Roubo de indentidade digital: por que as empresas estão perdendo essa batalha

Sete em dez organizações sofreram ao menos uma violação relacionada a identidade digital em 2025. Entre as empresas afetadas, a média foi de 3,1 incidentes por organização, o que indica que, quando a porta está aberta, o atacante costuma voltar. Outros 6,4% admitiram que violações podem ter ocorrido sem seu conhecimento. 

Os dados do relatório “State of Identity Security 2026”, conduzido pela Sophos por meio de pesquisa independente com 5.000 líderes de TI e cibersegurança em 17 países, aponta que entre as organizações que foram vítimas de ransomware em 2025, dois terços (66,5%) confirmaram que o incidente de ransomware foi o mesmo evento de seu ataque de identidade mais sério. Em outras palavras: a identidade comprometida não é uma consequência do ransomware, ela é o caminho que o leva até dentro da organização.

Essa cadeia também é corroborada pelos dados operacionais da Sophos: segundo o time X-Ops, 67% de todos os incidentes investigados pelo Sophos Incident Response e pelo Sophos MDR em 2025 tinham raízes em ataques de identidade. E a MFA (autenticação multifator) estava ausente no sistema-alvo em 59,5% dos casos analisados pelo relatório “Active Adversary 2025” da empresa.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

Quando um ataque de identidade passa despercebido, as consequências são severas. Das 510 organizações que não conseguiram deter seu ataque mais sério, 

• 48,8% sofreram roubo de dados
• 48,4% foram vítimas de ransomware
• 43,9% foram extorquidas
• 46,7% tiveram alguma forma de roubo financeiro direto, seja por desvio de pagamentos, seja por furto de contas.

Em média, cada organização reportou duas consequências distintas do mesmo incidente. Em 2025, o custo médio de remediação de uma violação de identidade chegou a US$ 1,64 milhão, com mediana de US$ 750 mil. Três quartos (73%) das organizações afetadas estimaram custos acima de US$ 250 mil. Organizações com mais de 3.000 funcionários reportaram o maior custo médio: US$ 2,45 milhões.

Erros humanos e identidades não humanas fora de controle

A pesquisa da Sophos mapeou as causas-raiz dos ataques bem-sucedidos. O erro humano lidera como fator individual: 42,7% das vítimas foram comprometidas por funcionários enganados e induzidos a fornecer credenciais. Em segundo lugar, com 40,6%, aparece a gestão inadequada de identidades não humanas (Non-Human Identities ou NHIs, na sigla em inglês), por meio de contas de serviço, chaves de API, tokens OAuth e agentes de IA autônomos que se conectam a sistemas sem envolvimento humano.

A fraca gestão de identidades humanas em qualquer forma foi fator que permitiu o ataque em 60,2% dos incidentes. Problemas com acessos e permissões concedidos a aplicações externas estiveram presentes em 56,1% dos casos. A atividade mal-intencionada de insiders foi reportada em 26,7% dos ataques. Em algumas organizações, as NHIs já superam identidades humanas numa proporção maior que 100 para 1, turbinadas pela proliferação de agentes de IA. Esses sistemas acumulam permissões amplas que raramente expiram e são ainda mais raramente auditadas. 

As organizações com gestão fraca de NHIs reportam custos de recuperação US$ 147 mil mais altos (9% acima da média), além de serem 27,9% mais suscetíveis a desvios de pagamento e 24,4% mais expostas a extorsão do que a média dos casos. Apesar disso, apenas 34% das organizações rotacionam ou auditam contas de serviço e NHIs semanalmente ou com mais frequência. No máximo, um terço faz isso trimestralmente. Apenas 11% realizam esse processo de forma contínua.

O estado da “higiene de identidade” revela um padrão igualmente preocupante: apenas 24,1% das organizações monitoram tentativas de login incomuns de forma contínua, e mais da metade fazem essa verificação no máximo a cada três meses. A revisão de políticas de governança de identidade, a atividade menos frequente, é feita de forma contínua por somente 10,5% das organizações pesquisadas.

A superfície de ataque que tem rosto e nome

Enquanto a Sophos mapeia o que acontece depois que as credenciais são comprometidas, o relatório “2026 Digital Risk Report”, produzido pela Cybersecurity Insiders com patrocínio da Outtake junto a 1.138 lideranças de segurança, risco e fraude, aponta que 84% das organizações sofreram incidentes materiais de risco digital no último ano. Apesar da escala do problema, apenas 7% descrevem seu programa de proteção como “líder”. O descompasso entre a sofisticação dos ataques e a maturidade das defesas nunca foi tão visível.

Pelo menos 53% das organizações tiveram um executivo ou funcionário impersonificado online no último ano. Em outras palavras, grupos de hackers e atacantes usaram ferramentas de IA para se passarem por executivos e colaboradores da empresa. Em 27% dos casos, tanto executivos quanto funcionários foram alvos. Outros 17% simplesmente não monitoram esse tipo de atividade, criando um ponto cego que os atacantes exploram ativamente.

A impersonificação acontece em múltiplos canais: e-mail ou mensagens falsificadas (41%), redes sociais (36%) e redes profissionais como o LinkedIn (32%). E começa bem antes do ataque em si: adversários montam perfis detalhados das vítimas (com endereços residenciais, dados de contato, informações de familiares) a partir de “data brokers”, dumps de credenciais e informações públicas, muito antes de lançar qualquer campanha de impersonificação.

A proteção contra essa fase preparatória é rara: 43% das organizações não têm nenhuma capacidade de perfilamento de pessoas de interesse (POI) para indivíduos ativamente visados. Pelo menos 35% não mantêm nenhum programa ativo de remoção de dados pessoais (PII) em sites de busca de pessoas e data brokers. E 52% não têm visibilidade sobre canais criptografados ou descentralizados, como o WhatsApp, exatamente onde grande parte da coordenação de ataques acontece.

O problema agrava-se ao olhar para a abrangência da proteção. Mais de 77% das organizações limitam sua cobertura a executivos, reagem caso a caso, ou cobrem apenas alguns perfis de alto risco. Apenas 4% têm um programa abrangente que cobre toda a força de trabalho. O relatório aponta o problema central: os atacantes não visam quem tem o cargo mais alto, mas quem tem o acesso mais útil. Um gestor de contas a pagar, um administrador de TI, um atendente de relacionamento com o cliente. Esses são alvos tão valiosos quanto qualquer CFO, mas raramente estão cobertos pelo programa de proteção.

A IA como arma para os dois lados

Tanto o relatório da Sophos quanto do Cybersecurity Insiders dedicam espaço considerável ao impacto da Inteligência Artificial nas ameaças de identidade, tanto pelo lado do ataque quanto pelo lado da exposição interna. Pelo lado do ataque, 44% dos líderes de segurança citam ataques gerados por IA que parecem atividade real como sua maior lacuna de visibilidade, o principal gap da pesquisa da Outtake/CSI. 

A ameaça já é presente: 47% encontraram impersonificação por mídia sintética confirmada ou suspeita de um executivo ou representante de marca, incluindo clones de voz e vídeos deepfake (18% confirmaram, 29% suspeitam). Outros 35% elegem a detecção de enganos gerados por IA como prioridade de investimento para os próximos 12 meses.

O relatório da Outtake/CSI descreve a mudança: os sinais tradicionais que permitiam identificar uma falsificação – gramática ruim, imagens distorcidas, tom inadequado – foram eliminados pela IA. A detecção precisa migrar para momentos anteriores na cadeia de ataque, quando a campanha ainda está sendo construída, não após o conteúdo falso já estar circulando.

Pelo lado da exposição interna, o problema é a proliferação descontrolada de agentes de IA implantados pelas próprias organizações. Apenas 4% têm visibilidade plena com controles ativos sobre as interações externas de seus agentes de IA, aproximadamente 1 em 20 organizações. Outros 22% não têm nenhuma visibilidade sobre o que seus agentes acessam externamente, 20% têm visibilidade parcial sem controles, e 17% registram as atividades mas nunca as monitoram ativamente.

Os adversários podem plantar instruções em conteúdo externo – e-mails, páginas web, documentos – que um agente lê como parte de seu fluxo normal de trabalho. Essa técnica, conhecida como indirect prompt injection, é o item número um no OWASP Top 10 para Aplicações LLM. O agente trata a instrução plantada como legítima e age. A grande maioria (96%) das organizações não possui qualquer mecanismo automatizado para deter um agente manipulado antes que ele aja. Apenas 4% têm detecção e contenção automatizadas para agentes comprometidos. Entre os demais: 34% estão cientes do risco, mas não implantaram nenhum controle; 25% dependem de revisão manual de saídas de alto risco, e 14% sequer reconhecem a existência do risco.

Detecção que depende da dor de terceiros

Um dos achados mais perturbadores do relatório da Outtake/CSI diz respeito a como a maioria das organizações descobre que está sendo atacada: pelo relato de clientes, parceiros ou do público em geral. Metade (50%) das organizações descobre a impersonificação de marca de forma reativa:

• 21% a partir de relatos externos.
• 18% por verificações manuais ad hoc internas.
• 11% simplesmente não têm nenhum processo formal de detecção. 

Apenas 29% realizam monitoramento contínuo, e apenas 12% têm o pipeline completo de monitoramento, alertas automatizados e triagem.

Quando o incidente é identificado, 34% encerram os casos com o takedown do conteúdo falso, sem investigar o operador por trás do ataque. Apenas 16% mapeiam a campanha mais ampla ou tentam atribuição. Apenas 5% conduzem atribuição completa de campanha. Isso cria um desalinhamento que permite ao atacante reconstruir a infraestrutura em outro lugar, enquanto o defensor acredita ter resolvido o problema.

A velocidade também é um fator crítico: 42% dizem que os atacantes se movem mais rápido do que sua capacidade de detecção. E os canais mais lentos de remediar são exatamente os que os atacantes preferem: mensagens criptografadas como o Telegram (22% apontam como o mais lento), lojas de aplicativos e ecossistemas móveis (16%), e redes sociais (14%). Outros 19% sequer medem o tempo de takedown por canal.

Fragmentação organizacional como vulnerabilidade

Os dois relatórios convergem em outro ponto crítico: o risco digital não tem dono claro na maioria das organizações, e essa fragmentação é uma vulnerabilidade. No relatório da Outtake/CSI, 21% das organizações não têm um único responsável pelo risco digital. Quando existe algum responsável, a accountability é distribuída entre oito funções diferentes, nenhuma com mais de 18% de participação. Pelo menos 61% descrevem a coordenação de resposta entre equipes como inconsistente, fragmentada ou em silos. Apenas 11% sustentam resposta altamente coordenada entre equipes no ritmo dos ataques. Apenas 5% correlacionam sinais externos de ameaças com dados internos de fraude em tempo real.

Na Sophos, o tamanho da organização revela outra desigualdade: empresas menores (100–250 funcionários) foram 72% mais propensas a falhar na detecção de um ataque de identidade do que organizações com 1.001–3.000 funcionários (19,4% vs. 11,3%). Esse “gap de cibersegurança” é especialmente grave porque as pequenas empresas não sofrem menos ataques. Elas têm menos capacidade de detectá-los.

Por setor, os mais afetados pela análise Sophos foram Energia, petróleo/gás e serviços públicos (80,3%) e governo federal (78,4%). Um dado adicional reforça a relação entre dificuldade de conformidade e exposição: organizações que descrevem o cumprimento de requisitos regulatórios como “muito desafiador” tiveram taxa de violação de 82,4%, contra 68,3% das que não encontram dificuldades nessa área.

Investimento sobe, mas arquitetura não acompanha

Diante do cenário, os investimentos em segurança de identidade e proteção de risco digital estão aumentando. Mais de 58% das organizações planejam elevar seus gastos com proteção de risco digital nos próximos 12 meses, segundo a Outtake/CSI, incluindo 19% com aumentos significativos. As prioridades: 

• Detecção mais rápida de impersonificação – 37%
• Detecção de enganos gerados por IA – 35%
• Monitoramento multicanal mais amplo – 32%
• Workflows de takedown mais ágeis  – 30%

O problema é que o dinheiro está sendo investido num modelo de entrega ainda fragmentado. Apenas 18% operam uma plataforma dedicada de proteção de risco digital. A maioria ainda depende de múltiplas ferramentas internas costuradas (27%) ou workflows manuais apoiados por ferramentas pontuais (24%). Outros 12% não têm ferramentas dedicadas nem programa formal.

Ambos os relatórios convergem para a mesma conclusão: o modelo de resposta precisa se tornar agêntico, ou seja, agentes de IA executando detecção, investigação, atribuição, takedown e verificação como um loop contínuo, com seres humanos definindo a política, os limiares de escalada e os julgamentos finais. A janela entre detecção e resposta tornou-se estreita demais para processos conduzidos exclusivamente por humanos.

O próximo passo é a arquitetura. Fechar lacunas, conectar evidências e reduzir handoffs entre equipes antes de adicionar mais uma ferramenta pontual ao ecossistema. As organizações que entenderem isso nos próximos 12 a 24 meses sairão na frente das que ainda tentam defender suas identidades digitais na velocidade humana.

• cibersegurança
• identidade digital
• agentes de ia
• NHI
• segurança digital
• risco digital
• IA e cibersegurança
• impersonificação digital
• deepfake executivo
• identidades não humanas
• fraude corporativa