Créditos: Divulgação
16-06-2026 às 14h30
Direto da Redação*
A vulnerabilidades de software e abuso de credenciais continuam sendo os principais caminhos utilizados por invasores para comprometer empresas brasileiras. É o que mostra o Panorama do Risco Cibernético 2026, da Vultus, que analisou 132 organizações distribuídas em 11 setores da economia.
Segundo o levantamento, falhas de software responderam por 45,2% dos comprometimentos observados em simulações de ataque conduzidas pela consultoria, enquanto o abuso de credenciais representou 26,2% dos casos. Juntos, esses dois vetores concentraram 71,4% dos acessos obtidos pelos atacantes.
A pesquisa foi construída a partir de Red Team Assessments, avaliações que simulam ataques reais para identificar como invasores conseguem entrar em ambientes corporativos, quais fragilidades exploram e até onde conseguem avançar após o comprometimento inicial.
Além de vulnerabilidades de software e credenciais comprometidas, os resultados apontam engenharia social como origem de 14,3% dos casos analisados, seguida por problemas de configuração (7,1%), comprometimento da cadeia de suprimentos (4,8%) e ameaça interna (2,4%).
Ao aprofundar a análise, o estudo identificou que 85% das vulnerabilidades de software exploradas estavam relacionadas a falhas de autenticação e autorização. Já no abuso de credenciais, o padrão predominante foi o uso de credenciais vazadas, responsável por 68,7% dos casos, seguido por sessões comprometidas por infostealers (23,8%) e credenciais padrão ou facilmente inferíveis (7,5%).
Os dados indicam que o comprometimento dos ambientes corporativos continua ocorrendo, na maior parte das vezes, por meio da exploração de controles básicos mal implementados, identidades expostas e falhas já conhecidas.
A engenharia social também segue desempenhando papel relevante. Embora represente uma parcela menor dos vetores observados, o estudo aponta que ela funciona como multiplicadora da eficácia de outros ataques. Em todos os casos classificados nessa categoria, o comprometimento ocorreu por phishing, incluindo cenários de sequestro de sessão capazes de contornar mecanismos de autenticação multifator (MFA) em ambientes com Single Sign-On (SSO).
Nas campanhas simuladas por e-mail, os resultados chamam atenção: a cada 34 pessoas que abrem uma mensagem de phishing, três acabam fornecendo credenciais ou chaves de acesso válidas.
O levantamento também identificou fragilidades operacionais recorrentes que ampliam a exposição das organizações. Em 38,1% das simulações foram encontrados ambientes em nuvem sem MFA habilitado; em 35,7%, ataques de password spraying obtiveram sucesso; em 23,8%, foi possível obter acesso a VPN em contexto 100% black box; e, em 21,4% dos casos, infostealers tiveram papel determinante no comprometimento inicial.
Para os pesquisadores da Vultus, os resultados reforçam que o risco continua associado menos à sofisticação dos ataques e mais à repetição de fragilidades conhecidas. O estudo aponta um I&E Index médio de 7,57, em uma escala de 0 a 10, indicando que a obtenção de acesso continua viável com esforço relativamente baixo quando há combinação entre exposição, identidade fragilizada e falhas técnicas.
“O ataque, na maior parte das vezes, não começa pelo extraordinário. Começa pelo que ficou aberto, mal configurado, mal autenticado e mal priorizado. O dado mais incômodo do Panorama é que o básico ainda segue negligenciado em escala”, afirma Rodrigo Gava, CTO e Board Member da Vultus.
Os resultados indicam que o principal desafio das organizações continua sendo a execução. Mesmo com maior investimento em segurança, vulnerabilidades conhecidas, credenciais expostas e falhas de configuração seguem oferecendo caminhos viáveis para comprometimento dos ambientes corporativos.
Sobre a VULTUS:
A Vultus é uma consultoria brasileira de cibersegurança que atua ao lado de organizações estratégicas na proteção de ambientes críticos e na redução de riscos com impacto direto sobre o negócio. Com mais de uma década de atuação, a empresa combina visão executiva, profundidade técnica e conhecimento regulatório para apoiar médias e grandes organizações em frentes como Gestão de Vulnerabilidades e Exposição, Segurança Ofensiva, SOC & Threat Intelligence e GRC.
A companhia nasceu da união entre a GC Security e a Trust/Falconi e adota uma abordagem orientada a risco, com postura de adversário e forte conexão com a agenda de negócios. Reconhecida no ISG Provider Lens™ Cybersecurity Brazil 2025, a Vultus se destaca em categorias relacionadas à gestão de vulnerabilidades e serviços de segurança, consolidando sua presença entre os provedores mais relevantes do setor no país. Saiba mais: https://www.vultuscyber.com.br/
