71% de invasões cibernéticas exploram erros antigos, diz pesquisa

As falhas de software e o abuso de credenciais continuam sendo os principais vetores utilizados por criminosos para acessar ambientes corporativos no Brasil. É o que aponta o Panorama do Risco Cibernético 2026, estudo realizado pela Vultus com base na análise de 132 organizações distribuídas em 11 setores da economia.

Segundo o levantamento, as vulnerabilidades de softwares responderam por 45,2% dos comprometimentos identificados durante simulações de ataques realizadas pela consultoria. Já o abuso de credenciais foi responsável por 26,2% dos casos observados. Somados, os dois vetores representaram 71,4% dos acessos obtidos pelos invasores.

O estudo foi elaborado a partir de Red Team Assessments, avaliações que reproduzem cenários de ataques reais para identificar como agentes maliciosos conseguem entrar em ambientes corporativos, quais fragilidades exploram e até onde conseguem avançar após obter o acesso inicial.

Contribuições para invasões cibernéticas

Além das falhas de software e das credenciais comprometidas, a pesquisa identificou outros fatores relevantes nos incidentes analisados. A engenharia social apareceu como origem de 14,3% dos casos, seguida por problemas de configuração, com 7,1%, comprometimento da cadeia de suprimentos, com 4,8%, e ameaças internas, responsáveis por 2,4%.

Ao detalhar os resultados relacionados às vulnerabilidades de software, o levantamento mostrou que 85% das falhas exploradas que geram invasões cibernéticas estavam ligadas a problemas de autenticação e autorização.

No caso do abuso de credenciais, o principal fator identificado foi o uso de credenciais vazadas, responsável por 68,7% dos registros. Em seguida aparecem sessões comprometidas por infostealers, com 23,8%, e credenciais padrão ou facilmente previsíveis, com 7,5%.

Os dados apontam que boa parte dos comprometimentos continua ocorrendo por meio da exploração de falhas conhecidas, identidades expostas e controles básicos de segurança implementados de forma inadequada.

De sites falsos a phishing em e-mails

A engenharia social também mantém relevância no cenário de ameaças. Embora represente uma parcela menor dos vetores observados, o estudo indica que ela potencializa a eficácia de outros tipos de ataques. Todos os casos classificados nessa categoria ocorreram por meio de campanhas de phishing, incluindo situações de sequestro de sessão capazes de contornar mecanismos de autenticação multifator (MFA) em ambientes que utilizam Single Sign-On (SSO).

Nas simulações de phishing realizadas por e-mail, os resultados mostraram que, a cada 34 pessoas que abrem uma mensagem fraudulenta, três acabam fornecendo credenciais ou chaves de acesso válidas.

O levantamento também identificou fragilidades operacionais recorrentes nas organizações avaliadas. Em 38,1% das simulações, foram encontrados ambientes em nuvem sem autenticação multifator habilitada. Em outros 35,7% dos casos, ataques de password spraying tiveram sucesso.

Além disso, em 23,8% das avaliações foi possível obter acesso a VPN em contexto totalmente black box, enquanto os infostealers tiveram papel decisivo no comprometimento inicial em 21,4% das ocorrências.

De acordo com os pesquisadores da Vultus, os resultados sugerem que invasões cibernéticas continua fortemente relacionado à permanência de vulnerabilidades já conhecidas. O estudo registrou um I&E Index médio de 7,57 em uma escala de 0 a 10, indicador que mede a viabilidade de obtenção de acesso por parte dos atacantes.

Segundo a análise, a combinação entre exposição de ativos, fragilidades de identidade e falhas técnicas ainda permite que invasores obtenham acesso com esforço relativamente baixo.

“O ataque, na maior parte das vezes, não começa pelo extraordinário. Começa pelo que ficou aberto, mal configurado, mal autenticado e mal priorizado. O dado mais incômodo do Panorama é que o básico ainda segue negligenciado em escala”, afirma Rodrigo Gava, CTO e Board Member da Vultus.