De 48 minutos para 4: o novo ritmo dos invasores
Em fevereiro de 2026, a ReliaQuest publicou seu Annual Cyber-Threat Report com um dado que deveria tirar o sono de qualquer gestor de infraestrutura: o tempo medio entre o comprometimento inicial e a movimentacao lateral dentro da rede — o chamado breakout time — caiu para 34 minutos em 2025. E uma queda de 29% em relacao ao ano anterior, quando a media era de 48 minutos.
Mas o numero que realmente assusta e o recorde: 4 minutos. Esse foi o menor breakout time registrado pela empresa, 85% mais rapido que o melhor caso de 2024 (27 minutos). Para completar, a exfiltracao mais rapida levou apenas 6 minutos — contra 4 horas e 29 minutos no ano anterior.
A explicacao curta: inteligencia artificial e automacao entraram de vez no arsenal ofensivo. Segundo o relatorio, 80% dos grupos de ransomware ja utilizam alguma forma de IA ou automacao em suas operacoes.
Como a IA turbinou o lado ofensivo
O ganho de velocidade nao vem de um unico truque. A IA esta sendo aplicada em varias etapas da cadeia de ataque:
- Reconhecimento automatizado — varredura de perfis em redes sociais, sites corporativos e bases de dados publicas para identificar alvos de alto valor em minutos, nao dias.
- Engenharia social sob medida — geracao de roteiros convincentes, e-mails de phishing e scripts de vishing personalizados para cada vitima. Um em cada quatro ataques analisados usou engenharia social como vetor de acesso inicial.
- Distribuicao de malware via ClickFix — a tecnica respondeu por 59% da entrega das principais familias de malware. Combinada com IA, a taxa de sucesso sobe porque as iscas parecem mais legitimas.
O resultado pratico e que os atacantes nao precisam mais “arrombar a porta”. Eles entram com credenciais validas, se misturam ao trafego normal e usam ferramentas legitimas da propria infraestrutura da vitima. Para o time de defesa, isso significa que buscar um unico indicador de comprometimento ja nao funciona — e preciso correlacionar comportamento entre usuarios, endpoints e ambientes de nuvem.
As mesmas falhas basicas, ano apos ano
O relatorio da ReliaQuest traz outra constatacao incomoda: as brechas mais exploradas em 2025 sao, em grande parte, as mesmas de 2024. Os controles de seguranca que mais falharam foram:
- Logging insuficiente — ataques passam despercebidos porque simplesmente nao ha registros para investigar.
- Dispositivos nao gerenciados — endpoints sem protecao ou agentes de monitoramento criam caminhos abertos pela rede.
- VPNs sem MFA — acesso remoto protegido apenas por senha e um convite aberto para credenciais roubadas.
- Exposicao externa — vulnerabilidades em ativos voltados para a internet exploradas de forma automatizada.
- Processos frageis de help-desk — engenharia social contra equipes de suporte que nao verificam identidade de forma robusta.
- Politicas de senha fracas — senhas reutilizadas, sem rotacao e com lacunas em MFA. Esta foi a novidade do relatorio de 2025.
Cinco dessas seis falhas ja haviam sido apontadas no relatorio anterior. Ou seja: os atacantes continuam explorando o mesmo basico porque as empresas continuam nao corrigindo.
O que isso significa para equipes de TI no Brasil
Para empresas brasileiras de medio porte — o perfil tipico que opera com equipes enxutas de infraestrutura e seguranca — os dados do relatorio sao um alerta direto. Muitas organizacoes no Brasil ainda tratam monitoramento como “ter um Zabbix instalado” sem tuning de alertas, operam VPNs legadas sem autenticacao multifator e mantem politicas de senha que nao resistem a um ataque de forca bruta basico.
Num cenario em que o breakout time pode ser de 4 minutos, resposta manual nao e mais viavel como estrategia primaria. O proprio relatorio destaca que a resposta manual a incidentes leva, em media, 16 horas sem automacao. Ja equipes que adotam IA agentica para investigacao e contencao conseguem um tempo medio de 4 minutos — compativel com a velocidade dos atacantes.
Isso nao significa que toda empresa precise de uma plataforma de IA de milhoes de dolares. Significa que o investimento em fundamentos — logging centralizado com retencao adequada, gestao de ativos com visibilidade total, MFA em todos os acessos remotos, SIEM ou SOAR com regras de correlacao bem calibradas — deixou de ser “boas praticas” e virou pre-requisito de sobrevivencia.
A LGPD tambem entra na equacao: com exfiltracao em 6 minutos, a janela para detectar e conter um vazamento antes que dados pessoais saiam da rede e praticamente inexistente sem automacao. O custo de uma notificacao a ANPD e aos titulares, somado ao dano reputacional, torna o investimento em deteccao e resposta automatizada muito mais barato do que a alternativa.
O que observar daqui em diante
A tendencia e clara: a IA vai continuar comprimindo os tempos de ataque. Para 2026, vale acompanhar tres frentes. Primeiro, a evolucao das tecnicas de engenharia social assistida por IA — os ataques de vishing (phishing por voz) contra help-desks devem crescer, e processos de verificacao de identidade precisam ser revisados. Segundo, a adocao de IA defensiva que va alem de playbooks estaticos, com capacidade de adaptacao ao ambiente especifico da organizacao. Terceiro, a pressao regulatoria: a ANPD ja sinalizou que espera controles proporcionais ao risco, e breakout times de minutos tornam a falta de monitoramento automatizado cada vez mais dificil de justificar em caso de incidente.
“IA agentica permite que organizacoes migrem para seguranca preditiva — analisando grandes volumes de inteligencia de ameacas, agentes podem adaptar essa inteligencia ao ambiente unico de cada cliente e fechar brechas antes que um atacante as explore.” — Mike McPherson, SVP de Operacoes GreyMatter na ReliaQuest
Quatro minutos e pouco tempo para reagir. Mas e tempo suficiente para quem ja fez o dever de casa.