Ataques a dispositivos inteligentes já aparecem no topo da lista de preocupações de cibersegurança das empresas brasileiras – e, pior, a maior parte delas admite não estar pronta para lidar com esse tipo de risco. Em um cenário em que casas, escritórios, fábricas e até hospitais se enchem de equipamentos conectados, a vulnerabilidade desses produtos deixa de ser um tema técnico para se tornar um problema direto de negócio, reputação e confiança do consumidor.
Uma pesquisa global de confiança digital da PwC, realizada com mais de 3.800 executivos de negócios e tecnologia em 72 países, mostra esse quadro com clareza. No Brasil, 39% dos líderes afirmam que ataques a produtos conectados são a principal ameaça para a qual se sentem pouco preparados. No ranking nacional, é o risco número um; no cenário global, essa preocupação aparece em segundo lugar, citada por 28% dos entrevistados. Ou seja, o Brasil sente-se ainda mais vulnerável do que a média mundial quando o assunto é segurança de dispositivos inteligentes.
Além dos equipamentos conectados, outras frentes críticas também tiram o sono dos executivos. A nuvem é apontada como um ponto sensível por 33% dos líderes no Brasil (e 39% no mundo), enquanto o comprometimento de cadeias de suprimentos de software preocupa 31% das organizações brasileiras (e 33% globalmente). A combinação desses fatores desenha um ambiente em que qualquer brecha em um elo – seja um aplicativo na nuvem, um fornecedor de software ou um simples dispositivo de IoT – pode abrir a porta para ataques de grande impacto.
Apesar da percepção clara de risco, os orçamentos de cibersegurança ainda não acompanham, na mesma intensidade, a complexidade do cenário. No Brasil, 90% dos líderes dizem que pretendem aumentar os investimentos na área até 2026. Porém, apenas cerca de um terço planeja ampliar esses gastos em mais de 10%. Em outras palavras, a maior parte das empresas quer investir mais, mas ainda de forma tímida diante do crescimento acelerado das ameaças.
Para Eduardo Batista, sócio e líder de Cibersegurança e Privacidade da PwC Brasil, preparação é a palavra-chave. Ele destaca que segurança cibernética não se resume a apagar incêndios depois de um incidente, mas a construir, com antecedência, uma estrutura robusta de proteção. Isso passa por planejamento contínuo, monitoramento, testes recorrentes, fortalecimento de controles e capacitação de pessoas, além da adoção responsável e escalável de soluções de inteligência artificial, antes que uma crise aconteça.
O potencial da IA para transformar a forma como as empresas se defendem no ambiente digital é amplo. Na pesquisa, líderes brasileiros e estrangeiros apontam o threat hunting – a caça ativa a ameaças dentro do próprio ambiente – como prioridade máxima de investimento em tecnologia de segurança para os próximos 12 meses. Ao invés de esperar por alertas automáticos ou incidentes já em andamento, as equipes passam a buscar sinais sutis de invasão, movimentações anômalas e comportamentos suspeitos em redes, sistemas e dispositivos conectados.
Além do threat hunting, outras capacidades tecnológicas ganham espaço nas estratégias corporativas: soluções agênticas e automatizadas, mecanismos avançados de detecção de eventos e análise comportamental, gestão de identidades e acessos e ferramentas de varredura e avaliação de vulnerabilidades de forma contínua. Em conjunto, esses recursos ajudam a criar uma camada de proteção que atua em tempo real e com maior precisão, algo crucial quando se fala em dispositivos inteligentes espalhados por diferentes ambientes.
Entretanto, para que a inteligência artificial seja realmente um diferencial, é indispensável que as empresas tratem com seriedade a gestão de riscos ligados ao uso de dados. No Brasil, quase 60% das organizações afirmam já adotar de forma ampla políticas de criptografia, tokenização e/ou anonimização em escala. Um índice semelhante, de 58%, declara implementar mecanismos de prevenção de perda de dados (DLP) nos principais canais de saída de informação. Além disso, mais da metade (52%) diz contar com políticas estruturadas de classificação de dados, definindo o que é confidencial, restrito ou público.
Essas medidas indicam um avanço importante, mas ainda não suficiente. A proteção de dados, lembra Batista, exige mais do que soluções isoladas ou projetos pontuais: requer uma mudança estratégica na forma como o negócio é pensado. A cibersegurança passa a orientar decisões como em quais mercados atuar, com quais parceiros se conectar, quais tecnologias adotar e como abrir novas fontes de receita sem expor clientes e operações. Empresas mais maduras já perceberam que o principal gargalo não é apenas a falta de profissionais especializados, mas a dificuldade em tomar decisões rápidas em um ambiente volátil e imprevisível.
A verdadeira prontidão frente às ameaças digitais começa por um entendimento profundo dos riscos do negócio. Isso significa mapear quais produtos e serviços dependem de dispositivos inteligentes, quais dados são coletados por esses equipamentos, como eles se conectam a outros sistemas e o que aconteceria se fossem invadidos ou manipulados. Sem essa visão ampla, qualquer investimento em tecnologia tende a ser reativo e fragmentado, deixando brechas importantes desprotegidas.
Para apoiar líderes de segurança cibernética na transição de um modelo reativo para uma postura proativa, a PwC destaca algumas recomendações práticas. A primeira delas é adotar uma abordagem secure-by-design. Em vez de enxergar a segurança como um “acessório” de última hora, aplicado às pressas pouco antes do lançamento de um produto, as organizações devem incorporar requisitos e controles de proteção desde a fase de concepção. Isso vale para todo o ciclo de vida de dispositivos inteligentes e serviços conectados – do desenho inicial à produção, operação, manutenção e descarte.
Outro ponto essencial é priorizar a prevenção, e não apenas a resposta a incidentes. Modelos baseados somente em reparar danos – atender consumidores prejudicados, restaurar sistemas parados, arcar com multas e acordos judiciais – tendem a se mostrar muito mais caros e insustentáveis no longo prazo. Destinar mais recursos a práticas como testes de intrusão periódicos, programas de bug bounty, simulações de crise, auditorias de código e campanhas de conscientização interna costuma reduzir tanto a frequência quanto a gravidade dos ataques.
No contexto de dispositivos inteligentes, prevenção também passa por requisitos rígidos de segurança junto a fornecedores e parceiros de tecnologia. Empresas que produzem ou utilizam produtos conectados precisam avaliar firmware, mecanismos de autenticação, padrões de atualização remota (over-the-air) e políticas de suporte de cada fabricante. Um dispositivo sem atualizações de segurança, deixado esquecido em uma rede corporativa ou residencial, pode se transformar em um ponto de entrada valioso para cibercriminosos.
A gestão de identidade e acesso ganha contornos ainda mais críticos quando se fala em IoT e produtos inteligentes usados por consumidores. Protegê-los significa, por exemplo, evitar senhas padrão triviais, implementar autenticação multifator nos painéis administrativos, limitar privilégios de contas de serviço e monitorar logins e tentativas de acesso suspeitas. Quando a autenticação é fraca, até um equipamento aparentemente inofensivo, como uma câmera ou um sensor, pode ser sequestrado e usado para espionagem, fraudes ou ataques em larga escala.
Vale destacar que o impacto de ataques a dispositivos inteligentes vai além de dados vazados. Em ambientes industriais, de saúde ou de infraestrutura crítica, a manipulação indevida desses equipamentos pode gerar paralisações severas, danos físicos, riscos à integridade de pessoas e prejuízos ambientais. Um sistema de monitoramento de temperatura comprometido em um hospital, por exemplo, pode afetar a conservação de vacinas e medicamentos; uma falha provocada em sensores de uma planta industrial pode interromper linhas de produção ou comprometer a segurança de trabalhadores.
Do ponto de vista do consumidor final, a percepção de risco também cresce. Dispositivos como fechaduras inteligentes, assistentes virtuais, lâmpadas conectadas e câmeras domésticas coletam e processam uma quantidade crescente de informações sobre hábitos, rotinas e ambientes privados. Se essas soluções não forem desenhadas e operadas com foco em privacidade e segurança por padrão, qualquer incidente pode minar rapidamente a confiança na marca – e a confiança, nesse mercado, é um ativo tão importante quanto o próprio produto.
Para as empresas que vendem ou incorporam esses dispositivos em seus serviços, um caminho promissor é integrar equipes de cibersegurança desde o início de projetos de inovação e experiência do cliente. Isso ajuda a equilibrar conveniência e proteção: quanto mais intuitivo e integrado for o produto, maior deve ser o cuidado com a camada de segurança que o sustenta. Esse equilíbrio, aliás, pode se transformar em diferencial competitivo, com organizações posicionando claramente a segurança como parte do valor entregue ao usuário.
Outro elemento-chave é a governança de dados. Definir com clareza quais informações são coletadas por cada dispositivo, por quanto tempo serão armazenadas, com quem podem ser compartilhadas e em quais bases legais se sustentam é fundamental para reduzir riscos de conformidade e reputação. A convergência entre cibersegurança, privacidade e compliance regulatório tende a se intensificar, e empresas que antecipam essa integração saem na frente na hora de responder a incidentes ou atender novas exigências legais.
O papel da cultura organizacional não pode ser subestimado. Dispositivos inteligentes, por natureza, expandem o perímetro tradicional de segurança. Em vez de apenas proteger data centers e estações de trabalho, as empresas passam a defender um ecossistema de objetos distribuídos, muitas vezes gerenciados por áreas de negócio, operação ou facilities. Sem alinhamento interno e clareza de responsabilidades, torna-se difícil garantir atualizações, monitoramento e controles consistentes ao longo de toda a cadeia.
Por fim, a jornada rumo a uma proteção mais robusta de dispositivos inteligentes e produtos conectados é contínua. A cada nova funcionalidade, integração ou modelo de uso, surgem também novos vetores de ataque. Empresas que tratam a cibersegurança como um processo vivo – com revisões constantes de riscos, testes recorrentes, capacitação prática de equipes e uso estratégico de IA para antecipar movimentos de atacantes – estarão mais bem posicionadas para proteger seus consumidores, preservar sua reputação e transformar a confiança digital em vantagem competitiva duradoura.