Era 22h47 de uma terça-feira quando o sistema de autenticação de uma das maiores redes de varejo do Brasil simplesmente parou de responder. Não foi uma falha técnica comum — foi o início de um ataque coordenado que misturava invasão digital, campanha de desinformação nas redes sociais e pressão sobre fornecedores estratégicos ao mesmo tempo. Em menos de quatro horas, os atacantes haviam criptografado arquivos de três data centers regionais e já circulavam prints falsos nas redes sociais afirmando que a empresa estava “falida”. O prejuízo estimado ultrapassou oito dígitos antes do amanhecer.
Esse caso — que não é isolado nem exagerado — expõe algo que a maioria das empresas brasileiras ainda não entendeu de verdade: o problema não é a falta de tecnologia de segurança, é a incompreensão do que é um ataque moderno. Muita empresa compra firewall de última geração, contrata antivírus corporativo e acha que tá protegida. Mas a guerra híbrida não bate na porta da frente. Ela entra pela janela dos fundos — que geralmente é o WhatsApp do supervisor de logística, o e-mail do contador terceirizado ou o sistema legado que ninguém atualiza porque “sempre funcionou assim”.
1. O que “guerra híbrida” significa na prática brasileira
O conceito vem da doutrina militar: guerra híbrida é a combinação de ações convencionais e não convencionais — espionagem, sabotagem, desinformação, pressão econômica — aplicadas de forma simultânea e coordenada. No contexto corporativo brasileiro, isso se traduz em ataques que raramente são só técnicos.
Um grupo adversário bem organizado não vai simplesmente lançar um ransomware e esperar. Vai fazer isso enquanto espalha rumores falsos sobre a empresa no Twitter, enquanto aciona reclamações em massa no Reclame Aqui via bots, e enquanto tenta subornar ou pressionar algum funcionário interno. Tudo ao mesmo tempo. A equipe de TI tenta conter a invasão, a equipe de comunicação entra em colapso tentando desmentir notícias falsas, e o RH não sabe o que dizer pros funcionários. É uma tempestade de múltiplas frentes — e a maioria das empresas só tem guarda-chuva pra uma delas.
Levantamentos do setor de cibersegurança apontam que o Brasil está entre os países mais atacados da América Latina, recebendo dezenas de milhões de tentativas de ataque por semana contra infraestruturas corporativas e governamentais. Parte expressiva desses ataques envolve componentes de engenharia social — ou seja, manipulação de pessoas, não só de sistemas.
2. A porta de entrada que ninguém vigia: o fornecedor de segundo nível
Aqui vai um detalhe que a maioria dos manuais de segurança ignora: o atacante raramente invade a empresa grande diretamente. Ele invade o fornecedor pequeno que tem acesso ao sistema da empresa grande.
Pensa num banco nacional de médio porte. Ele tem uma equipe de segurança decente, auditorias periódicas, certificações. Mas ele terceiriza o sistema de gestão de benefícios dos funcionários pra uma empresa de RH com 40 pessoas em São Paulo. Essa empresa de RH usa um servidor com Windows Server 2016 sem atualização desde 2022, porque o contrato de manutenção venceu e ninguém renovou. É por ali que o ataque entra.
Esse modelo — chamado de ataque à cadeia de suprimentos, ou supply chain attack — foi o vetor de alguns dos ataques mais devastadores dos últimos anos globalmente. No Brasil, ele encontra terreno fértil porque a terceirização é enorme e o nível de exigência de segurança nos contratos com fornecedores é, na maioria das vezes, nulo ou decorativo.
Já vi contrato de prestação de serviço de TI com cláusula de “confidencialidade de dados” que ocupava dois parágrafos, enquanto a cláusula de multa por atraso na entrega tinha quatro páginas. A empresa sabe cobrar prazo. Não sabe cobrar segurança.
3. Engenharia social: o ataque que começa no LinkedIn
Outro vetor subestimado pelas empresas brasileiras é a engenharia social via redes profissionais. Um atacante bem treinado passa semanas mapeando o organograma de uma empresa pelo LinkedIn antes de qualquer linha de código malicioso ser escrita.
Ele identifica quem é o gerente de TI, quem é o analista júnior que provavelmente tem menos treinamento, quem acabou de ser promovido e pode estar mais ansioso pra mostrar resultado. Aí manda uma mensagem se passando por um recrutador, ou por um fornecedor de software, ou até por um colega de setor. A conversa parece legítima. O link enviado parece legítimo. O arquivo parece legítimo.
Em ambientes corporativos brasileiros, há um agravante cultural: a hierarquia. Quando o atacante finge ser alguém de posição superior — um diretor, um sócio, um auditor externo — o funcionário tende a executar a instrução sem questionar. Não por ingenuidade, mas por condicionamento. “O diretor pediu, eu faço.” Esse reflexo é explorado de forma sistemática.
4. O que não funciona — e por que tanta empresa insiste nisso
Preciso ser direto aqui, porque essa seção importa mais do que qualquer lista de boas práticas.
- Treinamento anual de conscientização não funciona. Aquela apresentação de slides que o RH manda uma vez por ano com “dicas de segurança digital” tem eficácia perto de zero. As pessoas esquecem em 72 horas o que não praticam. Simulações de phishing recorrentes — onde a própria empresa manda e-mails falsos pra ver quem clica — funcionam muito melhor, mas a maioria das empresas evita porque “constrange os funcionários”.
- Conformidade não é segurança. Ter a certificação ISO 27001 ou estar em conformidade com a LGPD não significa que você tá protegido. Significa que você tem documentação. Atacante nenhum parou na porta porque viu um certificado na parede. A certificação é necessária — mas ela olha pra o passado, não pra a ameaça de amanhã.
- Terceirizar tudo pra um único provedor de segurança não resolve. Muitas empresas contratam um MSSP (provedor gerenciado de segurança) e acham que podem lavar as mãos. O problema é que o MSSP tem dezenas de clientes, e em caso de ataque simultâneo ou de incidente complexo, você pode não ser a prioridade deles. Segurança precisa de capacidade interna mínima — alguém que conhece o ambiente da empresa de dentro.
- Focar só em perímetro é estratégia de 2010. Firewall, antivírus, VPN — tudo isso ainda importa, mas a ideia de que existe um “dentro” seguro e um “fora” perigoso já não corresponde à realidade. Com trabalho remoto, dispositivos pessoais, SaaS e APIs de terceiros, o perímetro explodiu. A abordagem moderna — chamada de Zero Trust — parte do princípio de que qualquer usuário, em qualquer rede, pode estar comprometido.
5. Um caso aplicado: como uma empresa do setor financeiro reorganizou a resposta
Uma instituição financeira de médio porte — não um banco grande, mas uma fintech com operação nacional — sofreu um ataque de ransomware em 2024 que durou 11 dias até a contenção completa. Não vou citar o nome porque o caso foi tratado com sigilo, mas os detalhes foram compartilhados em um fórum fechado de profissionais de segurança do qual participei.
O que chama atenção não é o ataque em si — é o que veio depois. A empresa tinha plano de resposta a incidentes no papel. Mas quando o incidente aconteceu de verdade, às 3h da manhã de um sábado, ninguém sabia quem devia ligar pra quem. O gerente de TI estava de férias. O número do fornecedor de segurança no plano estava desatualizado. O backup existia, mas não tinha sido testado em oito meses — e parte dele estava corrompido.
Nos meses seguintes, a empresa fez algo que parece óbvio mas é raro: simulou o ataque de novo, do zero, com a equipe real. Testou o plano de comunicação. Testou o backup. Descobriu que o processo de restauração levava o dobro do tempo estimado. Corrigiu. Rodou de novo. Não é glamouroso, não tem nome bonito — é só treino repetido.
No segundo semestre de 2025, sofreram uma nova tentativa de invasão. Dessa vez, a equipe identificou o movimento lateral dentro de seis horas e conteve antes de qualquer dado ser comprometido. A diferença entre os dois episódios não foi tecnologia nova. Foi preparo.
6. A dimensão que a TI não consegue resolver sozinha: desinformação como arma
Existe um componente da guerra híbrida que o time de segurança da informação não tem como conter sozinho: a narrativa falsa espalhada em paralelo ao ataque técnico.
Quando uma empresa sofre um incidente grave, os atacantes — ou grupos aliados a eles — frequentemente começam a espalhar boatos nas redes: “fulano banco tá insolvente”, “empresa X vazou todos os dados dos clientes”, “o sistema deles tá fora há dias”. Mesmo que a empresa consiga conter o ataque técnico rapidamente, o dano de reputação pode durar semanas.
A resposta a isso exige que a área de comunicação e a de segurança trabalhem juntas — o que no Brasil ainda é exceção. Em muitas empresas, o CISO (responsável de segurança) e o diretor de comunicação mal se conhecem. Quando o incidente acontece, as áreas entram em conflito sobre o que comunicar, quando e como. Enquanto isso, o Twitter arde.
Ter um protocolo de comunicação de crise que inclua o componente de desinformação — quem fala, o que fala, em quanto tempo, por qual canal — é tão importante quanto ter um plano de recuperação técnica. E custa muito menos do que parece.
7. Três ações pequenas pra começar essa semana
Não adianta sair daqui com uma lista de 40 itens. Então vou pedir só três coisas — pequenas, concretas, que qualquer empresa pode fazer antes de sexta-feira.
Primeiro: pegue a lista de fornecedores que têm acesso aos seus sistemas — qualquer acesso, mesmo que seja só pra abrir chamados — e pergunte pra cada um quando foi a última atualização de segurança do ambiente deles. Não precisa de auditoria formal. Uma conversa de 15 minutos já revela muito.
Segundo: teste o seu plano de resposta a incidentes agora, em hipótese. Reúna as pessoas-chave e pergunte: “se hoje, às 2h da manhã, nosso sistema principal cair por ataque, quem liga pra quem? Qual é o número? Está atualizado?” Se a resposta demorar mais de dois minutos, você tem um problema que não é técnico.
Terceiro: mande um e-mail de phishing simulado pra sua equipe — existem ferramentas gratuitas e pagas pra isso — e veja quem clica. Não pra punir ninguém. Pra saber onde tá o gap real, não o gap imaginado. O resultado vai surpreender você. Sempre surpreende.
A guerra híbrida não avisa quando vai começar. Mas ela avisa — com meses de antecedência — onde estão as brechas. Basta ter coragem de olhar.
