Quase metade dos ataques cibernéticos bem-sucedidos no Brasil tem origem em falhas consideradas básicas de segurança. É o que aponta um estudo da consultoria Vultus, que analisou 132 organizações de 11 setores da economia, responsáveis por mais de R$ 1 trilhão do PIB nacional.

Segundo o levantamento Panorama do Risco Cibernético no Brasil 2026, 45,2% dos acessos iniciais em simulações ocorreram por vulnerabilidades simples, como configurações inadequadas, falhas de software e problemas na gestão de identidades. Em 26,2% dos casos, o ponto de entrada foram credenciais válidas — muitas vezes obtidas fora do ambiente corporativo.

Juntos, esses dois vetores representam mais de 70% das portas de entrada utilizadas em ataques simulados.

Apesar de as empresas terem registrado avanço de 5,6% na maturidade em segurança digital, o estudo indica que a probabilidade de sucesso de ataques hackers aumentou 3,7% no último ano. A redução geral do risco, segundo a Vultus, foi de apenas 2,8%, o que evidencia, na avaliação da consultoria, um descompasso entre investimentos internos e a evolução das ameaças.

O CEO da Vultus, Alexandre Brum, afirma que o problema está menos na falta de tecnologia e mais na execução. “Enquanto o mercado discute inteligência artificial e computação quântica, os atacantes continuam explorando falhas básicas. Muitas empresas ainda falham no essencial e repetem erros já conhecidos”, disse.

O levantamento mostra que 38,1% dos testes identificaram ambientes em nuvem sem autenticação multifator. Em 35,7%, o acesso ocorreu por meio de senhas previsíveis. Já em 21,4%, credenciais obtidas fora da organização foram suficientes para invasão direta aos sistemas. Em 23,8% dos casos, foi possível acessar redes privadas (VPNs) sem qualquer informação prévia.

A engenharia social também se destaca como vetor relevante. Em mais de 80 mil interações simuladas, a cada 34 usuários que abriram e-mails fraudulentos, três forneceram credenciais válidas — um cenário que, segundo especialistas, pode ser suficiente para comprometer sistemas inteiros.

O estudo aponta ainda que a capacidade de resposta é um dos principais gargalos das organizações. Apenas 23% das empresas analisadas possuem processos estruturados de continuidade de negócios. Mesmo nesses casos, os planos são frequentemente desatualizados ou pouco aderentes aos riscos atuais.

Na prática, isso significa que muitas companhias conseguem implementar ferramentas de proteção, mas não conseguem sustentar a operação após um incidente, ampliando o impacto financeiro e operacional de ataques.

A análise setorial mostra que o risco cibernético não é homogêneo. O setor de Serviços lidera o ranking, com índice de risco (KRI) de 8,21. Em seguida aparecem Tecnologia (8,12) e Saúde (7,96). Setores como Financeiro, Mercado de Capitais e Telecomunicações também apresentam níveis elevados de exposição.

Segundo o estudo, nesses casos, o problema não está necessariamente na ausência de controles, mas na dificuldade de aplicação consistente das medidas de segurança.

Outro ponto destacado é o descompasso entre tecnologia e governança. Enquanto o pilar tecnológico apresenta maior maturidade, a governança aparece como o elo mais fraco da estrutura de segurança das empresas avaliadas.

Para a Vultus, isso indica que os investimentos seguem concentrados em prevenção e detecção, enquanto capacidades de resposta e recuperação — críticas em situações de ataque já consumado — permanecem em segundo plano.