Research
19/5/2026

Data Breach Investigations Report 2026 da Verizon: ataques a terceiros, riscos em credenciais e outros insights

Nós já destacamos neste espaço os principais pontos do relatório Data Breach Investigations Report (DBIR) da Verizon em 2024 e 2025, pois entendemos que se trata de uma das fontes mais valiosas de insights sobre o dinâmico cenário da cibersegurança.

A capa do relatório de 2026 ilustra o lugar que esse levantamento ocupa como historiador dos ataques cibernéticos e das falhas de segurança. É um status merecido. A diligência e a consistência do time da Verizon ficam evidentes nos métodos de análise e de apresentação desse volumoso conjunto de dados reunidos de vários parceiros e colaboradores.   

Agora, a Tenchi Security tem o orgulho de ser um desses vários colaboradores que tornam o DBIR possível.

Antes de irmos mais fundo nos detalhes fascinantes que o relatório trouxe este ano, temos o prazer de anunciar que Alex Pinto, do time do DBIR na Verizon, participou do nosso podcast com Alexandre Sieira, CTO da Tenchi Security, e com Adrian Sanabria. Eles conversaram sobre o relatório, tendências no campo da cibersegurança e outros temas.

Se você é ouvinte de podcasts ou simplesmente quiser saber mais sobre os assuntos que comentamos neste artigo, você pode conferir esta conversa aqui.

Como foco deste artigo são os dados do relatório com maior impacto na gestão de risco cibernético de terceiros, não deixe de conferir o relatório em si, que está disponível gratuitamente no site da Verizon. Os pontos que levantamos aqui servem para guiar a leitura dos dados no documento e, por isso, é imprescindível conferir o relatório original.

Vale destacar que o DBIR tem uma terminologia bastante cautelosa para cada tipo de incidente. Quando falamos de "invasões" neste post, estamos nos referindo ao que o DBIR chama de "breach". O relatório não tem uma tradução oficial e estamos utilizando este termo apenas para fazer facilitar a leitura e não como sugestão de que o termo "invasão" é o ideal para o conceito de "breach" do DBIR. Caso prefira, temos uma versão em inglês deste artigo que utiliza a mesma terminologia do DBIR em cada seção.

Feitas essas considerações, vamos conferir alguns pontos.

Riscos derivados de permissões de nuvem e ausência de MFA

O Verizon 2026 Data Breach Investigations Report de 2026 tem alguns gráficos novos que revelam o tempo necessário para resolver problemas ligados a autenticação e permissões em ambientes de nuvem conectados a terceiros. 

Esses gráficos seguem a lógica dos dados referentes ao tempo de "sobrevivência" das vulnerabilidades. Infelizmente, eles mostram que as empresas hoje demoram significativamente mais para resolver essas questões ligadas a privilégios do que para aplicar patches em vulnerabilidades.

Uma das análises mostra que quase metade desses problemas (45%) continua aberta depois de 350 dias. O DBIR traz algumas explicações para isso, como o fato de que erros envolvendo "privilégios excessivos" nem sempre têm uma correção simples, especialmente tendo em vista a granularidade das permissões no contexto das infraestruturas de TI em nuvem.

Enquanto as empresas conseguem aplicar patches para cerca de 30% das vulnerabilidades na lista da CISA (a agência de cibersegurança dos Estados Unidos) dentro de uma semana e 60% delas são corrigidas em um mês, apenas 12% desses problemas de permissão são resolvidos nessas janelas de 7 dias. Ou seja, a solução demora mais para ser aplicada.

A situação melhora quando olhamos controles mais específicos, como no caso da autenticação multifatorial (MFA). Metade de todos os casos de risco de exposição ligadas a MFA são resolvidos em pouco menos de um mês, e apenas 32% continuam sem solução após 240 dias.

Infelizmente, toda empresa precisa buscar soluções ou desenvolver estratégias de mitigação, seja qual for a dificuldade inerente a um problema. Uma falha presente em uma política ou em um controle complexo pode criar um risco de vazamento de dados, independentemente do quão desafiante será resolver essa inconformidade.

A Tenchi Security contribuiu com esses dados e participou da análise deles. Os dados foram todos anonimizados, seguindo a política do DBIR de não "apontar o dedo" para essa ou aquela empresa. O nosso objetivo é tirar esses desafios da sombra e contribuir com o esforço de melhorar a visibilidade sobre o complexo cenário da cibersegurança.

Quem utiliza o Zanshin tem visibilidade sobre esses riscos no escopo do seu próprio ambiente, mas é importante lembrar que cada empresa tem suas particularidades.

As prioridades dos times de cibersegurança e de gestão de risco podem ter um impacto muito significativo sobre essas questões. Porém, nem todas as empresas empregam ferramentas de gestão de risco de terceiros que fornecem visibilidade sobre esse problema. Algumas equipes são pegas de surpresa quando começam a observar os desafios que surgem diariamente dentro da infraestrutura de TI dos seus terceiros. Uma visão nítida sobre o problema é o primeiro passo para resolvê-lo.

Usos indevidos de credenciais

Um dos principais motivos que justificam a preocupação com privilégios excessivos e ausência de MFA é a frequência de ataques cibernéticos que utilizam credenciais de forma indevida.

Embora o abuso de credenciais tenha diminuído no grupo de vetores iniciais de acesso na comparação com o ano passado (de 22% para 13%), parte da queda está relacionada a uma mudança na metodologia do relatório. Essa mudança está bem explicada no próprio relatório.

O que é importante saber, porém, é que as credenciais ainda são muito relevantes nas invasões. Cerca de 39% de todas as invasões envolveram ao menos uma etapa o uso indevido de uma credencial na cadeia do ataque ("attack chain"). Quando os adversários descobrem que uma credencial dá acesso a uma conta com mais privilégios do que o esperado, fica ainda mais fácil escalar o acesso dentro da rede da empresa.

Em outras palavras, a mitigação de riscos em credenciais tem um papel importante em estratégias de defesa em profundidade, mesmo que elas sejam menos comuns como vetor inicial de acesso.

Mais invasões envolvendo terceiros

O número de invasões em que há envolvimento de um terceiro aumentou de 30% para 48%, um aumento de 60% que se soma ao aumento de 100% que levou esse tema à capa do DBIR no ano passado.

Vale lembrar que o Data Breach Investigations Report da Verizon inclui a exploração de vulnerabilidades em softwares de terceiros nesta mesma categoria. Ou seja, a exploração de vulnerabilidades está na mesma categoria das invasões que ocorrem na infraestrutura de TI de um terceiro ou quando um terceiro serve de ponte para acessar a rede do primeiro.

É compreensível que alguns estranhem a inclusão das vulnerabilidades de software nesta categoria. Contudo, cabe ressaltar que um time moderno de gestão de riscos cibernéticos de terceiros deve buscar garantias quanto à segurança da infraestrutura e dos processos de desenvolvimento dos processos de fornecedores de software, sejam eles on-premises ou SaaS.

Além das questões já mencionadas de autenticação de remediação de vulnerabilidades, o que esse número indica é que as estratégias de mitigação podem não estar à altura da elevada conectividade e interdependência dos ambientes de TI que temos hoje.

Uso de inteligência artificial e "IA escura"

O DBIR registrou um grande aumento na proporção de colaboradores que usam inteligência artificial. Embora o número de colaboradores que usam contas pessoais para acessar serviços de IA em equipamentos corporativos tenha diminuído, esta porcentagem ainda está em 67%, o que é alarmante.

Por outro lado, 45% dos colaboradores agora são considerados "usuários reguladores de IA", o triplo dos 15% registrados nos dados anteriores.

Nem todos esses usos são autorizados pela política das empresas. Os casos de "IA escura" (Shadow IA) quadruplicaram, o que a transformou na terceira atitude problemática mais comum de "insiders" não maliciosos (ou seja, quando um colaborador faz algo que pode colocar dados em risco sem essa intenção).

"IA escura" é termo para o uso não autorizado de tecnologias ou serviços de IA. Esse conceito está relacionado ao de "TI escura" (shadow IT), que abrange qualquer uso de tecnologias ou serviços que estão fora do catálogo conhecido pelas equipes de TI e segurança das empresas, criando riscos que podem passar despercebidos.

No geral, o elemento humano é bastante relevante, estando presente em 62% das invasões.

Não desconsidere o que isso significa para sua empresa

O Data Breach Investigations Report de 2026 da Verizon tem mais de 100 páginas, então não podemos fazer jus a todo o material em um breve resumo como este. Recomendamos a leitura do relatório e o nosso podcast, ambos disponíveis apenas em inglês, para ficar a par de cada detalhe.

Dados robustos e uma visibilidade precisa sobre os problemas reais que se manifestam em nossa infraestrutura digital podem elevar nossa capacidade de projetar políticas, mitigações e ferramentas melhores. Sistemas de TI são complexos, e devemos enfrentar essa complexidade armados com a melhor informação disponível. Os dados que podem deixar nossos sistemas mais seguros existem, e temos de aproveitar isso ao máximo.

Share
Latest Posts
Soberania digital e fragmentação: entendo os impactos na gestão de risco cibernético de terceiros
Read more
O que "inside-out" significa de verdade em segurança de terceiros
O termo "inside-out" aparece em diversas plataformas de gestão de risco de terceiros, mas descreve realidades técnicas muito diferentes. Este post explica o que é o monitoramento de infraestrutura baseado em API autorizado, como ele se diferencia da correlação de questionários, e o que CISOs precisam verificar antes de contratar.
Read more
Como ir além do formalismo e melhorar métricas reais de cibersegurança dos terceiros
Read more