O Brasil concentrou 84% dos ataques cibernéticos detectados na América Latina em 2025. Mas o número que deveria preocupar os CIOs não está no relatório da Fortinet — está na dimensão de Segurança do IMTIBR.
Em março de 2026, a Fortinet publicou os números do primeiro semestre de 2025: 314,8 bilhões de tentativas de ataque cibernético contra alvos brasileiros. O Brasil respondeu por 84% de tudo que foi detectado na América Latina e no Canadá juntos. A reação natural é de espanto. A reação correta é de diagnóstico.
Porque o volume de ataques não é o problema. Ataques acontecem, vão continuar acontecendo e crescer. O problema real está na capacidade das organizações de resistir a eles. E aí os números ficam mais incômodos: no mesmo período, 98% das contas em nuvem de empresas brasileiras operavam sem autenticação multifator. 91% com privilégios excessivos.
Esses dois números revelam algo que 314 bilhões de ataques apenas confirma: o Brasil não tem problema de ameaça externa. Tem problema de prática básica interna não consolidada.
A dimensão SEG do IMTIBR avalia práticas como gestão de acessos, política de segurança formalizada, gestão de vulnerabilidades, resposta a incidentes e conscientização de usuários. São os fundamentos. Não o Zero Trust, não o SOC com IA, não a detecção comportamental avançada. Os fundamentos.
É justamente essa dimensão que registra um dos índices mais baixos entre as seis que o IMTIBR avalia. O padrão que emerge das organizações participantes é consistente: a segurança existe como intenção mas não como processo. Há política de senha em algum documento. Não há revisão periódica de acessos. Há antivírus instalado. Não há gestão de vulnerabilidades com ciclo definido.
Isso não é surpresa para quem acompanha incidentes reais. A análise dos principais ataques de 2025 no Brasil — o desvio de R$ 800 milhões via fornecedor do sistema Pix, os ransomwares em prefeituras, o acesso não autorizado a dados de 30 milhões de clientes do Neon — todos têm em comum a exploração de falhas básicas: credenciais válidas comprometidas, acessos sem controle adequado, fornecedores terceiros sem governança de segurança.
Ou seja: os atacantes não precisam ser sofisticados quando as defesas básicas não estão em lugar. E no Brasil, em larga escala, não estão.
Uma pesquisa da Grant Thornton Brasil e Opice Blum Advogados mostrou que 79% das empresas acreditam estar mais expostas a ataques cibernéticos por conta da evolução tecnológica. Mas apenas 44% têm a alta administração envolvida no tema.
Esse é o nó. Quando segurança é tema exclusivo de TI, ela compete com projetos de transformação digital, com demandas de operação, com orçamento que o CEO considera custo e não investimento. As práticas básicas ficam para depois. Depois vira nunca.
O setor financeiro foi o mais atingido por ciberataques de alto impacto em 2025, seguido por saúde, telecomunicações e órgãos governamentais. Todos setores que processam volumes enormes de dados sensíveis e dependem de sistemas críticos. Todos setores onde a segurança deveria ser pauta de conselho — e em muitos casos ainda é pauta de uma reunião de TI que ninguém da diretoria participa.
O relatório ISG sobre analytics e IA no Brasil identificou um padrão nas organizações que conseguem avançar com segurança digital: elas têm processos maduros de qualidade e governança de dados estabelecidos antes de implementar soluções avançadas. Organizações com essa base demonstram taxas de adoção de IA entre 20% e 50% superiores em todos os casos de uso.
A lógica vale para segurança também. Não existe proteção avançada construída sobre gestão básica fraca. Zero Trust não funciona em ambiente onde não há controle de identidade. Detecção comportamental não ajuda quando os alertas básicos estão sendo ignorados por falta de processo de resposta.
O caminho não é complexo. Revisão periódica de acessos. Autenticação multifator sem exceção. Gestão de vulnerabilidades com ciclo definido. Política de segurança que sai do documento e entra no processo. Conscientização que vai além do e-mail anual de compliance. São práticas que existem há décadas, estão documentadas em qualquer framework, e ainda assim não foram consolidadas na maioria das organizações brasileiras avaliadas pelo IMTIBR.
O IMTIBR avalia práticas de segurança em 5 categorias: política formal de segurança, gestão de acessos e identidade, gestão de vulnerabilidades, resposta a incidentes e conscientização de usuários. Cada prática é avaliada em escala de 0 a 5.
A dimensão SEG está entre as mais baixas no índice geral das organizações brasileiras avaliadas — reflexo direto da falta de consolidação de práticas básicas que qualquer framework de segurança recomenda como ponto de partida.
Contribua com o índice e veja onde sua organização está: imtibr.com
Os 314 bilhões de ataques vão continuar. Provavelmente crescer. A questão não é parar os ataques — é estar em condição de resistir à maioria deles com práticas que já existem e estão documentadas há décadas. O que o IMTIBR mede é exatamente o quanto essa condição está ou não consolidada nas organizações brasileiras. O resultado atual diz que ainda há muito trabalho básico a fazer.
Fontes:
Fortinet FortiGuard Labs — Relatório de Ameaças América Latina, 1º semestre 2025 (março de 2026).
Grant Thornton Brasil / Opice Blum Advogados — Pesquisa sobre exposição a ataques cibernéticos (2025).
Society Segurança de Dados — O que 2025 ensinou às empresas sobre segurança digital (dezembro de 2025).
ISG Provider Lens — Advanced Analytics and AI Services 2025, Brasil (janeiro de 2026).
OBlock — Principais ataques cibernéticos no Brasil em 2025 (abril de 2026).
Daniel Cunha é executivo de tecnologia e fundador do IMTIBR (imtibr.com). Contato: contato@imtibr.com