Anúncios online assumem liderança na distribuição de malware e colocam publicidade no centro do debate de segurança digital
Em 2025, a internet virou uma chave importante: anúncios online ultrapassaram, pela primeira vez, o e-mail como principal vetor de distribuição de malware. De acordo com dados da The Media Trust, campanhas publicitárias maliciosas – o chamado malvertising – responderam por cerca de 60% de todas as campanhas de malware registradas no ano.
O levantamento, reunido no “Relatório de Inteligência de 2026” da empresa, intitulado “Quando a Publicidade Entrou na Conversa sobre Segurança Cibernética: Uma Retrospectiva de 2025 e o Imperativo da Segurança Digital para 2026”, mostra que a infraestrutura de anúncios deixou de ser apenas um mecanismo de monetização. Ela passou a ser encarada, por reguladores, veículos de mídia, grandes plataformas e pelo público, como parte crítica da superfície de risco cibernético.
Um dos motores dessa virada foi o uso massivo de inteligência artificial por criminosos. A IA tornou muito mais simples criar anúncios deepfake convincentes, falsificar identidades visuais de marcas conhecidas e segmentar com precisão grupos de usuários mais vulneráveis – como idosos, pessoas com baixa familiaridade digital ou usuários de regiões com menor acesso à informação de qualidade. Em vez de disparos aleatórios, os ataques passaram a ser meticulosamente planejados e direcionados.
O relatório destaca que, em 2025, a “neutralidade” da cadeia de publicidade digital deixou de ser uma opção. Grandes movimentos regulatórios, ações de fiscalização mais duras, novas propostas de política pública e o aumento da cobrança sobre a responsabilidade das plataformas – incluindo medidas implantadas por grandes editoras e empresas globais de tecnologia – deixaram um recado claro: ignorar o uso malicioso dos sistemas de anúncios gera custos concretos.
Essas consequências aparecem em múltiplas frentes: desgaste de reputação para marcas e veículos, aumento da exposição a sanções regulatórias, perda direta de receita com queda de confiança do público e um avanço na responsabilização jurídica de todos os participantes da cadeia. Para 2026, o ponto central já não é mais discutir se existe responsabilidade compartilhada, mas como empresas e organizações vão operacionalizar essa responsabilidade na prática.
Publicidade virou infraestrutura crítica de risco
A The Media Trust baseia suas conclusões em dados de detecção em tempo real, coletados pela sua infraestrutura global, que monitora mais de 200 bilhões de anúncios por mês em mais de 100 mil propriedades digitais. A partir desse volume, o relatório detalha como o ecossistema publicitário vem sendo explorado por malvertising, redirecionamentos maliciosos, páginas de destino ocultas e táticas de manipulação impulsionadas por IA.
Segundo o estudo, os sistemas de publicidade, hoje, funcionam como verdadeiros ambientes de execução de alta velocidade para códigos de terceiros. Cada banner, vídeo ou criativo exibido em um site pode carregar scripts complexos, muitas vezes desenvolvidos e hospedados fora do controle direto do veículo ou da marca anunciada. Quando essa engrenagem é explorada por atacantes, transforma-se em um canal extremamente eficiente para propagação de malware, fraudes e até vigilância indevida.
Essa arquitetura distribuída – com múltiplos intermediários, leilões em tempo real, redes de afiliados e plataformas de adtech – amplia o potencial de abuso. Um único criativo malicioso pode ser replicado em milhares de sites em poucos segundos, alcançando milhões de usuários antes mesmo que um primeiro alerta seja disparado. É justamente essa escala que faz da publicidade uma superfície de ataque tão atraente.
A IA acelera ofensiva e defesa
Outro eixo central do relatório é o papel da inteligência artificial. Do lado dos atacantes, a IA está sendo usada para:
– automatizar campanhas maliciosas em larga escala;
– gerar variações constantes de anúncios para driblar filtros tradicionais;
– produzir deepfakes de executivos, influenciadores ou marcas, aumentando a taxa de cliques;
– personalizar golpes com base em dados comportamentais capturados por trackers e cookies.
Em paralelo, a IA defensiva tornou-se essencial para tentar equilibrar o jogo. Ferramentas de análise comportamental em tempo real, modelos treinados para reconhecer padrões suspeitos em criativos e scripts, e mecanismos de bloqueio automatizado são hoje considerados imprescindíveis para quem opera inventário de anúncios ou grandes propriedades digitais. Sem respostas também automatizadas, o volume e a velocidade das ameaças tornam o controle manual inviável.
O relatório chama atenção para um ponto sensível: enquanto empresas legítimas ainda lidam com barreiras orçamentárias, falta de pessoal especializado e legados tecnológicos, grupos criminosos conseguem adotar IA de forma agressiva, sem amarras éticas ou regulatórias. Esse desequilíbrio tende a se ampliar se organizações não encararem a segurança digital como parte estratégica do negócio, e não apenas como um custo operacional.
Crimes digitais têm CEP e público-alvo
Ao contrário da ideia de que ameaças online são difusas e aleatórias, os dados da The Media Trust mostram um padrão diferente: as campanhas de malware e fraudes via anúncios se concentram em determinados países, regiões e até grupos socioeconômicos específicos.
Análises em nível estadual e global revelam que esses ataques se organizam em torno de rotas de monetização: regiões com maior penetração de apps financeiros, mercados de apostas, criptomoedas ou programas sociais tendem a ser alvo de golpes específicos. A publicidade maliciosa não apenas instala malware, mas também direciona vítimas para esquemas de investimento falso, roubo de credenciais bancárias, clonagem de cartões ou venda de produtos inexistentes.
Essa lógica demonstra que o crime digital dentro do ecossistema de anúncios é estruturado, repetível e cada vez mais automatizado. Existem “modelos de negócio” criminosos, com divisão de tarefas entre quem desenvolve o código, quem compra inventário publicitário comprometido, quem lava o dinheiro e quem gerencia o suporte das fraudes.
O custo humano da publicidade maliciosa
Os impactos financeiros são apenas uma parte do problema. Campanhas de malvertising e manipulação digital geram prejuízos diretos para empresas – como queda nas receitas, perda de anunciantes e processos judiciais -, mas também produzem efeitos profundos sobre pessoas reais.
Populações mais vulneráveis, com menor letramento digital ou em situação de fragilidade econômica, acabam sendo o alvo preferencial de golpes sofisticados veiculados via anúncios. Promessas de oportunidades de emprego falsas, ofertas de crédito “sem consulta” e investimentos milagrosos são embalados em criativos profissionais, com logotipos clonados e depoimentos falsos gerados por IA.
Essas ações podem causar endividamento grave, perda de economias de uma vida e danos emocionais difíceis de mensurar. O relatório enfatiza que, por isso, a publicidade digital deixou de ser apenas um tema técnico de segurança cibernética e passou a ser um problema de segurança humana e de proteção do consumidor.
Cibersegurança x Segurança Digital: uma distinção necessária
Outro ponto-chave do estudo é a diferenciação entre cibersegurança tradicional e segurança digital no contexto da publicidade. A primeira costuma focar em proteção de sistemas, redes e infraestrutura – firewalls, antivirus, patches de software, criptografia. Já a segunda leva em conta o impacto sobre pessoas, comportamentos, privacidade, confiança e integridade da informação.
No ecossistema de anúncios orientado por dados, o relatório argumenta que a simples conformidade a normas técnicas e regulatórias é claramente insuficiente. Plataformas podem estar em dia com requisitos formais e, ainda assim, permitir que cadeias inteiras de distribuição de anúncios veiculem fraudes, golpes ou campanhas de desinformação.
A responsabilização, portanto, está se tornando inevitável e mais abrangente. Não basta alegar desconhecimento ou terceirizar a culpa para parceiros de tecnologia. Veículos, marcas, agências, plataformas e provedores de adtech são cada vez mais cobrados a comprovar que adotam práticas ativas de monitoramento, mitigação de riscos e resposta rápida a incidentes envolvendo anúncios.
O que muda, na prática, para empresas e marcas
Para organizações que dependem de publicidade digital – seja como fonte de receita, seja como canal de marketing -, o cenário traçado pelo relatório impõe uma revisão profunda de estratégias. Algumas implicações práticas incluem:
– incorporar segurança digital à governança de marketing e mídia, e não tratá-la como tema isolado de TI;
– exigir transparência maior de parceiros de adtech sobre cadeias de fornecimento, origem de inventário e mecanismos de validação de criativos;
– adotar ferramentas de monitoramento contínuo de anúncios exibidos em seus sites, aplicativos ou perfis;
– estabelecer planos de resposta a incidentes específicos para malvertising, incluindo comunicação com usuários e acionamento rápido de correções.
Empresas que ignoram esses riscos tendem a enfrentar, além de perdas econômicas, um desgaste progressivo de confiança do público. Em um ambiente em que anúncios se tornam sinônimo de risco para parte dos usuários, marcas que investirem em ambientes seguros e transparentes podem transformar a segurança em diferencial competitivo.
Recomendações para editores e plataformas digitais
Veículos de mídia e plataformas que exibem anúncios precisam ir além do modelo tradicional de “vender espaço” e delegar tudo ao intermediário. Entre as boas práticas apontadas por especialistas em segurança digital, destacam-se:
– criar políticas claras de aceitação de anúncios, com vetos específicos a categorias de alto risco;
– monitorar em tempo real o comportamento de scripts carregados por anúncios, bloqueando automaticamente os que exibirem redirecionamentos suspeitos ou tentativas de download;
– manter canais ágeis para que usuários reportem anúncios fraudulentos diretamente;
– revisar periodicamente contratos com redes de anúncios, incluindo cláusulas de responsabilidade e níveis mínimos de segurança.
Além disso, é recomendável que editores participem mais ativamente de fóruns técnicos e iniciativas setoriais voltadas à padronização de práticas de segurança em publicidade, a fim de reduzir assimetrias de informação entre grandes e pequenos participantes do mercado.
Como usuários podem se proteger do malvertising
Embora grande parte da responsabilidade recaia sobre empresas e plataformas, usuários também podem adotar medidas para reduzir o risco de exposição a anúncios maliciosos:
– manter sistema operacional, navegador e aplicativos sempre atualizados;
– utilizar bloqueadores de anúncios e extensões de segurança que inspecionam scripts suspeitos;
– desconfiar de ofertas “boas demais para ser verdade”, especialmente envolvendo dinheiro rápido, crédito fácil ou investimentos com retorno garantido;
– evitar clicar em anúncios de origem desconhecida e, sempre que possível, acessar diretamente o site oficial de marcas e serviços;
– usar soluções de segurança (antimalware, filtros de navegação) que incluam proteção contra sites de phishing e downloads perigosos.
Ainda que nenhuma medida individual seja capaz de eliminar completamente o risco, somar boas práticas pessoais a um ecossistema mais responsável pode reduzir significativamente a superfície de ataque.
O horizonte para 2026: responsabilidade como eixo central
O “Relatório de Inteligência de 2026” aponta que o próximo ciclo será marcado menos por descobertas tecnológicas e mais por decisões políticas, regulatórias e empresariais. O debate deixa de ser se o setor de publicidade digital deve ou não ser envolvido em estratégias de segurança, e passa a focar em como isso será feito, quem pagará a conta e quais serão os mecanismos de fiscalização.
À medida que campanhas maliciosas continuam a explorar falhas de governança, transparência e monitoramento, cresce a pressão para que todo o ecossistema de anúncios seja tratado como infraestrutura crítica de risco digital. Organizações que reconhecerem essa realidade mais cedo terão maior capacidade de proteger seus usuários, preservar suas marcas e manter a sustentabilidade de seus modelos de negócio em um ambiente cada vez mais hostil.