Incidentes de alta gravidade caem para 4% em 2025, menor índice em seis anos
A fatia de incidentes cibernéticos classificados como de alta gravidade encolheu para apenas 4% do total em 2025, segundo o relatório global “Anatomia do Cenário de Ameaças Cibernéticas”, da Kaspersky Lab. É o nível mais baixo observado nos últimos seis anos e representa uma queda expressiva em relação a 2021, quando esses casos somavam 14% de todos os incidentes registrados.
O que são incidentes de alta gravidade
Na classificação da Kaspersky, entram na categoria de alta gravidade os ataques que envolvem atuação humana direta ou provocam impacto relevante na infraestrutura de TI das organizações. Isso inclui, por exemplo:
– campanhas avançadas de APTs (ataques persistentes avançados), em que o invasor se mantém por longos períodos dentro do ambiente,
– ataques de ransomware com potencial de interromper operações e causar perdas financeiras substanciais.
Em resumo, não se trata apenas de infecções pontuais por malware, mas de ações coordenadas, com objetivo claro de causar interrupção, roubo de dados ou chantagem financeira em grande escala.
Tipos de incidentes mais comuns
Apesar da queda na proporção dos casos mais graves, a paisagem de ameaças segue complexa. O tipo de incidente mais frequente em 2025 foram os ataques direcionados controlados por humanos, que responderam por quase 24% de todos os registros analisados. Nesses cenários, o criminoso não se limita a lançar um código malicioso e aguardar o resultado: ele monitora o ambiente, ajusta as táticas em tempo real e explora brechas específicas de cada organização.
A engenharia social aparece em segundo lugar, com 15% dos incidentes e impacto em 18% das empresas avaliadas. Já os ataques de malware sem qualquer intervenção humana direta – como campanhas amplas e automatizadas, voltadas ao maior número possível de vítimas – corresponderam a apenas 12% dos casos.
Outras ameaças relevantes identificadas
O relatório também identificou:
– vestígios de antigos ataques controlados por humanos que estavam inativos no momento da detecção (7%),
– exploração ou presença de vulnerabilidades críticas sem correção (quase 5%),
– e, em aproximadamente 24% das ocorrências, eventos relacionados a testes de segurança, como exercícios de Red Team, pentests ou simulações internas.
Esse conjunto mostra que parte significativa do “barulho” de segurança de uma organização pode estar ligada não apenas a ataques em curso, mas também a rastros de invasões passadas, brechas ainda não corrigidas e atividades legítimas de avaliação de segurança.
Mudança de tática entre os criminosos
A Kaspersky aponta uma transformação importante na forma de atuação dos grupos criminosos. Em vez de depender apenas de malware automatizado, eles apostam cada vez mais em campanhas dirigidas, com participação humana intensa. Isso permite escolher alvos mais lucrativos, adaptar as estratégias a cada vítima e maximizar tanto os danos quanto as chances de sucesso.
Essa abordagem “manual” pode envolver desde o estudo prévio da estrutura da empresa até o mapeamento detalhado de quem são os usuários com privilégios elevados, passando por tentativas personalizadas de engenharia social para capturar credenciais ou instalar ferramentas de acesso remoto.
Ransomware: por que a taxa é relativamente baixa
Apesar de continuar sendo uma das ameaças mais temidas pelas empresas, a participação do ransomware no total de incidentes graves se manteve baixa no relatório. A Kaspersky atribui esse resultado principalmente à detecção antecipada. Em muitos casos, os sinais da atividade maliciosa são identificados antes que os atacantes consigam assumir o controle total do ambiente, iniciar a criptografia em massa ou destruir dados.
Essa detecção precoce é resultado da combinação de ferramentas de monitoramento contínuo, análise de comportamento, correlação de eventos em plataformas de SIEM e de uma resposta mais estruturada por parte das equipes de segurança, muitas vezes com apoio de serviços de monitoramento 24/7.
Engenharia social e o papel decisivo do fator humano
Mesmo com o progresso nas ferramentas de proteção, a engenharia social segue sendo um dos vetores mais eficazes na cadeia de ataque. Técnicas como phishing, spear phishing e pretexting continuam rendendo resultados para os criminosos, em grande medida por explorarem falhas de atenção, pressa no dia a dia e falta de conscientização dos usuários.
Um e-mail bem elaborado, que imita a comunicação de um fornecedor real ou de um banco, ainda é suficiente para convencer parte dos funcionários a clicar em links maliciosos ou fornecer credenciais sensíveis. Esse tipo de abordagem dispensa, muitas vezes, a exploração de vulnerabilidades complexas de software: o elo fraco, na maioria das vezes, é o comportamento humano.
Por que controles técnicos já não bastam
O relatório reforça a visão de que barreiras técnicas, por mais avançadas que sejam, não conseguem sozinhas neutralizar a engenharia social. Firewalls de última geração, soluções de EDR, sistemas de detecção de intrusão e filtros de spam são fundamentais, mas não substituem treinamento contínuo e cultura de segurança.
Sem políticas claras e campanhas regulares de conscientização, usuários seguem suscetíveis a golpes que driblam as defesas técnicas, especialmente em situações de pressão, urgência ou quando a mensagem apela para curiosidade e medo.
O que explica a redução dos incidentes de alta gravidade
A queda de 14% para 4% em quatro anos não ocorre por acaso. Entre os fatores que ajudam a explicar esse movimento estão:
– maior adoção de modelos de segurança baseados em monitoramento contínuo e resposta a incidentes,
– disseminação de boas práticas de gestão de vulnerabilidades e patching,
– amadurecimento dos centros de operações de segurança (SOC), internos ou terceirizados,
– uso intensivo de inteligência de ameaças (Threat Intelligence) para antecipar táticas, técnicas e procedimentos (TTPs) de grupos criminosos,
– investimentos em backup estruturado e planos de continuidade de negócios, que reduzem o potencial de impacto de ataques como ransomware.
Ainda assim, a queda na proporção de incidentes graves não significa que o risco desapareceu. Em muitos casos, o número absoluto de ataques continua alto; o que mudou foi a capacidade de contê-los antes que alcancem seu estágio mais destrutivo.
Como as empresas podem se preparar melhor
O cenário descrito pelo relatório sugere algumas prioridades para organizações que desejam reduzir a probabilidade e o impacto de incidentes graves:
1. Fortalecer o SOC e a monitoração – usar ferramentas de detecção e resposta, correlacionar eventos de múltiplas fontes e garantir análise 24/7.
2. Investir em Threat Intelligence – entender quem são os principais grupos que podem mirar o setor da empresa e quais técnicas mais utilizam.
3. Melhorar a gestão de vulnerabilidades – manter sistemas atualizados, aplicar patches críticos rapidamente e revisar configurações inseguras.
4. Estruturar planos de resposta a incidentes – definir papéis, fluxos de comunicação, procedimentos de contenção e recuperação, e testar tudo por meio de exercícios práticos.
5. Desenvolver programas contínuos de conscientização – treinar colaboradores para identificar tentativas de phishing, golpes por telefone e outras formas de engenharia social.
Foco especial em engenharia social
Diante da relevância do fator humano nos ataques bem-sucedidos, vale destacar ações específicas para mitigar a engenharia social:
– simulações periódicas de phishing para medir o nível de exposição e reforçar o aprendizado,
– treinamentos voltados a áreas mais visadas, como finanças, recursos humanos e suporte,
– criação de canais fáceis para reportar mensagens suspeitas,
– campanhas de comunicação interna que usem linguagem simples, exemplos reais e reforço constante das boas práticas.
Quanto mais natural for, para o funcionário, desconfiar de pedidos urgentes ou pouco usuais recebidos por e-mail, telefone ou aplicativos de mensagem, menor será a probabilidade de sucesso dessas táticas.
Tendências para os próximos anos
Com a profissionalização dos grupos criminosos e o uso crescente de automação e inteligência artificial pelos atacantes, a tendência é que a combinação de ataques automatizados com intervenção humana se torne ainda mais sofisticada. Isso inclui:
– uso de IA para criar mensagens de phishing altamente personalizadas,
– exploração de dados públicos e vazados para montar perfis detalhados de vítimas,
– ataques híbridos que misturam exploração técnica de vulnerabilidades com abordagens de engenharia social dirigidas.
Ao mesmo tempo, soluções defensivas também incorporam IA e automação para detectar comportamentos anômalos, antecipar campanhas e acelerar respostas. O equilíbrio entre esses dois lados deve determinar se a proporção de incidentes de alta gravidade continuará caindo ou voltará a crescer.
Conclusão: menos incidentes graves, mas mais complexidade
O recuo para 4% na participação de incidentes de alta gravidade em 2025 é um indicador positivo de amadurecimento da defesa cibernética em escala global. No entanto, o cenário descrito pela Kaspersky mostra que os atacantes se adaptaram, intensificando o uso de operações guiadas por humanos e explorando, com insistência, o fator humano por meio da engenharia social.
Para as empresas, a mensagem é clara: não basta investir em tecnologia. É essencial combinar ferramentas avançadas com processos bem definidos, equipes preparadas e uma cultura organizacional em que segurança da informação seja parte do cotidiano de todos, e não apenas responsabilidade do time de TI ou do CISO. Somente essa abordagem integrada tem potencial para manter baixo o índice de incidentes realmente devastadores nos próximos anos.