EXCLUSIVO – Pouco visível à primeira vista, o ataque não envolveu códigos sofisticados escondidos em servidores obscuros nem falhas inéditas em sistemas críticos. O vetor foi mais banal e, justamente por isso, mais preocupante: ferramentas amplamente utilizadas no ambiente corporativo, como planilhas online. No dia 25 de fevereiro, o Google interrompeu o ataque de um grupo hacker chinês conhecido como UNC2814, ou Gallium, que utilizava esse tipo de recurso como canal de comando para espionagem e acesso a dados de operadoras no Brasil, trouxe à tona uma mudança relevante no padrão das ameaças digitais.
Mais do que um episódio isolado, o caso evidencia uma transformação estrutural dentro as corporações, no qual o risco cibernético deixou de estar restrito a vulnerabilidades técnicas específicas e passou a explorar, de forma crescente, a própria lógica operacional interna.
Na prática, o que se observa é um deslocamento do ataque para dentro da rotina corporativa. Ferramentas legítimas, processos cotidianos e fluxos internos tornam-se parte da superfície de exposição. Isso amplia a complexidade da defesa e impõe um novo patamar de exigência em governança, controles e gestão de risco.
Esse cenário ajuda a explicar por que, mesmo com o avanço das práticas de segurança, a percepção de preparo das empresas ainda convive com fragilidades relevantes. Segundo levantamento da WTW, 65% das organizações afirmam estar preparadas para lidar com incidentes cibernéticos, um avanço em relação ao ano anterior. Ainda assim, 35% admitem não estar prontas para enfrentar esse tipo de evento. A aparente confiança contrasta com a natureza dos riscos mais citados pelas próprias empresas. Ataques de phishing e engenharia social lideram as preocupações (54%), seguidos por ransomware (46%) e fragilidades estruturais nos sistemas de segurança (32%). Em comum, todos exploram menos a tecnologia em si e mais falhas humanas, processos e integração entre sistemas. “Embora o número de empresas que se consideram preparadas tenha crescido, ainda existe uma parcela relevante que não está pronta para enfrentar incidentes cibernéticos, o que evidencia um gap importante entre percepção e realidade”, afirma Ana Alburquerque, diretora de Linhas Financeiras da WTW.
Essa assimetria entre percepção e realidade também é observada pelo mercado segurador. “As ameaças digitais evoluem usando recursos que fazem parte do dia a dia das empresas. Quando uma ferramenta legítima se torna vetor de ataque, o desafio não aumenta apenas para a seguradora, mas para todo o ecossistema”, afirma Caroline Ayub, diretora de Riscos Financeiros da Tokio Marine Seguradora. Segundo ela, esse tipo de incidente não deve ser interpretado apenas como aumento de risco, mas como um sinal claro da necessidade de evolução dos modelos de proteção. “Mais do que enxergar esses casos como um agravamento do risco, vemos como uma oportunidade de apoiar os clientes com orientação, boas práticas e um seguro que agregue suporte técnico e financeiro em um ambiente digital cada vez mais dinâmico”, diz.
A sofisticação dos ataques não está necessariamente na complexidade do código, mas na capacidade de explorar fragilidades estruturais das organizações. Cadeias de fornecedores extensas, dependência de terceiros, integração entre sistemas e falhas de governança ampliam o potencial de impacto de um incidente. Dados recentes mostram a dimensão desse avanço. Em 2025, a média global de ataques cibernéticos chegou a 1.984 por organização por semana. Na América Latina, esse número foi ainda maior, atingindo 2.803 ataques semanais, com o Brasil concentrando parcela relevante das ocorrências.
Casos emblemáticos reforçam esse movimento. O ataque à C&M Software, que resultou no vazamento de centenas de gigabytes de dados e prejuízo estimado superior a R$ 1 bilhão, evidenciou como vulnerabilidades em terceiros podem comprometer toda uma cadeia operacional. Esse padrão se repete em escala global. Incidentes envolvendo empresas de varejo, tecnologia e infraestrutura crítica mostram que, mesmo organizações com alto nível de investimento em segurança, continuam expostas quando há falhas em governança ou integração. Para Marta Schuh, diretora de Seguros Cibernéticos e Tecnológicos da Howden Brasil, o ponto central é que o risco deixou de ser delimitado. “Hoje, a vulnerabilidade não está apenas dentro da empresa. Ela pode estar em fornecedores, parceiros ou até em ferramentas legítimas que fazem parte da operação. Isso exige uma visão ampliada de risco, que considere toda a cadeia digital”, afirma.
Ou seja, esse movimento reforça a necessidade de mudança de mentalidade. “O risco cibernético precisa ser tratado como risco de negócio. Quando um incidente ocorre, ele não afeta apenas sistemas, mas ele impacta receita, operação, reputação e, em muitos casos, a própria continuidade da empresa”, diz.
Governança ainda é ponto crítico no Brasil
Apesar do avanço na percepção de risco, o nível de maturidade das empresas brasileiras ainda é desigual. Em muitos casos, a segurança cibernética continua concentrada nas áreas técnicas, sem o devido envolvimento da alta liderança. Na América Latina, 42% das empresas ainda deixam a gestão do risco cibernético sob responsabilidade direta da área de TI, um percentual significativamente superior à média global. Apenas 26% contam com participação efetiva de conselhos e CEOs no tema. “No Brasil e na América Latina, a gestão dos riscos cibernéticos ainda está muito concentrada nas áreas de TI, o que mostra que a alta liderança ainda não está plenamente engajada com o tema”, afirma Ana Alburquerque.
Essa lacuna de governança tende a ganhar relevância com o fortalecimento da atuação regulatória no país. A evolução institucional da Autoridade Nacional de Proteção de Dados (ANPD) indica um movimento de maior fiscalização e cobrança sobre práticas de segurança e proteção de dados.
Com isso, a tendência é que a gestão do risco cibernético deixe de ser apenas uma questão operacional e passe a integrar de forma mais direta a agenda estratégica das empresas — incluindo implicações para administradores e conselhos. “Existe uma relação direta entre falhas de governança em cibersegurança e possíveis desdobramentos em apólices de D&O”, afirma Ayub. “Quando a empresa não estrutura adequadamente seus processos, aumenta a possibilidade de responsabilização dos administradores, especialmente em incidentes com impacto relevante”.
Na avaliação de Marta Schuh, esse avanço regulatório deve alterar o comportamento das empresas. “Com uma atuação mais consistente da ANPD, as organizações passam a reconhecer a necessidade de aprimorar seus modelos de gestão de risco, com controles mais robustos e processos estruturados de prevenção e resposta”, afirma. Esse movimento também impulsiona uma mudança cultural. “A proteção de dados deixa de ser apenas uma obrigação legal e passa a ser um componente estratégico de governança e resiliência operacional”, acrescenta.
Ao mesmo tempo, cresce a preocupação com possíveis desdobramentos para administradores. “Existe uma relação direta entre falhas de governança em cibersegurança e possíveis impactos em apólices de D&O”, afirma Caroline Ayub. “Se houver prejuízos relevantes, a responsabilização pode alcançar executivos e conselhos”, complementa.
Entre percepção e realidade, o desafio é estrutural
Nesse novo contexto, o seguro cibernético vem deixando de ser visto apenas como proteção financeira para assumir um papel mais amplo dentro da gestão de risco. A própria demanda reflete essa mudança. Mais da metade das empresas já possui seguro cyber, e outras 18% pretendem contratar a cobertura nos próximos dois anos. O movimento, segundo especialistas, está diretamente ligado à percepção de que ataques não são mais uma possibilidade remota. “A contratação do seguro não está mais associada apenas a exigências contratuais ou regulatórias. Ela reflete um entendimento mais amplo de que incidentes cibernéticos são eventos praticamente inevitáveis no ambiente digital atual”, afirma Marta Schuh.
Além da indenização, as apólices passaram a incorporar serviços especializados de resposta a incidentes, incluindo forense digital, gestão de crise, assessoria jurídica e comunicação — elementos que, na prática, são determinantes para reduzir o impacto de um evento. “A resposta precisa ser rápida e coordenada. Ter acesso imediato a especialistas faz diferença na contenção do incidente e na preservação da operação”, destaca Caroline Ayub.
Outro ponto relevante é a evolução das coberturas. O mercado já começa a incorporar proteções mais sofisticadas, como danos físicos decorrentes de ataques digitais e perdas associadas a fraudes em transações financeiras, reflexo direto da convergência entre riscos digitais e operacionais. Ainda assim, especialistas alertam que o seguro não substitui a gestão de risco. “O seguro é uma camada essencial de proteção, mas ele não elimina a necessidade de governança, controles e investimento contínuo em segurança”, reforça Schuh.
Apesar dos avanços, o mercado ainda convive com um descompasso importante entre percepção de preparo e nível real de exposição. Muitas empresas seguem investindo em ferramentas, mas sem estruturar governança, processos e cultura de segurança.
Esse modelo, segundo especialistas, é insuficiente diante da sofisticação atual das ameaças. Ataques baseados em engenharia social, exploração de terceiros e uso de ferramentas legítimas tornam a defesa mais complexa e menos dependente apenas de tecnologia. Na prática, o impacto de um incidente também é frequentemente subestimado. Embora multas regulatórias recebam grande atenção, custos associados à paralisação operacional, investigação forense e reconstrução de sistemas tendem a representar a maior parte das perdas financeiras. Esse cenário reforça a necessidade de uma abordagem integrada, combinando prevenção, resposta e transferência de risco.
A consolidação desse cenário marca uma mudança definitiva no papel do risco cibernético dentro das organizações. Ele deixa de ser um evento eventual e passa a ser parte inerente da operação.
A combinação de inteligência artificial, automação e integração global ampliou a superfície de ataque e reduziu o tempo de resposta disponível. Ao mesmo tempo, elevou o potencial de impacto financeiro e reputacional. O episódio recente envolvendo o uso de ferramentas legítimas como vetor de ataque sintetiza esse novo momento. Não se trata apenas de uma falha pontual, mas de um indicativo de que a segurança precisa ser pensada de forma transversal, integrada à estratégia de negócio.
Para o mercado segurador, o movimento é claro: o seguro cyber tende a se consolidar como componente central da arquitetura de gestão de riscos. Para as empresas, o desafio é ainda maior. Em um ambiente em que o ataque pode partir da própria rotina operacional, a resiliência deixou de ser diferencial e passou a ser condição básica de sobrevivência. “O risco cibernético hoje não está mais restrito aos sistemas. Ele está na operação, nas pessoas e em toda a cadeia de parceiros”, afirma Marta Schuh. “As empresas que entenderem isso e tratarem segurança como parte do negócio e não como suporte, serão as mais preparadas para enfrentar o que vem pela frente”, conclui.
Nicholas Godoy
