Empresa detecta alta de 273 vezes em incidentes

As pequenas e médias empresas (PMEs) estão no epicentro de uma onda sem precedentes de ataques cibernéticos, segundo afirma o Annual Threat Report 2025 da N-able: o número de incidentes saltou de 48,7 mil em junho de 2024 para 13,3 milhões em junho de 2025, uma alta de 273 vezes em apenas um ano.

Leia também
Dinâmica atual do ransomware global
EUA derrubam sites do ransomware Blacksuit

O estudo mostra que 88% das violações confirmadas envolveram ransomware ou extorsão de dados, liderados por grupos como Play, Qilin e Tycoon 2FA, responsáveis por ataques contra empresas em mais de 40 países. “As PMEs se tornaram o elo mais frágil da cadeia digital. Para os criminosos, é onde encontram defesas mais vulneráveis, operações críticas e maior propensão a pagar resgates”, alerta Rodrigo Gazola, CEO e fundador da Addee, empresa especializada em soluções de segurança para prestadores de serviços de TI e representante exclusiva da N-able no Brasil.

A pressão regulatória também aumenta a exposição. Nos EUA, empresas precisam reportar incidentes materiais à SEC em até quatro dias úteis. Na Europa, a Diretiva NIS2 responsabiliza diretamente gestores que não adotarem medidas mínimas de segurança. Segundo o relatório, o custo médio global de uma violação ultrapassou US$ 4,45 milhões em 2025, o maior patamar histórico.

Para o mercado brasileiro, onde as PMEs representam 96% do total de empresas, o impacto é potencialmente devastador. Muitas organizações ainda dependem de infraestrutura de TI básica, sem autenticação multifator ou planos de continuidade de negócios.

Gazola, avalia que o problema já deixou de ser “se” e passou a ser “quando”. “O dado mais alarmante do relatório não é apenas o crescimento de 273 vezes nos ataques, mas o fato de que mais de 80% deles poderiam ser evitados com medidas simples, como autenticação multifator, backups testados e gestão contínua de vulnerabilidades. Esse é o ponto cego das PMEs: o básico ainda não está resolvido”, afirma Gazola.

Ele destaca ainda que a sofisticação trazida pela inteligência artificial aumentou a urgência de rever processos. “Estamos diante de e-mails de phishing praticamente indistinguíveis dos reais, vídeos falsos que imitam gestores e até manipulação de voz para autorizar transações financeiras. Se antes a dúvida era investir em segurança, hoje a questão é sobreviver sem ela”, complementa.

Segundo o relatório, medidas de mitigação acessíveis podem reduzir drasticamente os riscos. Entre eles, o documento cita a autenticação multifator resistente a phishing em todos os acessos críticos; Backups offline e testados regularmente, garantindo recuperação rápida em casos de ransomware; Gestão de vulnerabilidades com correções rápidas, evitando exploração de falhas conhecidas. Além do monitoramento contínuo de comportamento de usuários, identificando insiders acidentais ou maliciosos e treinamento recorrente de funcionários, com foco em phishing e engenharia social.

“Os criminosos perceberam que não precisam mais mirar apenas grandes corporações. Uma PME com 20 funcionários pode ser tão lucrativa quanto um banco se a operação dela parar por alguns dias. É nesse ponto que entra a responsabilidade dos prestadores de serviços de TI em educar, proteger e monitorar. A segurança deixou de ser um custo e se tornou fator de continuidade dos negócios”, conclui Gazola.