Um levantamento produzido pela ISH Tecnologia mostra que a confiança nas cadeias digitais está sob sério risco. Segundo revela a empresa, os ataques à cadeia de suprimentos se consolidaram como um dos principais vetores de risco cibernético global, com impacto financeiro anual superior a US$ 53 bilhões em 2025, além de origem em 35,5% das violações de dados registradas.
O boletim produzido mostra que os criminosos têm explorado fornecedores e parceiros tecnológicos como porta de entrada para comprometer centenas de organizações ao mesmo tempo. Essa estratégia, conhecida como “industrialização do comprometimento”, transforma ataques isolados em incidentes sistêmicos, com o potencial de paralisar operações inteiras.
A velocidade dos ataques também chama a atenção: quando realizado por um ser humano, o tempo médio entre o acesso inicial e a movimentação dentro do sistema invadido é de cerca de 29 minutos. Já nos casos em que uma IA é utilizada, há casos documentados de 27 segundos. Em alguns episódios coletados, a exfiltração de dados começou em menos de quatro minutos, reduzindo drasticamente a janela de resposta por parte das empresas atingidas.
“Isso mostra como a Inteligência Artificial, nesse cenário, surge como um fator multiplicador”, afirma Hugo Santos, Diretor de Inteligência de Ameaças da ISH. “Além da possibilidade de ataques mais potentes e rápidos, é preciso ter atenção com seu uso inadvertido”, comenta, fazendo referência ao fenômeno conhecido como “Shadow AI”, no qual ferramentas de IA são utilizadas sem supervisão ou políticas claras, expondo dados sensíveis e propriedade intelectual. O material da ISH aponta que 20% das violações recentes envolveram, em algum grau, esse uso não recomendado.
O ransomware (sequestro de dados) é outro vetor que se apoia nesse modelo. Hoje, 41,4% dos incidentes de extorsão digital começam com comprometimento de terceiros, ampliando o impacto financeiro e reputacional de toda a rede conectada. Além disso, a América Latina desponta como região particularmente vulnerável: apenas 13% dos executivos acreditam que seus países têm capacidade adequada para responder a incidentes graves em infraestruturas críticas.
Para Santos, os ataques à cadeia de suprimentos representam “uma mudança estrutural na lógica da cibersegurança.” “Proteger o perímetro interno não é mais suficiente; é preciso validar continuamente cada elo da rede, e, em resposta a ataques gerados por máquinas, apostar em respostas igualmente automatizadas”, conclui.
