Relatório Sophos revela: 67% dos ciberataques começam por falhas de identidade e acesso
Pesquisas recentes da Sophos mostram que a porta de entrada da maioria dos incidentes de segurança continua sendo a identidade digital. De acordo com o Relatório Sophos Active Adversary 2026, 67% de todos os incidentes cibernéticos investigados no último ano tiveram como ponto de partida ataques relacionados à identidade – seja por credenciais comprometidas, falhas na autenticação multifator (MFA) ou má proteção de sistemas de gerenciamento de acesso.
O estudo analisou 661 casos entre novembro de 2024 e outubro de 2025 e confirma uma mudança importante na forma como os atacantes entram nas redes corporativas. A tradicional exploração de vulnerabilidades em sistemas (16% dos casos) praticamente empatou com a atividade de força bruta (15,6%), em que criminosos testam senhas em massa até encontrar combinações válidas. A combinação de senhas fracas, reutilização de credenciais e ausência de camadas adicionais de autenticação cria o cenário perfeito para invasões silenciosas.
Um dado crítico do relatório é que, em 59% dos incidentes examinados, não havia qualquer forma de MFA habilitada. Isso significa que, em mais da metade dos ataques, bastava ao invasor obter usuário e senha – muitas vezes por phishing, vazamentos anteriores ou compra de credenciais em mercados clandestinos – para ter acesso direto ao ambiente interno da empresa. Como destaca John Shier, Field CISO da Sophos, as organizações precisam tratar a segurança de identidade como prioridade estratégica, e não apenas como um complemento à proteção de perímetro.
Além da fragilidade na autenticação, o relatório mostra que os criminosos estão operando com mais rapidez. O chamado “tempo de permanência” – período entre a invasão inicial e a detecção/expulsão do invasor – caiu para três dias em média. Essa queda é resultado de dois movimentos paralelos: atacantes mais ágeis em se movimentar lateralmente e defensores mais preparados, principalmente em ambientes com monitoramento gerenciado. Ainda assim, três dias dentro de uma rede corporativa são mais do que suficientes para roubo de dados, espionagem e preparação de ataques de ransomware.
Outro número alarmante é o tempo que os invasores levam para atingir o coração da infraestrutura de identidade: o Active Directory (AD). Após o acesso inicial, os atacantes precisam, em média, de apenas 3,4 horas para alcançar o servidor de AD. Uma vez lá dentro, podem elevar privilégios, criar contas ocultas, modificar políticas e garantir acesso persistente, mesmo que a invasão inicial seja descoberta e bloqueada. Isso transforma o AD em um alvo prioritário e reforça a necessidade de reforçar a segurança dessa camada.
O relatório também confirma que o ransomware continua sendo um ataque “fora do horário comercial”. Aproximadamente 88% das cargas de ransomware são implantadas durante fins de semana, madrugadas ou períodos em que as equipes de TI e segurança estão reduzidas. Da mesma forma, 79% das ações de exfiltração de dados – quando as informações são copiadas e enviadas para fora da empresa – acontecem nesses horários. A escolha não é aleatória: criminosos sabem que a chance de reação imediata é menor, prolongando o tempo de criptografia e de roubo de dados sem interrupção.
Em relação ao cenário de ameaças, o estudo registrou o maior número de grupos ativos desde o início da série histórica. O grupo Akira aparece em 22% dos incidentes analisados, consolidando-se como uma das operações de ransomware mais relevantes do período. Ao todo, foram identificadas 51 marcas de ransomware, sendo 24 delas novas. Esse dado mostra que, mesmo com desarticulações pontuais feitas por autoridades, o ecossistema de ransomware permanece dinâmico, com novas variantes e grupos surgindo constantemente para ocupar espaços deixados por operações desmanteladas.
A defesa das organizações é duramente prejudicada pela falta de telemetria adequada. O relatório indica que a ausência de logs – em muitos casos por políticas insuficientes de retenção de dados ou por configurações incorretas – dobrou em comparação ao ano anterior. Sem registros detalhados de autenticação, acessos, mudanças de configuração e atividades suspeitas, fica muito mais difícil reconstruir o passo a passo da invasão, identificar a causa raiz e fortalecer os pontos frágeis. Em termos práticos, é como investigar um crime sem câmeras, sem testemunhas e sem registros escritos.
No campo da inteligência artificial, a pesquisa traz uma visão mais sóbria do que a percepção comum. Apesar de todo o entusiasmo em torno de IA, a Sophos não encontrou evidências de uma “revolução” nas técnicas de ataque diretamente atribuída a essa tecnologia. Não houve mudança dramática nos vetores principais de invasão. No entanto, a IA tem sido usada para dar escala e refinamento a campanhas já conhecidas, especialmente em phishing. Mensagens mais personalizadas, textos em vários idiomas sem erros e engenharia social mais convincente são facilitadas por modelos de linguagem e ferramentas automatizadas.
Por que a identidade virou o principal campo de batalha
A centralização de recursos na nuvem, a adoção massiva de SaaS e o trabalho híbrido fizeram da identidade o novo perímetro de segurança. Em vez de proteger apenas redes internas e data centers físicos, as empresas agora precisam garantir que apenas usuários, dispositivos e aplicações devidamente autenticados consigam acessar dados sensíveis, independentemente de onde estejam. Nesse cenário, qualquer falha na gestão de identidades – como permissões excessivas, contas órfãs e MFA mal configurada – transforma-se em um atalho para o invasor.
Outro fator é o reaproveitamento de credenciais. Funcionários frequentemente usam as mesmas senhas em múltiplos serviços, inclusive pessoais. Quando um serviço externo sofre vazamento, essas credenciais acabam vendidas ou divulgadas, e criminosos passam a testar combinações de usuário e senha em portais corporativos, VPNs e serviços em nuvem. Sem MFA robusta, a barreira de entrada torna-se mínima. Por isso, a gestão de senhas e a adoção de autenticação baseada em risco ganham cada vez mais relevância.
Boas práticas para reduzir riscos em MFA e credenciais
A simples ativação de MFA não é garantia absoluta de proteção. O relatório destaca casos em que a autenticação multifator foi considerada “frágil”, seja por uso de métodos facilmente atacáveis (como códigos por SMS sem proteção adicional) ou por falhas de implementação, como exceções em massa para contas privilegiadas. Métodos modernos, como chaves de segurança físicas, aplicativos autenticadores com proteção contra phishing e passkeys, tendem a oferecer mais resiliência que fatores legados.
Além disso, é fundamental revisar periodicamente quem tem acesso a quê. Contas administrativas devem ser usadas apenas quando estritamente necessário, com privilégios mínimos, monitoramento constante e, idealmente, com uso de estações administrativas dedicadas. Políticas de rotação de senhas para contas de serviço, revisão de contas inativas e remoção rápida de acessos de ex-funcionários complementam essa estratégia.
Proteção específica para Active Directory e sistemas de identidade
Considerando que criminosos levam cerca de 3,4 horas para alcançar o AD após a invasão, o reforço dessa camada é urgente. Recomenda-se segmentar a rede de forma que o acesso ao AD não seja possível a partir de qualquer ponto comprometido, restringir o uso de contas com privilégios elevados, monitorar alterações sensíveis (como inclusão em grupos de administradores, criação de contas suspeitas e mudanças em políticas de senha) e implementar controles adicionais como autenticação forte para administradores.
Ambientes híbridos, que combinam AD tradicional com serviços de identidade em nuvem, exigem ainda mais atenção. A sincronização de identidades entre on-premises e cloud pode ser explorada por atacantes para escalar privilégios em ambos os ambientes. Verificações de integridade, auditorias frequentes e o uso de soluções de proteção de identidade (Identity Threat Detection and Response) ajudam a detectar comportamentos anômalos ligados a contas e tokens de acesso.
Ransomware fora do expediente: ajustar a defesa ao horário do ataque
Saber que 88% das execuções de ransomware e 79% da exfiltração de dados ocorrem fora do horário comercial deve influenciar diretamente o desenho dos processos de resposta a incidentes. Não basta ter uma equipe SOC ativa apenas durante o expediente tradicional; é preciso garantir monitoramento e capacidade de reação 24×7, seja com equipes internas, seja por meio de serviços gerenciados.
Automação também se torna um diferencial. Playbooks de resposta pré-definidos, capazes de isolar máquinas automaticamente, bloquear credenciais suspeitas e interromper conexões maliciosas sem intervenção humana imediata, reduzem a janela de impacto. Backups testados regularmente, com cópias imutáveis fora do alcance do atacante, continuam sendo peça-chave para a recuperação após um ataque de ransomware.
Telemetria e logs: sem dados, não há defesa eficaz
Os dados do relatório sobre a falta de logs mostram um erro recorrente: muitas organizações investem em ferramentas avançadas, mas mantêm janelas de retenção de dados muito curtas ou não habilitam o registro detalhado de atividades críticas. Quando ocorre um incidente, é tarde demais para recuperar eventos que simplesmente não foram armazenados.
Para mudar esse cenário, é recomendável definir uma estratégia de logging alinhada à criticidade dos sistemas e às exigências de conformidade. Eventos de autenticação, ações administrativas, acessos a dados sensíveis, movimentação lateral e execuções suspeitas devem ser centralizados em plataformas de análise de segurança, com correlação em tempo real e alertas ajustados para evitar tanto o excesso de ruído quanto a ausência de sinais importantes.
IA na prática: mais phishing, mesma porta de entrada
Embora a IA ainda não tenha revolucionado as técnicas fundamentais de intrusão, seu impacto na etapa de engenharia social é concreto. Mensagens de phishing mais convincentes, que imitam com precisão o tom de voz de executivos, departamentos internos ou parceiros de negócio, aumentam a taxa de sucesso de campanhas de roubo de credenciais. Combinado a dados públicos de redes profissionais, esse refinamento torna ataques de spear phishing significativamente mais perigosos.
As empresas precisam responder elevando o nível de conscientização dos usuários. Treinamentos de segurança não devem se limitar a apresentações teóricas anuais. Simulações periódicas de phishing, comunicação clara sobre novos golpes e incentivo à cultura de reporte de mensagens suspeitas são elementos que ajudam a compensar o aumento da sofisticação das campanhas maliciosas.
Estratégia integrada: identidade no centro da cibersegurança
Os dados do relatório convergem para uma conclusão: segurança de identidade não é mais um componente opcional, e sim o núcleo da estratégia de cibersegurança moderna. Isso envolve combinar três pilares: tecnologia (MFA forte, EDR/XDR, proteção de AD, gestão de acesso), processos (políticas claras de privilégio mínimo, gestão de contas e backups) e pessoas (treinamento, cultura de segurança e resposta ágil).
Investir apenas em proteção de perímetro, firewalls e antivírus tradicionais já não é suficiente em um cenário em que 67% dos ataques começam por falhas de identidade e acesso. O foco precisa migrar para a visibilidade completa de quem acessa o quê, quando e como – e para a capacidade de detectar rapidamente qualquer desvio desse padrão.
Ao alinhar controles de identidade, monitoramento contínuo, telemetria robusta e planos de resposta bem testados, as organizações aumentam significativamente suas chances de interromper ataques antes que eles cheguem ao estágio de ransomware, exfiltração de dados ou controle total de seus ambientes críticos.