A Unit 42, equipe de inteligência da Palo Alto Networks, divulgou seu Relatório Global de Resposta a Incidentes de 2026, com base em mais de 750 casos reais. O estudo confirma uma aceleração sem precedentes no crime digital: 25% dos ataques mais rápidos agora conseguem exfiltrar dados em apenas 72 minutos. A análise aponta que a identidade, contas e permissões de acesso, tornou-se o principal vetor para invasores entrarem e se movimentarem nas organizações.
Quase 90% das investigações identificaram falhas de identidade como fator determinante e, além disso, uma análise de 680 mil identidades na nuvem revelou que 99% delas possuíam privilégios excessivos, facilitando a movimentação dos criminosos. Hoje, os atacantes combinam navegação web, apps em nuvem e credenciais como se estivessem em uma única área de trabalho, pulando de um sistema para outro em poucos minutos.
O acesso inicial ocorre principalmente por phishing e vulnerabilidades (22% cada), já as técnicas que burlam a autenticação multifator (MFA), uso de credenciais vazadas e força bruta representaram 65% das entradas. Patrick Rinski, líder da Unit 42 para a América Latina, destaca que a região enfrenta riscos elevados devido a ambientes híbridos e adoção acelerada de SaaS. “O objetivo é que o acesso inicial não se torne uma crise operacional através de melhor governança e automação”, explica.
A extorsão também evoluiu. Embora a criptografia ainda ocorra em 78% dos casos, grupos criminosos estão priorizando o roubo direto de dados e o contato com as vítimas, mesmo sem paralisar os sistemas. No último ano, a demanda inicial mediana subiu para US$ 1,5 milhão, enquanto o pagamento mediano fixou-se em US$ 500 mil, indicando negociações mais agressivas.
O relatório observa ainda que 39% das táticas de comando e controle utilizam ferramentas de acesso remoto que mimetizam tarefas administrativas comuns, dificultando a detecção. Segundo a Unit 42, no Brasil e na América Latina, a revisão contínua de conectores e contas de serviço é essencial, e que atores estatais também têm aprimorado técnicas para permanecer ocultos, infiltrando-se até em processos de contratação.
Para mitigar esses riscos, a Unit 42 recomenda reduzir a exposição com patches automáticos e transparência em integrações OAuth. É fundamental aplicar MFA resistente a phishing para funções críticas e adotar o princípio do menor privilégio (JIT), responder em minutos exige unificar a telemetria de rede, nuvem e SaaS, automatizando o isolamento de ameaças.
A experiência do último ano confirma que a diferença entre um incidente e uma crise reside na primeira hora de resposta. Para empresas brasileiras, a prioridade deve ser eliminar lacunas de exposição e limitar a mobilidade dos atacantes pois, quando fundamentos como controle de acesso e reação imediata funcionam em conjunto, é possível neutralizar ataques antes que eles interrompam as operações.
