Ciberseguranca em 2025-2026: a intensificacao dos ataques alimentados por IA, o ransomware como ameaca persistente e os desafios da protecao de infraestrutura critica no Brasil

O que aconteceu e por que importa

O Brasil se consolidou em 2025 como um dos principais alvos globais de ataques cibernéticos, em meio a uma transformação profunda na natureza das ameaças digitais. Ataques alimentados por inteligência artificial, ransomware sofisticado e invasões a infraestruturas críticas formam uma tríade que atingiu proporções inéditas no país. O episódio mais emblemático do período foi o maior ataque já registrado ao ecossistema financeiro brasileiro, que gerou instabilidade em operações bancárias e expôs a fragilidade de sistemas que processam transações de milhões de brasileiros todos os dias. Esse evento não foi isolado: fez parte de um ciclo de incidentes que afetou setores bancários, saúde, educação, comércio eletrônico e o próprio poder público, com vítimas que vão de grandes corporações a pequenas empresas e órgãos governamentais.

A relevância desse cenário vai além dos números de incidentes. A dependência digital do Brasil intensificou-se exponencialmente nos últimos anos, com a expansão de serviços bancários por aplicativo, prontuários eletrônicos no sistema de saúde, plataformas de ensino a distância e a digitalização de processos governamentais. Essa mesma digitalização ampla criou uma superfície de ataque proporcionalmente maior, e a inteligência artificial generativa se tornou o principal multiplicador de força dos grupos cibercriminosos. O resultado é que organizações antes consideradas bem protegidas passaram a sofrer invasões direcionadas com ferramentas que se adaptam automaticamente às defesas, aprendem com cada tentativa malsucedida e personalizam ataques em escala industrial. O impacto imediato se mede em bilhões de reais em prejuízos, interrupção de serviços essenciais e exposição de dados pessoais de milhões de cidadãos.

Contexto histórico e regulatório

A trajetória da cibersegurança no Brasil é marcada por avanços regulatórios significativos, ainda que lentos quando comparados à velocidade de evolução das ameaças. A Lei Geral de Proteção de Dados, a LGPD, representou o primeiro marco de maior abrangência ao estabelecer obrigações de segurança para o tratamento de dados pessoais, com sanções que entraram em vigor de forma progressiva desde 2020. No entanto, a LGPD aborda a proteção de dados sob a ótica da privacidade, sem oferecer um arcabouço completo para a segurança cibernética como política de Estado. Essa lacuna estrutural fez com que o Brasil operasse por anos com uma regulamentação fragmentada, em que cada setor definia seus próprios padrões mínimos de segurança, sem uma autoridade centralizada de resposta a incidentes de larga escala.

O cenário começa a se transformar de forma mais substantiva a partir de 2025, quando a elevação da Autoridade Nacional de Proteção de Dados ao status de órgão com maior independência regulatória sinalizou uma mudança de paradigma na governança digital brasileira. Em dezembro de 2025, o Banco Central publicou resoluções que tornaram o pentest obrigatório para bancos, fintechs e instituições de pagamento, uma exigência que representa um avanço tangível na imposição de padrões técnicos de segurança ao setor financeiro. Paralelamente, o Projeto de Lei número 4752 de 2025, em tramitação no Senado Federal, propõe a criação do Marco Legal da Cibersegurança e do Programa Nacional de Segurança e Resiliência Digital, que estabeleceriam a cibersegurança como estratégia de Estado e imporiam obrigações objetivas a empresas públicas e privadas que operam infraestruturas críticas. Ainda que a proposta não tenha sido aprovada até o início de 2026, seu avançado estágio de tramitação indica que o país se aproxima de uma mudança estrutural na forma como trata a segurança cibernética, alinhando-se a modelos já adotados na União Europeia e nos Estados Unidos.

Dados, evidências e o que os números mostram

Os números disponíveis para o período 2025-2026 confirmam a gravidade do cenário. Segundo dados compilados pelo site Ransomware.Live, que monitora os fóruns utilizados por grupos de ransomware para publicar os nomes das vítimas, o Brasil registrou 51 casos confirmados de ransomware em 2023, número que saltou para 135 casos em 2024 e alcançou 93 casos no período coberto de 2025, com perspectiva de superar o total do ano anterior até o final do ciclo. A América do Sul como um todo registrou o maior aumento percentual de ciberataques em 2025, com infraestruturas críticas e órgãos governamentais sendo os alvos principais no Brasil. O relatório da Brasscom de julho de 2025 estimou que 314,8 bilhões de atividades maliciosas foram registradas no Brasil durante o período analisado, um volume que reflete não apenas a frequência, mas também a sofisticação crescente das campanhas.

No âmbito global, o ransomware cresceu 25% em termos mundiais em 2025, segundo análises da empresa ViperX, e a proporção de novos agentes de ameaça envolvidos em vazamentos de dados subiu de 49% para 55% entre 2024 e 2025, conforme dados da ISACA. O FBI registrou mais de 262 milhões de dólares roubados em golpes de account takeover apoiados por sites falsos e comunicações automatizadas por inteligência artificial. No Brasil, o CTIR Gov, órgão do governo federal responsável pela coordenação de respostas a incidentes em redes governamentais, identificou ao menos 5 tentativas de ataque de ransomware contra órgãos do governo brasileiro em 2025, incluindo um caso confirmado contra o Fundo Nacional de Desenvolvimento pelo grupo Babuk2. Esses números, contudo, representam apenas a parcela visível dos incidentes, já que grande parte dos ataques não é reportada por medo de repercussão reputacional ou por envolver empresas que não possuem canais adequados de notificação.

Impactos práticos e consequências

Os impactos dos ataques cibernéticos no Brasil em 2025-2026 distribuem-se de forma desigual entre os setores e os agentes econômicos. As grandes instituições financeiras sofreram os ataques de maior visibilidade midiática, com instabilidade operacional que afetou milhões de transações e a confiança de clientes em serviços digitais. No setor farmacêutico, o ataque ao Grupo Jorge Batista pelo ransomware Gunra gerou prejuízos estimados em 400 milhões de reais, com paralisia de sistemas, rompimento de contratos e aplicação de multas. O setor de saúde enfrentou invasões a prontuários eletrônicos e sistemas de agendamento, com consequências que vão além do dano financeiro e incluem a exposição de dados sensíveis de pacientes. O setor público, incluindo fundos nacionais e autarquias, foi alvejado por grupos que enxergam na lentidão burocrática e na baixa maturidade técnica das instituições governamentais uma vulnerabilidade fácil de explorar.

No curto prazo, as consequências mais imediatas são financeiras e operacionais: pagamento de resgates ou custos de recuperação de sistemas, paralisação de operações comerciais, despesas jurídicas com ações de responsabilização e danos à reputação junto a clientes e parceiros. No médio prazo, o impacto tende a se estender para a confiança do ecossistema digital como um todo. Quando grandes vazamentos de dados envolvem informações de milhões de cidadãos, o efeito é uma redução na disposição da população para utilizar serviços digitais, o que representa um obstáculo ao próprio processo de transformação digital que o país necessita. Para o setor empresarial, o cenário eleva o custo do seguro cibernético, que já supera a capacidade de contratação da maioria das médias empresas brasileiras, e exige investimentos em tecnologias de detecção e resposta a incidentes que estão além do alcance orçamentário de grande parte do setor público e das pequenas e médias empresas.

Contrapontos, críticas e limites da análise

Uma perspectiva crítica que merece consideração argumenta que o discurso da urgência cibernética muitas vezes beneficia a indústria de segurança cibernética de forma mais do que beneficia a sociedade. Essa visão, defendida por parte do setor acadêmico e por organizações da sociedade civil dedicadas à liberdade digital, sustenta que a narrativa do apagão cibernético tende a exagerar os riscos para vender soluções e que a maior parte dos ataques poderia ser neutralizada com medidas básicas de higiene digital que não exigem investimentos milionários em tecnologia de ponta. Nessa leitura, o verdadeiro problema não é a falta de ferramentas sofisticadas, mas sim a carência de treinamento adequado, a ausência de políticas de senhas robustas e a negligência com atualizações de segurança em sistemas legados que ainda operam em muitas organizações públicas e privadas no Brasil.

Outra divergência relevante diz respeito à regulação proposta pelo PL 4752. Críticos do setor privado argumentam que um marco legal excessivamente prescritivo pode criar obstáculos burocráticos desproporcionais para empresas menores, elevando o custo de conformidade de forma que beneficie apenas as grandes corporações com departamentos jurídicos robustos. Por outro lado, especialistas em segurança pública sustentam que a ausência de obrigações claras deixa o Estado vulnerável a ataques que comprometem serviços essenciais à população, e que a regulamentação setorial atual, como a do Banco Central, não é suficiente para cobrir todos os segmentos que operam infraestruturas críticas. Há ainda incerteza quanto à capacidade do Estado brasileiro de fazer cumprir qualquer novo marco legal, considerando as limitações estruturais da ANPD e do CTIR Gov, que operam com equipes reduzidas diante da escala do problema. Os próprios dados sobre ataques são incompletos, já que dependem de notificações voluntárias e de sistemas de monitoramento que podem não capturar toda a atividade cibercriminosa em curso no país.

Cenários e síntese

O cenário mais provável para 2026 é a continuidade da intensificação dos ataques, com crescimento expressivo de fraudes financeiras que exploram inteligência artificial generativa, especialmente deepfakes de voz aplicados a golpes de sequestro virtual e Business Email Compromise com vídeos falsificados de executivos autorizando transações. O ransomware deve permanecer como a principal ameaça para o setor público e para infraestruturas críticas de saúde e energia, com grupos cibercriminosos cada vez mais fragmentados e especializados, seguindo o modelo Ransomware-as-a-Service que barateou o acesso a ferramentas de ataque para agentes com baixo nível técnico. Paralelamente, o avanço do Marco Legal da Cibersegurança, caso aprovado, tende a elevar o padrão mínimo de segurança exigido das empresas, especialmente daquelas que fornecem serviços ao poder público, criando um ciclo virtuoso de investimentos em conformidade. Um cenário alternativo, embora menos provável no curto prazo, seria uma concentração dos ataques a um número menor de alvos de altíssimo valor, com grupos cibercriminosos priorizando resgates massivos contra infraestruturas críticas em vez de ataques difusos.

A síntese que se impõe é que o Brasil enfrenta em 2025-2026 um momento de inflexão na cibersegurança nacional, em que a conjugação de superfícies de ataque expandidas, inteligência artificial como multiplicador de ameaças e uma regulamentação ainda em construção cria um ambiente de risco sem precedentes. A resposta a esse cenário exige mais do que tecnologia: demanda governança de alto nível com patrocínio direto dos conselhos administradores das empresas, cultura corporativa de responsabilidade compartilhada entre tecnologia, jurídico e fraude, fiscalização efetiva sobre fornecedores críticos e uma transição técnica do modelo de perímetro fixo para gestão contínua da exposição digital. O ano de 2026 será, na avaliação de especialistas do setor, o mais crítico já enfrentado pelo país em termos de ameaças cibernéticas, e as escolhas regulatórias e operacionais feitas neste período vão definir a resiliência digital do Brasil para a próxima década.