De forca bruta a exploracao de confianca
A Cloudflare publicou seu primeiro relatorio anual de ameacas, baseado na analise de trilhoes de sinais de rede processados ao longo de 2025. A conclusao central e preocupante: atacantes nao estao mais tentando arrombar a porta — estao entrando com a chave. A era da forca bruta esta dando lugar a um modelo de exploracao de alta confianca, onde o que importa e a eficiencia operacional de cada tecnica.
A equipe de inteligencia Cloudforce One identificou 8 tendencias que vao definir o cenario de ameacas em 2026. Os numeros falam por si:
- 94% de todas as tentativas de login agora vem de bots automatizados
- 63% dos logins utilizam credenciais ja comprometidas em vazamentos anteriores
- Ataques DDoS hiper-volumetricos cresceram 700%, com recorde de 31.4 Tbps
- 46% dos emails analisados falharam na verificacao DMARC
As 8 tendencias que definem 2026
O relatorio organiza as ameacas em torno do conceito de MOE (Measure of Effectiveness) — a metrica que atacantes usam para decidir o que explorar. A logica e fria: por que gastar com um zero-day caro quando um token de sessao roubado tem eficiencia maior?
1. IA automatizando operacoes de ataque: atores de ameaca usam IA generativa para mapeamento de rede em tempo real, desenvolvimento de exploits e criacao de deepfakes. Isso habilita atacantes de baixa habilidade a conduzir operacoes de alto impacto.
2. Pre-posicionamento de estado-nacao: grupos chineses como Salt Typhoon e Linen Typhoon estao se infiltrando em telecomunicacoes norte-americanas, ancorando presenca para alavancagem geopolitica de longo prazo.
3. Integracoes SaaS com privilegios excessivos: uma unica API comprometida pode cascatear para centenas de ambientes corporativos distintos, como demonstrado pela brecha GRUB1 no Salesloft.
4. Ferramentas cloud legitimas como vetor de ataque: atacantes usam Google Calendar, Dropbox e GitHub para camuflar acoes maliciosas dentro de trafego corporativo legitimo — o conceito de “living off the land” aplicado a servicos SaaS.
5. Deepfakes infiltrando folhas de pagamento: a Coreia do Norte operacionalizou o esquema de trabalhadores remotos de TI, usando deepfakes e identidades fraudulentas para inserir operativos em empresas ocidentais.
6. Roubo de tokens neutralizando MFA: infostealers como o LummaC2 colhem tokens de sessao ativos, permitindo que atacantes contornem autenticacao multifator e acessem diretamente acoes pos-autenticacao. Esta e uma das tendencias mais criticas para empresas que confiavam que MFA era suficiente.
7. Spoofing interno de marca via relay: bots de phishing-as-a-service exploram um ponto cego em servidores de email que nao re-verificam a identidade do remetente, permitindo falsificacao de marcas confiaveis direto na caixa de entrada.
8. DDoS hiper-volumetrico esgotando capacidade: botnets como o Aisuru estao quebrando recordes regularmente, reduzindo a janela de resposta humana a praticamente zero.
O que isso significa na pratica
Para times de seguranca de medias empresas brasileiras, o relatorio traz licoes concretas. O numero de 94% de logins originados de bots significa que, se voce nao tem protecao contra credential stuffing e nao monitora tentativas de login anomalas, sua superficie de ataque e muito maior do que imagina.
O dado sobre 63% das credenciais ja comprometidas reforeca a importancia de monitoramento de vazamentos (breach monitoring) e politicas de rotacao de senhas. E o roubo de tokens de sessao contornando MFA e um alerta para quem acreditava que a autenticacao multifator era a ultima linha de defesa.
Medidas praticas que o relatorio implica:
- Implementar deteccao de session hijacking — MFA sozinho nao basta; monitore anomalias de sessao como mudanca de IP ou fingerprint de dispositivo
- Configurar DMARC, DKIM e SPF — quase metade dos emails falham em verificacao basica; proteger o dominio corporativo contra spoofing e obrigacao
- Auditar integracoes SaaS de terceiros — revisar permissoes de APIs e aplicar principio do menor privilegio em integradores como Salesforce, HubSpot e ferramentas de CI/CD
- Monitorar trafego para servicos cloud legitimos — conexoes a Google Drive, Dropbox e GitHub dentro do ambiente corporativo precisam de visibilidade, nao so de permissao
O cenario que a Cloudflare descreve e de uma profissionalizacao dos ataques. Os adversarios mais perigosos de 2026 nao sao os que tem o codigo mais sofisticado — sao os que integram inteligencia e tecnologia num sistema continuo que atinge seu objetivo no menor tempo possivel. E a melhor defesa contra eficiencia e resiliencia operacional: camadas de protecao, visibilidade real e resposta rapida.