Marc Sureda
Ao longo de 2025, a unidade de ciberinteligência Talos, da Cisco, registrou um crescimento relevante nas ofensivas conduzidas por criminosos digitais, com foco concentrado em três vetores principais: sistemas de identidade e autenticação, exploração de vulnerabilidades ao longo de todo o seu ciclo de vida e uso indevido de ambientes de trabalho e desenvolvimento amplamente disseminados no mercado corporativo.
O comprometimento de credenciais se consolidou como o principal objetivo das invasões, impulsionado por um salto de 178% nas táticas voltadas a burlar autenticação multifator e estruturas de identidade. Na prática, esse movimento dá aos invasores a capacidade de circular de forma discreta pelos ambientes internos, enviando e-mails fraudulentos a partir de contas legítimas e alterando controles de acesso sem levantar suspeitas imediatas. O efeito para as empresas é crítico: uma vez dentro do ambiente, os atacantes conseguem ampliar presença lateral e aumentar sua permanência na rede.
O relatório também aponta que a exploração de falhas seguiu um padrão duplo. De um lado, grupos criminosos passaram a agir com rapidez sobre vulnerabilidades recém-divulgadas. O caso de React2Shell ilustra esse ritmo, ao se tornar a vulnerabilidade mais atacada do ano apenas três semanas após sua divulgação pública. De outro, falhas antigas continuam a representar uma superfície de risco expressiva, com quase um terço das 100 vulnerabilidades mais exploradas tendo mais de dez anos.
Esse cenário é agravado pela permanência de infraestrutura legada nas empresas. Cerca de 40% das falhas mais exploradas atingem sistemas obsoletos que já não recebem atualizações de segurança dos fabricantes, transformando ativos antigos em portas de entrada permanentes para invasores. Para gestores de tecnologia e executivos responsáveis por compras, o dado reforça a dimensão estratégica dos ciclos de renovação de hardware e software, que deixam de ser apenas uma decisão de eficiência operacional e passam a ter impacto direto sobre risco corporativo.
A pressão não se limita aos sistemas internos tradicionais. Aproximadamente um quarto das vulnerabilidades mais atacadas em 2025 estava associado a bibliotecas de software e ambientes de desenvolvimento de uso massivo. Como esses componentes são compartilhados por diferentes aplicações e setores, uma única falha pode ser reaproveitada em larga escala, permitindo aos criminosos ampliar produtividade e alcance entre múltiplas empresas ao mesmo tempo.
No campo da extorsão digital, o ransomware manteve operação em escala industrial. A variante Qilin foi a mais recorrente no período, com média de cerca de 40 empresas afetadas por mês. A indústria de transformação apareceu como o segmento mais pressionado por esse tipo de ataque, sinalizando maior exposição em ambientes com operação contínua e forte dependência de disponibilidade sistêmica.
Diante desse quadro, a Cisco defende a substituição de abordagens puramente reativas por estratégias preventivas centradas em identidade. Entre as prioridades apontadas estão a aplicação rápida de correções de segurança para reduzir a janela de exploração, o fortalecimento da autenticação multifator contra tentativas de sequestro de identidade e a retirada definitiva de equipamentos sem suporte.
Para os decisores de compras de tecnologia, a mensagem central do relatório é objetiva: adiar a modernização da infraestrutura e da camada de identidade amplia risco operacional, financeiro e de continuidade dos negócios.
