissionais. A integração de IA nas operações criminosas representa uma mudança qualitativa no cenário de ameaças, tornando ataques mais eficientes e mais difíceis de detectar.

Custo das violações de dados e o peso financeiro sobre as empresas brasileiras

As consequências financeiras dos ataques cibernéticos no Brasil são significativas. O custo médio de uma violação de dados no país atingiu US$ 1,36 milhão, o equivalente a aproximadamente R$ 7,03 milhões na cotação de 2024, de acordo com o Relatório de Cibersegurança 2025 da Associação das Empresas de Tecnologia da Informação e Comunicação e de Tecnologias Digitais, a Brasscom. O valor representa um aumento de 11,5% em relação ao ano anterior e fica abaixo da média global de US$ 4,88 milhões, mas ainda assim representa um impacto substancial para a maioria das empresas brasileiras, especialmente pequenas e médias organizações que não dispõem de grande capacidade de investimento em segurança.

Os custos vão além do valor do resgate eventualmente pago. As empresas enfrentam interrupção de operações, custos de recuperação de sistemas, investigação forense, notificações a clientes e autoridades, potenciais multas regulatórias e danos reputacionais de difícil quantificação. No setor de saúde, que emergiu como um dos principais alvos globais em 2024, subindo da sexta para a terceira posição entre os setores mais atacados, os riscos são particularmente agudos pela sensibilidade dos dados envolvidos. Um vazamento de informações médicas pode expor históricos inteiros de tratamento de pacientes, com consequências que vão além do financeiro e afetam a privacidade e a segurança pessoal de milhões de pessoas.

Saúde como alvo prioritário: um setor vulnerável por natureza

Segundo Roberto Rebouças, gerente geral da Kaspersky no Brasil, hospitais e clínicas se tornaram o pote de ouro do cibercrime pelo volume massivo de dados privados que gerenciam e pela dependência crítica de disponibilidade operacional. Um hospital que tem seus sistemas fora do ar não consegue atender pacientes em emergência, o que cria pressão para o pagamento rápido de resgates. A Lei Geral de Proteção de Dados, ao estabelecer multas de até R$ 50 milhões para violações, adicionou mais uma camada de risco: como explicou Rebouças, o criminoso digital tem a seu favor a ameaça de que, se os dados forem vazados, a empresa terá que pagar muito mais em sanções regulatórias do que o valor do resgate solicitado.

O setor público de saúde apresenta vulnerabilidades adicionais. A Rede Nacional de Dados em Saúde, plataforma do Ministério da Saúde que conecta sistemas de saúde em todo o Brasil, centraliza informações de milhões de cidadãos em uma única infraestrutura. Especialistas advertem que qualquer infraestrutura que centraliza dados críticos e conecta milhares de sistemas se torna automaticamente um alvo de altíssimo valor. A dependência operacional da disponibilidade desses serviços é enorme, e uma falha em cascata pode comprometer não apenas um hospital, mas toda a rede de comunicação da saúde pública. A digitalização acelerada do SUS, com 162 projetos de inteligência artificial em andamento segundo o próprio Ministério da Saúde, amplia a superfície de ataque sem que a governança de segurança tenha avançado no mesmo ritmo.

A LGPD cinco anos depois: sanções tímidas e riscos crescentes

A lentidão na aplicação de sanções pela ANPD, a Autoridade Nacional de Proteção de Dados, contrasta com a frequência e a gravidade dos ataques. Cinco anos após a entrada em vigor da LGPD, o Brasil apresenta um paradoxo: a lei prevê multas de até 2% do faturamento bruto limitado a R$ 50 milhões por infração, mas a aplicação prática dessas sanções permanece muito abaixo desse potencial. Até agosto de 2024, a ANPD havia aplicado 18 sanções administrativas, sendo apenas duas multas, ambas contra a microempresa Telekall Infoservice, que somaram R$ 14,4 mil. Empresas de grande porte não haviam sido multadas financeiramente até aquela data.

Na União Europeia, entre janeiro de 2023 e janeiro de 2024, as multas do GDPR somaram 1,78 bilhão de euros. A diferença não reflete necessariamente uma conformidade superior das empresas brasileiras, mas antes a limitada capacidade operacional da ANPD, que começou a operar efetivamente em 2020 e ainda estava construindo sua estrutura de fiscalização nos primeiros anos. A Deliberação CD-10 de 2025 introduziu multas diárias para casos de descumprimento de medidas cautelares, sinalizando uma guinada em direção a um enforcement mais ativo. Em setembro de 2025, o Superior Tribunal de Justiça decidiu que a disponibilização indevida de dados pessoais por agência de crédito, sem consentimento, gera dano moral presumido, reforçando que o descuido com dados pode sair caro também em condenações judiciais, mesmo na ausência de multa administrativa.

Vazamentos persistentes e a necessidade de resposta estruturada

Os megavazamentos de 2021, que expuseram dados de 223 milhões de CPFs e 140 milhões de cidadãos, demonstraram que a LGPD não freou imediatamente os incidentes de segurança. Estudos anteriores já indicavam que, entre 2018 e 2019, o Brasil registrou aumento de 493% em dados expostos, ultrapassando 205 milhões de registros. Desde 2024, com a Resolução 15 da ANPD, empresas têm 3 dias úteis para comunicar incidentes relevantes, obrigando planos de resposta estruturados e reduzindo o tempo de exposição dos titulares. Essa obrigação, ainda que tardia, representa um avanço na responsabilidade das organizações.

A pesquisadora Rachel Rachid, do Laboratório de Políticas Públicas e Internet da Fiocruz, destaca que decisões sobre infraestrutura de dados de saúde estão sendo tomadas sem participação social efetiva. Ela aponta para o cancelamento sem justificativa de uma reunião com o Ministério da Saúde para discutir o Projeto de Lei 5875 de 2013, que trata da digitalização da saúde. Para Rachid, provedores tecnológicos privados estão cada vez mais envolvidos na definição de como o sistema opera, sem que a sociedade civil tenha voz correspondente nesse processo. Essa concentração de poder sobre dados públicos em mãos privadas representa um risco que vai além da cibersegurança técnica e alcança a governança democrática da infraestrutura informacional do país.

Contrapontos: a difícil equação entre segurança, acesso e inovação

Especialistas reconhecem que não há solução simples para o problema da cibersegurança no Brasil. A dependência crescente de sistemas digitais é irreversível e traz benefícios reais em termos de eficiência, acesso a serviços e inovação. Impor requisitos de segurança muito elevados pode criar barreiras para pequenos provedores e concentração do mercado em grandes empresas que têm recursos para investir em proteção, o que, por outro lado, pode gerar dependências problemáticas. A questão não é apenas técnica, mas também econômica e política.

Outra camada de complexidade é a necessidade de cooperação internacional. Ataques de ransomware frequentemente envolvem operadores de países como Rússia e Coreia do Norte, fora da jurisdição do direito brasileiro. A cooperação entre governos e empresas em escala global é dificultada por diferenças legais, falta de confiança e interesses geopolíticos divergentes. No Brasil, o cenário inclui ainda debates sobre governança da infraestrutura crítica e sobre quem tem a responsabilidade principal de responder a ataques que afetam serviços essenciais.

No lado do consumidor, a falta de conhecimento é uma vulnerabilidade importante. Usuários sem formação em segurança digital são mais propensos a cair em golpes de phishing e a usar senhas fracas ou repetidas em múltiplos serviços. Pesquisas indicam que boa parte das violações de dados tem origem em falhas humanas, não em vulnerabilidades técnicas. Campanhas públicas de educação digital poderiam ter impacto significativo, mas dependem de investimento público e de coordenação entre setor público e privado.

Limitações da análise e questões em aberto

Dados confiáveis sobre violações de segurança no Brasil são difíceis de obter. Não existe obrigação legal de reportar a maioria dos incidentes para autoridades, e muitas empresas optam por não divulgar vazamentos para evitar danos reputacionais. Isso significa que os números disponíveis refletem apenas a parcela dos incidentes que se tornam públicos, possivelmente uma minoria do total. A falta de dados abrangentes dificulta a formulação de políticas públicas baseadas em evidências e cria espaço para subestimação sistemática dos riscos.

A questão da capacidade da ANPD de cumprir seu papel regulatório permanece em aberto. A autoridade herdou a supervisão da LGPD, que já representa um desafio de enforcement enorme, e agora também será responsável pela regulação de IA caso o PL 2338 seja aprovado. Especialistas questionam se uma única agência pode dar conta de ambas as atribuições com a qualidade necessária, especialmente considerando seu tamanho e orçamento limitados. A possibilidade de criação de uma agência dedicada exclusivamente a cibersegurança é discutida, mas ainda não há decisão concreta nessa direção.

Cenários e síntese: os desafios estruturais da cibersegurança brasileira

A posição do Brasil entre os três maiores alvos de ransomware no mundo não é acidental. O país combina uma série de fatores que o tornam particularmente atrativo para cibercriminosos: uma população digitalmente ativa e grande, desigualdade econômica que empurra parcela dos jovens para atividades ilegais, infraestrutura de segurança fragmentada, e um ambiente regulatório ainda em construção. A tendência é de piora antes da melhora, à medida que mais serviços se digitalizam e mais dados são coletados, ampliando a superfície de ataque e o potencial de ganho dos criminosos.

O verdadeiro desafio não está apenas em responder a ataques individuais, mas em construir uma arquitetura de segurança que seja sustentável a longo prazo. Isso envolve investimento em capacitação técnica, modernização da infraestrutura governamental, coordenação entre setor público e privado, e desenvolvimento de marcos regulatórios que equilibrem proteção e inovação. A LGPD começa a mostrar efeitos, mas sua aplicação ainda é tímida frente à magnitude das ameaças. A aprovação do marco regulatório de IA pode agregar mais obrigações de segurança para sistemas automatizados, mas só será eficaz se houver capacidade institucional para exigir seu cumprimento.

O cenário para os próximos anos exige atenção redobrada. A integração de inteligência artificial no universo do crime cibernético está apenas no início, e os próximos anos devem trazer ataques mais sofisticados, mais difíceis de detectar e mais personalizados. O Brasil tem condições de melhorar sua posição, mas para isso será necessário transformar a consciência dos riscos em investimentos efetivos e em políticas públicas sustentáveis. A janela de oportunidade para construir essa capacidade antes que os danos se tornem sistêmicos está se fechando.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.