Cibersegurança mundial em 2026: a era da inteligência artificial como arma e os riscos que ninguém pode ignorar

A infecção silenciosa que já custa trilhões à economia global

Os números assustam pela escala. De acordo com o último Cyber Security Report 2026, da Check Point Software, as organizações ao redor do mundo enfrentaram, em média, quase 2.000 ataques cibernéticos por semana durante 2025 — um aumento de aproximadamente 70% em relação a 2023. O volume representa uma aceleração sem precedentes na frequência e na sofisticação das ameaças digitais. A variação anual de ataques detectados pelo relatório indica crescimento de 18% em termos globais, com 82% das estratégias de entrega de arquivos maliciosos ocorrendo por e-mail e 48% de crescimento na atividade de ransomware frente ao ano anterior.

Esses números traduzem-se em custos econômicos de dimensão colossal. O grupo segurador global Howden calculou que os cinco maiores países europeus — França, Alemanha, Itália e Espanha — acumulam juntos cerca de 300 bilhões de euros em prejuízos decorrentes de ataques cibernéticos nos últimos cinco anos. No cenário global, o custo médio de uma violação de dados atingiu 4,8 milhões de dólares por incidente em 2025, segundo dados compilados por múltiplos relatórios setoriais. A escala do problema ultrapassou há muito a capacidade de resposta de qualquer organização individualmente.

O Brasil no epicentro da tormenta

O Brasil ocupa posição de destaque — e não positiva — nesse cenário. Dados do relatório Check Point indicam que as organizações brasileiras enfrentaram, em novembro de 2025, uma média de 3.348 ataques semanais, quase o dobro da média global de 2.003 ataques semanais no mesmo período. No conjunto do ano, o país registrou alta de 14% no volume de ciberataques em comparação com o período anterior, segundo levantamento da Security Leaders. O Brasil figurou entre os dez países mais atacados do mundo por ransomware, ocupando posição entre os três primeiros globalmente, de acordo com dados do relatório Ransomware.live.

A retrospectiva compilada pela ISH Tecnologia registra que o território brasileiro foi alcançado por 314,8 bilhões de atividades maliciosas ao longo de 2025. O número, se confirmado, representa um salto quantitativo que reflete tanto a expansão da superfície de ataque — com mais dispositivos, mais serviços em nuvem e mais sistemas interconectados — quanto a crescente sofisticação das ferramentas utilizadas por atacantes. O Centro de Tratamento de Incidentes de Rede do governo federal, o CTIR Gov, contabilizou cinco tentativas de ataque ransomware contra órgãos da administração pública em 2025, incluindo uma contra o Fundo Nacional de Desenvolvimento atribuída ao grupo Babuk2.

Inteligência artificial: da defesa à linha de frente do ataque

O elemento transformador do cenário de cibersegurança em 2025 e 2026 não é um novo vetor de ataque, mas sim a adoção generalizada de inteligência artificial como ferramenta ofensiva. O relatório Global Cybersecurity Outlook 2026, publicado pelo Fórum Econômico Mundial em colaboração com a Accenture, aponta que 94% dos líderes empresariais globais enumeram a IA como a força mais impactante na formação da segurança cibernética em 2026. O dado revela uma transformação profunda na percepção do risco: a IA deixou de ser tema de ficção científica e passou a ser variável concreta nos modelos de ameaça.

A pesquisa do Fórum Econômico Mundial, que ouviu 804 líderes empresariais em 92 países incluindo 105 CEOs, mostra que 87% dos entrevistados relataram um aumento em vulnerabilidades relacionadas à IA durante 2025. Os vazamentos de dados ligados à IA generativa foram citados por 34% dos entrevistados como preocupação prioritária para 2026, enquanto 29% apontaram o avanço das capacidades adversárias baseadas em IA como fonte de risco imediata. Esse dado indica como a tecnologia que deveria proteger os sistemas está, simultaneamente, ampliando a superfície de ataque.

As novas técnicas: de phishing até injeção de prompt

Os relatórios técnicos de empresas como Google Cloud, Fortinet e Check Point convergem em um ponto: os atacantes estão a integrar ferramentas de IA em todas as fases do ciclo de ataque. Nas fases iniciais de reconhecimento, redes de bots automatizados realizam varreduras em busca de vulnerabilidades a velocidades jamais vistas. Na fase de engenharia social, e-mails de phishing são produzidos com linguagem praticamente indistinguível da comunicação legítima, eliminando uma das últimas barreiras eficazes contra esse tipo de ameaça.

Entre as técnicas destacadas para 2026 estão a clonagem de voz por IA, conhecida como vishing, que permite criar representações hiper-realistas de executivos ou equipes de suporte técnico para solicitar informações sensíveis a funcionários. A injeção de prompt, técnica que manipula sistemas de IA para contornar protocolos de segurança e executar comandos ocultos, foi identificada como risco emergente pela Google Cloud. Deepfakes e identidades sintéticas completam o arsenal de ferramentas que, há dois anos, exigiam conhecimento técnico avançado para serem utilizadas e hoje estão disponíveis como serviços acessíveis em mercados clandestinos, alguns com assinaturas mensais que permitem a qualquer grupo lançar campanhas de alto impacto sem equipes técnicas próprias.

O ransomware como indústria e a evolução das táticas

Os dados da Chainalysis sobre ransomware em 2025 confirmam uma tendência que já vinha sendo observada: o valor total movimentado pelos resgates de dados alcançou US$ 820 milhões no acumulado do ano. No entanto, o número de pagamentos efetuados diminuiu, o que sugere que cada vez mais organizações resistem a pagar resgates. Paradoxalmente, o número de vítimas aumentou cerca de 50% no mesmo período — o que indica que os grupos criminosos migraram de uma estratégia de extrair poucos pagamentos elevados para uma de extorquir um volume muito maior de organizações, mesmo que cada resgate seja inferior ao anterior.

O modelo Ransomware-as-a-Service, conhecido pela sigla RaaS, é o principal responsável por essa mudança. Ao democratizar o acesso a ferramentas de ataque, o modelo permitiu que agentes com pouco conhecimento técnico conduzissem operações complexas. Grupos como Qilin, Akira e RansomHub operam como plataformas que fornecem infraestrutura, suporte técnico e ferramentas aos afiliados que executam os ataques, cobrando comissões que variam entre 10% e 20% sobre os pagamentos recebidos. O resultado é um ecossistema de cibercrime que funciona com lógica de empresa, incluindo equipes de suporte ao cliente — para os atacantes — e políticas de satisfação do afiliado.

Extorsão dupla e a guerra da reputação

A prática de extortion dupla, em que os criminosos além de criptografar dados ameaçam publicar informações sensíveis caso o resgate não seja pago, tornou-se padrão entre os principais grupos de ransomware. No Brasil, casos como o do Grupo Jorge Batista, do setor farmacêutico, ilustram o impacto financeiro. O ataque do ransomware Gunra ao grupo gerou prejuízos estimados em mais de 400 milhões de reais, paralisando sistemas, interrompendo vendas e resultando em multas e rompições de contratos. O caso da Sicoob, sistema de cooperativas de crédito que teve documentos internos vazados pelo grupo RansomHub, exemplifica como o impacto vai além das perdas financeiras diretas e afeta a reputação e a confiança dos clientes.

Geopolítica e cibersegurança: quando os Estados entram no jogo

O relatório do Fórum Econômico Mundial identificou que 64% das organizações globalmente consideram ataques com motivação geopolítica em suas estratégias de risco, e 91% das maiores empresas ajustaram sua postura de segurança cibernética em função desse fator. O dado revela uma transformação profunda: os ciberataques deixaram de ser exclusivamente questão de cibercriminosos motivados por lucro e passaram a incluir operações conduzidas ou patrocinadas por Estados-nacionais, com objetivos que vão da espionagem à sabotagem, passando pela manipulação de processos democráticos.

A Google Cloud, em sua previsão de cibersegurança para 2026, detalhou as expectativas para os principais atores estatais no cenário cibernético. A China deverá continuar a executar campanhas cibernéticas voltadas ao reforço de sua influência política e econômica, com foco particular em setores como semicondutores, pela rivalidade com a TSMC, de Taiwan, e pelas restrições de exportação dos Estados Unidos. A Rússia deverá manter suas operações na Ucrânia, mas também priorizar objetivos estratégicos globais de longo prazo, incluindo operações de informação intensificadas contra os Estados Unidos e nações ocidentais, particularmente antes e depois de ciclos eleitorais. As operações russas de manipulação de narrativas foram documentadas em múltiplas eleições ao longo de 2025, incluindo Polônia, Alemanha e Moldova, segundo a Euronews. O Irã deverá intensificar suas operações cibernéticas no Médio Oriente através de redes de sites noticiosos inautênticos alinhados com os interesses de Teerã.

Interferência eleitoral e o desafio da soberania digital

O caso da Europa em 2025 é particularmente revelador. O continente foi um dos mais afetados por ataques cibernéticos no período, respondendo por 22% de todos os ataques globais de ransomware, segundo dados da CrowdStrike. A lista de incidentes inclui perturbações em aeroportos, alegações de sabotagem eleitoral, spoofing de GPS no voo da presidente da Comissão Europeia, Ursula von der Leyen, e ataques a satélites em órbita. A interferência nos sistemas GPS, que possibilita desde o bloqueio de sinais até o envio de coordenadas falsas para desviar aeronaves ou drones, foi destacada pela Fortinet como risco prioritário para 2026 em setores como aviação civil, transporte marítimo e indústria de defesa.

Desigualdade cibernética: quem está mais vulnerável e por quê

Um dos dados mais preocupantes do Global Cybersecurity Outlook 2026 diz respeito à desigualdade na capacidade de resposta entre organizações. O relatório do Fórum Econômico Mundial señala que organizações menores têm o dobro da probabilidade de relatar resiliência insuficiente em comparação com grandes empresas. Na América Latina e no Caribe, 65% das organizações enfrentam escassez de habilidades em cibersegurança, o nível mais elevado entre todas as regiões avaliadas. Na África Subsaariana, 63% das organizações enfrentam restrições semelhantes.

A disparidade de confiança na capacidade de resposta dos Estados também é acentuada. Enquanto 84% dos entrevistados no Oriente Médio e Norte da África declararam confiança na capacidade de seus países de gerenciar grandes incidentes cibernéticos, apenas 13% na América Latina e Caribe partilham dessa percepção. O dado refleja tanto a diferença de investimentos em capacidades de defesa quanto a fragmentação institucional que caracteriza a resposta cibernética em muitas economias emergentes.

Cadeias de fornecimento: a vulnerabilidade que vem de fora

Entre as grandes empresas globalmente, 65% citam os riscos de terceiros e da cadeia de suprimentos como sua maior barreira à resiliência cibernética, segundo o relatório do FEM, um aumento expressivo em relação aos 54% do ano anterior. O risco de concentração também se intensifica: incidentes em grandes provedores de serviços de nuvem e internet demonstraram como falhas em infraestrutura crítica podem desencadear impactos generalizados em ecossistemas digitais altamente interconectados. A dependência de terceiros transformou-se em vulnerabilidade sistêmica, na medida em que um único ponto de falha pode comprometer simultaneamente dezenas ou centenas de organizações.

Contrapontos, críticas e os limites da análise

É necessário reconhecer que a narrativa do apocalipse cibernético possui limites analíticos importantes. Nem toda organização atacada sofre danos catastróficos, e muitos incidentes são contidos antes que produzam consequências significativas. A alta nas estatísticas de ataques também reflete, em parte, a melhoria das ferramentas de detecção, que agora identificam ameaças que antes passavam despercebidas — o que pode significar que o volume real de ataques não cresceu tanto quanto os números sugerem. Além disso, o foco excessivo em ameaças sofisticadas pode obscurecer o facto de que a maioria dos ataques ainda explora vulnerabilidades básicas, como senhas fracas, falta de autenticação multifator e falhas de atualização de softwares, que são amplamente conhecidas e preveníveis com medidas de segurança relativamente simples.

A confiança nos dados apresentados também merece cuidado. Boa parte das estatísticas sobre ransomware depende de informações relatadas pelos próprios grupos criminosos, que têm incentivos para inflar números de vítimas como forma de pressão. O relatório do Ransomware.live, que monitora os fóruns onde grupos publicam nomes de vítimas, captura apenas a parcela dos ataques que os grupos decidiram tornar pública — o volume real é, por definição, desconhecido. Da mesma forma, os valores de resgates pagos, quando não estão disponíveis publicamente por razões óbvias, são estimados a partir de fragmentação de dados disponíveis.

Do ponto de vista das políticas públicas, há uma tensão entre a urgência de responder a ameaças cibernéticas e os riscos de que essa resposta implique restrições a direitos fundamentais. A criação de bases de dados de vulnerabilidades exploradas, como a que a União Europeia planeja estabelecer em 2026, levanta questões sobre transparência, acesso e potencial uso abusivo da informação. O equilíbrio entre segurança e privacidade, entre defesa e controle, permanece como um dos debates mais complexos do campo.

Cenários e o que esperar para os próximos anos

Os dados disponíveis convergem para um cenário que não deve melhorar significativamente no curto prazo. A profissionalização do cibercrime, a crescente integração entre operações estaduais e cibercriminosos, e a difusão da IA como ferramenta ofensiva apontam para uma continuidade da tendência de alta em volume e complexidade dos ataques. Ao mesmo tempo, a desigualdade de capacidades entre organizações maiores e menores, e entre regiões mais e menos desenvolvidas, tende a se aprofundar se não houver intervenção coordenada.

Do lado defensivo, a adoção de IA por equipes de segurança também avança, e muitas organizações estão a utilizar ferramentas de IA para resumir ataques, decodificar código malicioso e identificar táticas adversárias. O paradigma Zero Trust, que assume que nenhuma entidade dentro ou fora da rede é automaticamente confiável, ganha tração como resposta estrutural à dissolução do perímetro tradicional de segurança. A formação contínua de colaboradores mantém-se como fator crítico, já que o elemento humano continua sendo o elo mais vulnerável na cadeia de segurança.

A esperança de uma melhoria substantiva no cenário global de cibersegurança depende menos de avanços tecnológicos do que de coordenação internacional. O relatório do FEM faz um apelo explícito para que líderes de todos os setores deixem de lado esforços isolados e se comprometam a elevar o nível coletivo, compartilhando informações, alinhando normas e investindo nas capacidades necessárias para garantir que todas as organizações possam beneficiar de um ambiente digital mais seguro e resiliente. É uma chamada à cooperação num mundo que, paradoxalmente, vê essa cooperação tornar-se cada vez mais difícil à medida que as tensões geopolíticas se aprofundam.

Fontes utilizadas neste artigo

Este artigo foi elaborado com base nos seguintes relatórios e publicações: Global Cybersecurity Outlook 2026, do Fórum Econômico Mundial, publicado em janeiro de 2026; Cyber Security Report 2026, da Check Point Software; Previsão de Cibersegurança 2026, da Google Cloud; Ransomware no Brasil em 2025: a evolução da ameaça, da We Live Security; Retrospectiva de Cibersegurança 2025, da ISH Tecnologia; Relatório anual Heimdall 2025, da ISH Tecnologia; artigo Cibersegurança em 2026: o que esperar, de violações de dados ligadas à IA a ameaças geopolíticas, da Euronews Next, publicado em janeiro de 2026; artigo Ameaças à cibersegurança em 2026: inteligência artificial e escala massiva, da SAPO TEK, publicado em abril de 2026; artigo Cibersegurança em 2026: IA, ameaças nacionais e cenário global redefinem tendências das estratégias de defesa, do Jornal do Comércio, publicado em abril de 2026; dados do Ransomware.live e estatísticas do CTIR Gov.