A entrada de investidores financeiros em empresas de cibersegurança pode, em determinadas circunstâncias, afetar diretamente a robustez técnica e a confiabilidade de soluções críticas, como VPNs corporativas. Foi essa a conclusão de uma reportagem publicada em 17 de janeiro por uma grande agência internacional de notícias, que chamou a atenção para um ponto sensível: quando o foco principal passa a ser retorno rápido sobre o capital, decisões de negócio podem enfraquecer pilares de segurança que deveriam ser intocáveis.
De acordo com a matéria, tanto funcionários do governo federal dos Estados Unidos quanto executivos do setor privado começaram a rever seus critérios de avaliação de softwares de cibersegurança. Não se trata apenas de trocar fornecedores: em alguns casos, organizações estariam removendo de suas redes VPNs pertencentes a empresas controladas por fundos de private equity e, além disso, incluindo explicitamente a participação desses fundos como fator de risco em suas matrizes de avaliação de tecnologias estratégicas.
O levantamento se baseia especialmente na trajetória da Ivanti e de outras empresas do setor ao longo dos últimos cinco anos. A agência relembra que, em 2023, noticiou uma sequência de ataques cibernéticos significativos sofridos pela Citrix, outro player importante no mercado de VPNs. Esses incidentes teriam ocorrido após seus controladores de capital privado – Elliott Investment Management e Vista Equity Partners – promoverem cortes profundos, incluindo a demissão da maior parte da equipe de segurança de produtos, composta por cerca de 70 profissionais, após a aquisição concluída em 2022.
No caso da Ivanti, a origem da companhia remonta a janeiro de 2017, quando seu principal investidor, o fundo ClearLake Capital, decidiu fundir duas empresas de seu portfólio: a Heat Software e a LanDesk. Em vez de estabilização, o que se viu nos quatro anos seguintes foi um balanço que caminhou para o vermelho, impulsionado por uma estratégia agressiva de aquisições – cinco empresas incorporadas em um curto período, sempre sob a lógica dos controladores financeiros.
Em entrevista à reportagem, Rob Leahy, ex-diretor de TI do Goddard Space Flight Center da NASA, sintetizou uma preocupação recorrente do mercado. Segundo ele, sua experiência mostra que empresas de private equity, em geral, priorizam fortemente o aumento de lucros e a redução de dívidas, muitas vezes em detrimento do investimento contínuo em desenvolvimento e aprimoramento de produtos. Em cibersegurança, onde vulnerabilidades surgem diariamente, esse tipo de escolha pode ter consequências graves.
As apurações da agência indicam que a estratégia adotada pelos controladores da Ivanti e da unidade de VPN Pulse Secure não teria produzido os resultados esperados, nem do ponto de vista financeiro nem sob a ótica de segurança. Com base em entrevistas e na análise de documentos internos, ex-funcionários relataram que a pressão por cortes de custos se traduziu em enxugamento de equipes justamente em áreas críticas. Entre os demitidos estariam engenheiros-chave para a manutenção e evolução do Connect Secure, em um período no qual ataques cibernéticos ganhavam sofisticação e frequência.
Esses profissionais, em sua maioria membros da engenharia da Pulse ou gestores seniores da Ivanti, concordaram em falar sob condição de anonimato, dado o caráter confidencial das informações. Eles descreveram um ambiente em que o compromisso com a redução de despesas prevalecia sobre preocupações técnicas de longo prazo. Dentro dessa lógica, atividades como revisão profunda de código, correção preventiva de vulnerabilidades e desenvolvimento de novas camadas de proteção acabaram perdendo prioridade.
A Ivanti, por sua vez, negou categoricamente, em comunicado enviado à agência, que seu modelo de propriedade tenha prejudicado as operações ou a segurança de seus produtos. A empresa ressaltou que VPNs, por natureza, figuram entre os principais alvos de grupos de ataque em todo o mundo, dada a sua função de porta de entrada para redes corporativas. Em outras palavras, a alta exposição a riscos seria inerente à categoria de solução, não ao modelo de gestão financeira.
Apesar dessa defesa, o início de 2024 trouxe um sinal de alerta difícil de ignorar. A CISA, agência de segurança cibernética do governo norte-americano, emitiu uma ordem de emergência incomum direcionada a órgãos federais: a determinação foi para que desativassem imediatamente o software de VPN Connect Secure. O motivo: agentes de espionagem chineses teriam comprometido o código da solução, utilizando a brecha para se infiltrar em quase duas dezenas de organizações distintas.
Esse episódio reforçou um debate que vinha se intensificando nos bastidores: até que ponto decisões de reestruturação, cortes em P&D e redução de equipes especializadas – frequentemente adotados após aquisições por fundos – enfraquecem o ciclo de vida seguro de produtos de cibersegurança. Em segmentos menos sensíveis, o risco de erros decorrentes de economia excessiva pode ser tolerável. Em soluções que protegem redes governamentais, infraestrutura crítica ou dados bancários, a margem para falhas é praticamente inexistente.
É importante destacar que a simples presença de um investidor não é, por si só, sinônimo de ameaça à qualidade técnica. Há fundos que entendem a natureza de longo prazo da cibersegurança e mantêm – ou até ampliam – orçamentos de segurança e desenvolvimento. O problema surge quando a lógica de maximização imediata de valor se impõe sobre a necessidade de investimentos contínuos em pesquisa, testes, bug bounty, resposta a incidentes e atualização de funcionalidades. Em um cenário de ataques constantes, congelar ou reduzir esses investimentos equivale a abrir brechas futuras.
Para clientes corporativos, o caso funciona como um lembrete de que a avaliação de risco de um fornecedor de segurança não deve se limitar a métricas tradicionais, como market share ou performance técnica pontual. Aspectos como governança, histórico de aquisições, estabilidade das equipes de engenharia, transparência na divulgação de falhas e o perfil dos controladores financeiros tornam-se variáveis estratégicas. Hoje, muitas organizações já incluem no due diligence questões como: houve demissões significativas em times de segurança nos últimos anos? A empresa mantém programas estruturados de gestão de vulnerabilidades? Como é a política de resposta a incidentes?
Outro ponto crucial diz respeito à dependência excessiva de poucas soluções de VPN ou de um único fabricante. O modelo de “aposta em um único cavalo”, comum em grandes contratos, aumenta o impacto de qualquer falha sistêmica, técnica ou de gestão. Algumas empresas começam a adotar arquiteturas de acesso mais distribuídas, combinando diferentes soluções, avançando para modelos de Zero Trust Network Access (ZTNA) e reduzindo a exposição a vulnerabilidades concentradas em um único produto ou fornecedor.
No contexto atual, em que o perímetro tradicional desapareceu com a adoção massiva de trabalho remoto, nuvem e SaaS, as VPNs continuam tendo um papel relevante, mas já não são vistas como a única resposta para acesso seguro. O caso Ivanti, somado ao histórico recente de outras fornecedoras, impulsiona a discussão sobre migração gradual para arquiteturas em que a identidade, o contexto e a avaliação dinâmica de risco sejam mais importantes do que o simples “túnel” criptografado. Nessa transição, a qualidade da engenharia – e os recursos dedicados a ela – seguem sendo fator decisivo.
Para as empresas investidas, a lição é clara: segurança não pode ser tratada como centro de custo facilmente cortável. Em muitos casos, o valor da marca e a confiança do mercado dependem diretamente de um histórico sólido de proteção e resposta eficiente a incidentes. Um único ataque com grande repercussão pode eliminar rapidamente qualquer ganho financeiro de curto prazo obtido com demissões e reduções de orçamento. Em cibersegurança, reputação é um ativo tão importante quanto tecnologia.
Já para CISOs, gestores de risco e equipes de compras, torna-se cada vez mais necessário incluir perguntas sobre estrutura de capital, governança e políticas de investimento em segurança durante processos de seleção de fornecedores. Saber quem controla a empresa, quais estratégias foram adotadas após aquisições recentes e como isso impactou equipes técnicas pode ser tão relevante quanto um teste de penetração ou uma prova de conceito. A proteção do ambiente corporativo depende, em última instância, de decisões informadas sobre quem está por trás do código que protege a organização.
No fim das contas, a presença de investidores pode tanto acelerar a inovação quanto corroer silenciosamente a solidez de uma solução de cyber – tudo depende de como o capital é aplicado. O desafio para o mercado é separar os casos em que o aporte financeiro fortalece pesquisa, segurança e governança daqueles em que a busca por margens maiores empurra a segurança para segundo plano. Ignorar esse componente na análise de risco é, cada vez mais, um luxo que governos e empresas não podem se permitir.