# Relatório Sophos 2026: 67% dos Ataques Cibernéticos Agora Miram na Sua Identidade
## Introdução
O cenário de ameaças cibernéticas acabou de mudar — e a mudança é profunda. O **Relatório Sophos Active Adversary 2026**, um dos documentos mais respeitados na indústria de segurança, revelou um dado alarmante: **67% de todos os incidentes investigados tiveram como origem ataques relacionados à identidade**. Não são vulnerabilidades de software zero-day ou exploits sofisticados que estão dominando o panorama de ameaças. São credenciais roubadas, senhas fracas e a ausência de autenticação multifator.
John Shier, Field CISO da Sophos, resume a situação com clareza perturbadora: *”O dado mais preocupante do relatório vem sendo construído ao longo dos anos: a predominância de causas raiz relacionadas à identidade no acesso inicial bem-sucedido.”*
Se você ainda acha que sua empresa está protegida apenas com antivírus e firewalls, este artigo é um alerta necessário.
—
## O Que Está Acontecendo: A Nova Face do Cibercrime
### A Transição de Vulnerabilidades para Identidade
Historicamente, os ataques cibernéticos se concentravam na exploração de vulnerabilidades técnicas — falhas de software não corrigidas, sistemas desatualizados, configurações incorretas. O relatório da Sophos mostra uma inversão dramática dessa tendência:
| Método de Acesso Inicial | Percentual |
|————————–|————|
| Exploração de vulnerabilidades | 16% |
| Força bruta | 15,6% |
| **Ataques relacionados à identidade** | **67%** |
Os invasores estão migrando para o caminho de menor resistência. Por que gastar meses desenvolvendo exploits complexos quando uma senha roubada abre as portas em segundos?
### A Velocidade Assustadora dos Atacantes
Uma das descobertas mais preocupantes do relatório é a **redução drástica do tempo de permanência** dos invasores nas redes:
– **Tempo médio de permanência**: Caiu para apenas **3 dias**
– **Tempo para alcançar o Active Directory**: Após invasão inicial, atacantes chegam ao AD em média **3,4 horas**
Isso significa que, uma vez dentro, os criminosos se movem com velocidade impressionante. A janela de detecção e resposta está se fechando.
### O Horário de Trabalho dos Criminosos
Dados curiosos — e preocupantes — sobre o timing dos ataques:
– **88%** das cargas de ransomware são implantadas **fora do horário comercial**
– **79%** das ações de exfiltração de dados ocorrem **fora do expediente**
Os atacantes estudaram seus alvos. Sabem exatamente quando as equipes de segurança estão menos atentas.
### O Problema da MFA
Aqui está um número que deveria causar insônia em qualquer CISO: **59% dos casos analisados não tinham MFA (autenticação multifator) implementada**.
A autenticação multifator — aquela que exige algo além de senha, como um código no celular — continua sendo uma das defesas mais eficazes contra ataques de identidade. E ainda assim, quase 6 em cada 10 empresas não a utilizam.
—
## Por Que Isso Importa: A Realidade dos Ransomwares
### O Ecossistema em Expansão
O relatório identificou **51 marcas diferentes de ransomware** ativas no período analisado — sendo 27 já conhecidas e 24 novas. O grupo **Akira** liderou as estatísticas, presente em **22% dos incidentes**.
A fragmentação do cenário de ransomware torna a defesa ainda mais desafiadora. Não há mais “um inimigo” para monitorar, mas dezenas de grupos com táticas diversas.
### A Persistência dos Veteranos
Apenas quatro técnicas/marcas persistem desde 2020: LockBit, MedusaLocker, Phobos e o abuso do BitLocker. A queda do LockBit — resultado de ações das forças de segurança — criou um vácuo que dezenas de novos grupos estão disputando.
### A Telemetria em Crise
Outro ponto crítico: a **falta de logs adequados** está comprometendo investigações. A ausência de telemetria devido a problemas de retenção de dados **dobrou em relação ao ano anterior**. Firewalls com retenção padrão de apenas 7 dias — ou, em alguns casos, 24 horas — estão deixando empresas cegas quando mais precisam de visibilidade.
—
## O Hype da IA vs. Realidade
### A Verdade Sobre IA nos Ataques
Apesar de todo o alarmismo sobre IA revolucionando o cibercrime, a Sophos não encontrou evidências de uma transformação fundamental:
> “A IA está trazendo escala e ruído, mas ainda não substitui os invasores. No futuro, a GenAI pode se tornar um novo acelerador, mas, por enquanto, o básico continua sendo essencial.” — John Shier
A IA generativa tem sim aumentado a escala e o refinamento de campanhas de phishing, mas ainda não resultou em técnicas de ataque fundamentalmente novas. O velho e bom phishing continua funcionando — e muito bem.
—
## Conclusão Prática: Como se Defender na Era dos Ataques de Identidade
### Recomendações Imediatas da Sophos
1. **Implemente MFA resistente a phishing**
– Não basta ter MFA; ele precisa ser do tipo FIDO2/WebAuthn, que não pode ser interceptado
– Valide a configuração regularmente
2. **Reduza a exposição da infraestrutura de identidade**
– Limite o acesso externo a servidores AD
– Use VPNs com autenticação forte
3. **Aplique patches com agilidade**
– Especialmente em dispositivos de borda (VPNs, firewalls, gateways)
– Automatize quando possível
4. **Garanta monitoramento 24/7**
– Considere serviços MDR (Managed Detection and Response)
– A resposta rápida é crítica quando o tempo de permanência é de apenas 3 dias
5. **Preserve logs de segurança**
– Retenção mínima recomendada: 90 dias
– Ideal: 1 ano ou mais
– Inclua logs de aplicações críticas, não apenas de firewalls
### Checklist de Segurança de Identidade
– [ ] MFA implementado para todos os usuários administrativos
– [ ] MFA implementado para acesso remoto (VPN, RDP)
– [ ] Política de senhas robusta (tamanho > complexidade)
– [ ] Monitoramento de tentativas de força bruta
– [ ] Auditoria regular de contas privilegiadas
– [ ] Treinamento de conscientização contra phishing
– [ ] Segmentação de rede limitando acesso ao AD
– [ ] Backup offline e testado dos sistemas críticos
—
## O Básico Bem Feito Salva
O Relatório Sophos Active Adversary 2026 traz uma mensagem clara: **a sofisticação dos atacantes não é o maior problema**. O problema é a falha em implementar as proteções básicas — especialmente relacionadas à identidade.
Enquanto empresas gastam milhões em ferramentas de última geração, 59% delas não implementaram MFA. Enquanto CISOs perdem sono com ameaças de IA, criminosos continuam usando credenciais roubadas de 2020.
A boa notícia? As defesas mais eficazes são também as mais acessíveis. MFA, patching ágil, logs adequados e monitoramento contínuo não exigem orçamentos astronômicos — exigem apenas disciplina e priorização.
No combate cibernético de 2026, quem vence não é quem tem as ferramentas mais avançadas. É quem faz o básico — e o faz bem.
—
**Tags:** #Ciberseguranca #Sophos #Ransomware #MFA #ActiveDirectory #Cybersecurity #Phishing #MDR
