Relatório da Sophos revela mudança silenciosa e preocupante no cenário da cibersegurança corporativa
O panorama da cibersegurança empresarial está passando por uma transformação sutil, porém alarmante. A atuação dos cibercriminosos já não depende, necessariamente, de brechas técnicas sofisticadas. Em muitos casos, eles sequer precisam “hackear”: basta utilizar credenciais legítimas, como se fossem usuários autorizados.
Essa é a principal constatação do Sophos Active Adversary Report 2025, relatório que analisa o comportamento de atacantes ao longo de 2024. Segundo o levantamento, 56% dos incidentes envolveram o uso combinado de serviços remotos expostos – como VPNs e firewalls – com contas válidas. Ou seja, os invasores entraram pela porta da frente, com pouca ou nenhuma detecção inicial.
O estudo aponta que esse novo modelo de ataque é marcado pela discrição e velocidade. Em média, leva apenas 72 horas entre o acesso inicial e a extração de dados. No caso de compromissos críticos, como o acesso ao Active Directory (AD), esse tempo cai para 11 horas. Quando o ataque é finalmente percebido, muitas vezes o estrago já está feito.
Outro dado preocupante envolve o uso do Remote Desktop Protocol (RDP), presente em 84% dos casos analisados. Apesar de ser uma ferramenta essencial no cotidiano corporativo, ela frequentemente é negligenciada em termos de segurança, o que a torna um alvo fácil para criminosos.
Essa realidade evidencia a limitação das defesas tradicionais. Soluções baseadas apenas em prevenção, como antivírus e firewalls, não são mais suficientes. A nova geração de ataques exige monitoramento contínuo, análise de comportamento e respostas em tempo real, especialmente diante de adversários que usam ferramentas legítimas para escalar privilégios e comprometer sistemas inteiros.
Pelo segundo ano consecutivo, o uso de credenciais comprometidas lidera como causa raiz dos incidentes, representando 41% dos casos. Mesmo com os alertas recorrentes, muitas empresas ainda subestimam a autenticação multifator e o controle de acesso a serviços críticos.
Pequenas e médias empresas estão entre as mais vulneráveis, pois muitas não contam com equipes especializadas nem infraestrutura para detectar atividades anômalas. Nesses casos, a velocidade do ataque se traduz diretamente em prejuízo — seja em dados, reputação ou continuidade dos negócios.
Há, porém, uma boa notícia. O tempo médio de permanência dos criminosos dentro dos sistemas caiu pela metade: de quatro para dois dias. Isso se deve, em grande parte, à popularização dos serviços de Detecção e Resposta Gerenciada (MDR). Segundo o relatório, incidentes analisados por equipes de MDR tiveram resposta ainda mais rápida: três dias em casos de ransomware e apenas um dia em ataques sem esse tipo de ameaça.
Outro fator importante é o comportamento estratégico dos atacantes. Eles não agem de forma aleatória: estudam, esperam e executam ações cirúrgicas — muitas vezes durante a madrugada. O relatório mostra que 83% dos arquivos maliciosos foram lançados fora do horário comercial.
Nesse novo cenário, o combate ao crime cibernético exige uma mudança de mentalidade. Segurança da informação não pode mais ser vista como um gasto pontual ou uma solução reativa. É um processo contínuo, que envolve atualização de ferramentas, integração de sistemas e, sobretudo, a consciência de que o maior risco pode estar dentro da rede, disfarçado como um usuário legítimo.
O futuro da cibersegurança pertence a quem compreende que prevenção e resposta são igualmente essenciais — e que, diante de ataques cada vez mais rápidos e sofisticados, cada segundo conta.
