Maturidade em cibersegurança avança no Brasil, mas phishing mais do que dobra em cinco anos

As empresas brasileiras evoluíram significativamente em maturidade de segurança da informação nos últimos cinco anos, mas continuam enfrentando desafios relevantes para proteger seus ambientes digitais. É o que mostra o Brazilian CyberSecurity Index, estudo da BugHunt que acompanhou de forma contínua 240 companhias entre 2021 e 2026 para analisar a evolução dos investimentos, das práticas de proteção e das principais ameaças cibernéticas no país.

Os dados indicam que a parcela de organizações com mais de cinco anos de investimentos contínuos em segurança da informação saltou de 14% para 67% no período. Ao mesmo tempo, a adoção de iniciativas de proteção se tornou praticamente universal: atualmente, 96% das empresas afirmam investir na área, ante 72% registrados em 2021.

Apesar desse avanço, o phishing consolidou-se como a principal ameaça enfrentada pelas empresas. O percentual de negócios impactados por esse tipo de ataque passou de 28% em 2021 para 58% em 2026, tornando-se o único vetor de ameaça a apresentar crescimento contínuo ao longo de toda a série histórica.

Segundo Caio Telles, CEO da BugHunt, os resultados revelam que o amadurecimento do mercado foi impulsionado pela necessidade de responder à pressão constante dos ataques.

“Hoje temos mais empresas investindo e com operações estruturadas. Ainda assim, o phishing continua como o principal vetor de ataque às organizações brasileiras. Isso mostra que segurança não é apenas uma questão de tecnologia, mas também de implementação de processos, treinamento de usuários e validação contínua para reduzir sua exposição a ameaças”, afirma.

A pesquisa aponta ainda uma mudança relevante no perfil dos riscos enfrentados pelas companhias. Se no início da série histórica as maiores preocupações estavam concentradas em malware, ransomware e vazamento de dados, o cenário atual é marcado pelo crescimento de ameaças relacionadas à identidade digital e à exposição de ambientes corporativos.

Em 2026, falhas de autenticação atingiram 31% das empresas pesquisadas, enquanto a exploração de vulnerabilidades alcançou 23% e os episódios de indisponibilidade de sistemas chegaram a 19%.

Por outro lado, alguns tipos de ataques perderam relevância. O malware, que impactava 24% das empresas em 2021 e 25% em 2022, caiu para 15% na edição mais recente do levantamento. O ransomware seguiu trajetória semelhante, recuando de 25% em 2022 para 12% em 2026.

“Ao longo dos últimos cinco anos, vimos uma mudança importante no perfil das ameaças. O mercado saiu de uma preocupação concentrada em malware e ransomware para um cenário em que phishing, identidade digital e exploração de vulnerabilidades passaram a ocupar um espaço cada vez maior na agenda das companhias. Isso reflete a expansão dos ambientes digitais e a necessidade de controles mais contínuos e abrangentes após novas superfícies de ataque terem sido criadas pela transformação digital”, afirma Telles.

Leia também: América Latina cria mecanismo de cooperação para semicondutores

O estudo também mostra uma mudança no comportamento dos investimentos em segurança. Embora a área permaneça estratégica, o crescimento dos orçamentos tende a desacelerar. De acordo com o levantamento, 39% das empresas não pretendem ampliar os recursos destinados à segurança em 2026. Outras 37% projetam aumentos de até 10%, percentual próximo da inflação, enquanto apenas 24% planejam expandir efetivamente seus investimentos.

Diante desse cenário, as organizações passaram a concentrar esforços na melhoria da eficiência operacional. A otimização contínua dos processos de segurança foi apontada por 61% dos entrevistados como a principal prioridade para os próximos anos, superando iniciativas ligadas à prevenção, recuperação e continuidade dos negócios.

“O mercado entrou em uma fase em que simplesmente adicionar novas ferramentas já não é suficiente. A cobrança por resultados aumentou e os orçamentos tendem a crescer em ritmo menor. Isso faz com que eficiência operacional, integração entre áreas e validação contínua ganhem ainda mais relevância”, afirma Telles.

A busca por produtividade também impulsiona o interesse por novas tecnologias. A inteligência artificial aparece como principal prioridade de investimento para os próximos dois anos, citada por 63% dos participantes da pesquisa. Em seguida estão automação e orquestração, com 51%, arquiteturas Zero Trust, com 49%, segurança em nuvem, com 40%, e proteção de aplicações, com 34%.

Segundo a BugHunt, esse movimento reflete a tentativa das empresas de ampliar sua capacidade operacional sem necessariamente aumentar equipes e estruturas na mesma proporção.

Outro indicador que evidencia a evolução da maturidade do mercado é a crescente adoção de programas de Bug Bounty. Em 2021, apenas 24% das empresas avaliavam implementar esse tipo de iniciativa. Cinco anos depois, 48% já utilizam ou pretendem adotar programas desse modelo nos próximos dois anos.

Entre as organizações que conhecem a prática, 56% se declaram promotoras do Bug Bounty, indicando que já utilizaram a abordagem, fariam uso novamente e recomendariam sua adoção.

“À medida que a tecnologia avança, também aumenta a velocidade com que novas vulnerabilidades, superfícies de ataque e técnicas de exploração surgem. Nenhuma empresa consegue acompanhar essa dinâmica atuando sozinha. O crescimento do Bug Bounty reflete justamente essa mudança de maturidade do mercado. As organizações passaram a entender que se aproximar da comunidade de hackers éticos e pesquisadores de segurança é uma forma de ampliar sua capacidade de identificar riscos, acompanhar a evolução das ameaças e se manter à frente da criatividade do cibercrime”, afirma Telles.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!