87% das invasões cruzaram múltiplas superfícies simultaneamente, segundo levantamento global da Unit 42 revela aceleração no crime digital
A Unit 42, equipe de investigação e resposta a incidentes da Palo Alto Networks, divulgou seu Relatório Global de Resposta a Incidentes de 2026, uma análise de mais de 750 casos tratados entre 2024 e 2025 que mostra uma mudança de ritmo no crime digital e confirma que a identidade — ou seja, as contas e permissões de usuários e serviços que dão acesso a sistemas e dados; por exemplo, o nome de usuário e a senha de um funcionário — é hoje a forma mais utilizada para entrar e se movimentar dentro das organizações.
Até 2025, 25% dos ataques mais rápidos roubaram dados em até 72 minutos, e 87% das invasões atravessaram múltiplas superfícies simultaneamente. Além disso, quase 90% das investigações incluíram falhas de identidade como fator determinante, e 99% das identidades na nuvem possuíam privilégios excessivos.
Mais do que o número de incidentes, o que importa é como eles progridem. Hoje, os criminosos combinam navegação na web, aplicativos em nuvem e identidades como se estivessem todos na mesma área de trabalho. O navegador se concentra no trabalho diário e, se as credenciais ou sessões forem reutilizadas, permite que quem ataca pule de um sistema para outro em minutos. É por isso que o gerenciamento adequado de identidades e a visualização clara do que está acontecendo no SaaS se tornaram essenciais para diminuir a velocidade e o alcance de cada invasão.
Os pontos de entrada mostram dois caminhos igualmente eficazes: por um lado, phishing e vulnerabilidades empatados com 22% cada. Além disso, as técnicas baseadas em identidade representaram 65% do acesso inicial, combinando phishing que burla a MFA, o uso de credenciais vazadas (13%) e força bruta (8%), bem como erros no gerenciamento de acesso.
A extorsão também mudou. Embora a criptografia ainda esteja presente, caiu para 78% dos casos, antes sendo perto ou acima de 90%. Mais grupos de cibercriminosos estão priorizando o roubo de dados e o contato direto com as vítimas, mesmo quando os sistemas continuam operando. Em termos financeiros, a demanda inicial mediana subiu para US$ 1,5 milhão e o pagamento mediano para US$ 500.000, com reduções maiores nas negociações.
“Na América Latina, vemos ambientes híbridos, cadeias de suprimentos complexas e adoção acelerada de SaaS; essa combinação exige o fechamento de lacunas de exposição, melhor governança de identidade e automação da contenção, mantendo-se atentos às práticas essenciais de higiene cibernética. O objetivo é que o acesso inicial não se torne uma crise operacional”, diz Patrick Rinski, Líder da Unit 42 para a América Latina.
Identidade exposta e conexões com terceiros aumentam o risco
Uma análise de mais de 680.000 identidades na nuvem revelou que 99% delas possuíam mais permissões do que o necessário. Esse excesso facilita a escalada de privilégios, a movimentação lateral e a permanência oculta usando acessos válidos, mesmo com tokens de sessão ou concessões OAuth que impedem a autenticação interativa. Nesse cenário, a identidade define a velocidade do invasor e a extensão do dano.
Em 2025, as informações hospedadas em aplicativos SaaS eram relevantes em 23% dos casos e 39% das técnicas de comando e controle eram suportadas por ferramentas de acesso remoto que se assemelham a tarefas administrativas comuns. Integrações OAuth, chaves de API, RMM/MDM e pacotes de terceiros podem herdar permissões e abrir portas “confiáveis” com um único ponto de comprometimento. No Brasil e na América Latina, onde ambientes híbridos e fornecedores globais coexistem, a revisão contínua de conectores, contas de serviço e permissões é essencial para reduzir o impacto.
O relatório também observa ajustes nos atores estatais, que buscam permanecer por mais tempo e passar despercebidos com identidades falsas, infiltração em processos de contratação e acesso à virtualização e à infraestrutura. Essas técnicas aumentam o nível de dificuldade em sua detecção e exigem melhor instrumentação em ambientes digitais.
O que as organizações podem fazer hoje:
Reduzir a exposição com a aplicação automática de patches em ativos expostos, inventário e transparência na gestão das integrações OAuth, além de planos de contingência para revogar tokens e isolar agentes de terceiros.
Conter o impacto aplicando MFA resistente a phishing para funções críticas, sessões mais curtas com avaliação contínua de riscos e o princípio do menor privilégio com acesso JIT para remover permissões persistentes, especialmente em contas de serviço.
Responder em minutos unificando a telemetria (endpoint, rede, identidade, nuvem, SaaS) e automatizando a contenção: isolamento de carga, revogação de sessão e playbooks consistentes em todo o SOC.
O crime digital já opera em escala industrial e com tempos de impacto medidos em minutos. Para empresas no Brasil, a prioridade é eliminar as lacunas de exposição, limitar a mobilidade dos atacantes com melhores controles de identidade e automatizar a resposta para acompanhar a velocidade dos cibercriminosos. A diferença entre um incidente e uma crise pode ser definida na primeira hora.
A experiência do último ano confirma que a melhor defesa não depende de ferramentas complexas, mas de fundamentos bem executados. Em outras palavras, deve-se observar o que está acontecendo em todo o ambiente, controlar quem tem acesso a quê e reagir imediatamente a qualquer atividade suspeita. Quando esses elementos funcionam em conjunto, um ataque se torna apenas um incidente e as operações continuam, sendo possível neutralizá-lo.