Relatório da IBM aponta que phishing se tornou principal vetor de ataque, enquanto má implementação de IA agrava prejuízos financeiros
O custo médio de uma violação de dados no Brasil saltou para R$ 7,19 milhões em 2025, representando um aumento de 6,5% em relação aos R$ 6,75 milhões registrados no ano anterior. Os dados fazem parte do relatório anual Cost of a Data Breach (CODB) da IBM, que completa 20 anos de pesquisa global e 13 anos de análise específica do mercado brasileiro.
O estudo, conduzido pelo Ponemon Institute entre março de 2024 e fevereiro de 2025, analisou experiências de 600 organizações distribuídas em 16 países. No Brasil, o crescimento dos custos contrasta com a tendência global, onde o custo médio caiu para US$ 4,44 milhões – a primeira redução em cinco anos.
Leia também: Seria vibe coding o futuro da programação?
Os setores mais impactados por violações de dados no país foram saúde (R$ 11,43 milhões), finanças (R$ 8,92 milhões) e serviços (R$ 8,51 milhões). A área da saúde mantém a posição de setor mais vulnerável, padrão que se repete globalmente, com tempo médio de identificação e contenção de 279 dias – mais de cinco semanas acima da média global de 241 dias.
“A complexidade dos sistemas de saúde, combinada com a criticidade dos dados pessoais envolvidos, torna esse setor particularmente suscetível a ataques custosos”, explica Fernando Carbone, sócio de Serviços de Segurança da IBM Consulting na América Latina.
O relatório identificou uma mudança significativa no perfil das ameaças cibernéticas. O phishing emergiu como principal vetor de ataque, responsável por 18% das violações no Brasil, com custo médio de R$ 7,18 milhões por incidente. Essa modalidade substituiu os ataques diretos a sistemas como método preferido dos criminosos.
O comprometimento de fornecedores terceirizados e da cadeia de suprimentos aparece como segunda maior causa, representando 15% das violações e gerando custos médios de R$ 8,98 milhões. A exploração de vulnerabilidades completa o pódio, com 13% dos casos e prejuízo médio de R$ 7,61 milhões.
Os dados mostram que os atacantes permanecem em média 276 dias nos sistemas comprometidos antes de executar suas ações, uma redução marginal em relação aos 283 dias do período anterior. Apesar da leve melhoria, o prazo ainda evidencia deficiências críticas nos sistemas de detecção das empresas brasileiras.
O estudo revela que 50% das violações são descobertas internamente pelas próprias organizações, enquanto 31% são reveladas por terceiros e 19% pelos próprios invasores. Empresas que detectam violações internamente economizam em média US$ 900 mil em comparação àquelas notificadas pelos atacantes.
A implementação adequada de inteligência artificial e automação seguras mostrou-se eficaz na redução de custos. Organizações brasileiras que adotaram extensivamente essas tecnologias registraram custos médios de R$ 6,48 milhões, contra R$ 8,78 milhões daquelas que não utilizam IA para segurança.
Porém, o uso inadequado da tecnologia tem efeito contrário. O relatório identificou que 13% das violações envolvem falhas em sistemas de IA, sendo que 97% dessas organizações não possuíam controles adequados de acesso. Adicionalmente, 32% das empresas relataram problemas com Shadow AI – uso não autorizado de ferramentas de inteligência artificial.
“Já existe uma lacuna preocupante entre a rápida adoção da IA e a falta de governança adequada. Agentes mal-intencionados estão explorando esse vácuo”, alerta Carbone.
O relatório aponta que 16% das violações foram executadas por hackers utilizando ferramentas de IA para atividades maliciosas, incluindo phishing avançado e produção de conteúdo para engenharia social. O uso não autorizado de IA (Shadow AI) gerou aumento médio de R$ 591.400 nos custos de violação.
Apesar dos benefícios comprovados, apenas 29% das organizações brasileiras utilizam tecnologia de governança de IA para mitigar riscos. O cenário é ainda mais preocupante quando se observa que 87% das empresas estudadas não possuem políticas de governança de IA implementadas, e 61% carecem de controles básicos de acesso.
Entre as medidas mais eficazes para redução de custos, destacam-se a implementação de inteligência de ameaças (redução média de R$ 655.110) e tecnologias de governança de IA (R$ 629.850).
O estudo identificou elementos que contribuem significativamente para o aumento dos custos. A complexidade excessiva dos sistemas de segurança adicionou em média R$ 725.359 ao custo total das violações. Paradoxalmente, mesmo a adoção de ferramentas de IA, apesar de seus benefícios, gerou custos adicionais médios de R$ 578.850 quando implementada inadequadamente.
Com duas décadas de análise, o relatório CODB documentou uma transformação radical no cenário de ameaças. Em 2005, 45% das violações originavam-se de dispositivos perdidos ou roubados, com apenas 10% por sistemas hackeados. Atualmente, o ambiente é predominantemente digital e direcionado.
Os especialistas recomendam investimento urgente em governança de IA, implementação de políticas claras de uso tecnológico e fortalecimento dos sistemas de detecção interna. A resistência crescente ao pagamento de resgates – 63% das organizações se recusaram a pagar em 2024, contra 59% no ano anterior – indica uma maturidade maior do mercado, mas mantém os custos de incidentes de ransomware em patamares elevados.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Pamela Sousa é repórter no IT Forum, graduada em Jornalismo pela Universidade Federal de Santa Maria (UFSM). Com mais de três anos de experiência na produção de conteúdo, especializa-se na cobertura de tecnologia, inteligência artificial e inovação, desenvolvendo reportagens aprofundadas e artigos analíticos sobre o impacto dessas tecnologias nos negócios e na sociedade.
