29 minutos: por que sua equipe de segurança já perdeu a corrida

Vinte e nove minutos.

Esse é o tempo médio que um ciberatacante leva para invadir o primeiro sistema de uma empresa e começar a se espalhar pela rede interna. O dado vem do Relatório Global de Ameaças 2026 da CrowdStrike, publicado em fevereiro. O recorde de velocidade registrado? Vinte e sete segundos.

Para colocar em perspectiva: no tempo que você leva para pedir um café no balcão, um invasor já comprometeu credenciais, escalou privilégios e começou a se mover lateralmente pelos sistemas. No Brasil, onde 28 milhões de fraudes envolvendo o Pix foram registradas só entre janeiro e setembro de 2025, essa velocidade ganha um significado ainda mais concreto. Quando a transferência é instantânea e praticamente irreversível, cada segundo conta.

A aceleração de 65% que pegou o mundo desprevenido

Em 2024, o tempo médio de "breakout" (a janela entre o acesso inicial e o movimento lateral para outro sistema) ainda era medido em horas. Até 2025, esse intervalo despencou para 29 minutos: uma aceleração de 65% em um único ano. Só que não foi apenas a velocidade que mudou. A natureza do ataque se transformou por completo.

Adversários equipados com inteligência artificial aumentaram suas operações em 89% em relação ao ano anterior. O grupo russo FANCY BEAR implantou um malware chamado LAMEHUG, movido por modelos de linguagem, para automatizar reconhecimento e coleta de documentos. O grupo criminoso PUNK SPIDER usou scripts gerados por IA para acelerar o roubo de credenciais e apagar evidências forenses. Não se trata de cenários hipotéticos: são incidentes documentados de 2025.

A verdade inconveniente: atacantes não precisam mais de operadores humanos em cada fase de uma invasão. A IA cuida do trabalho pesado, da varredura de vulnerabilidades à criação de mensagens de phishing, numa velocidade que nenhum analista de segurança consegue acompanhar.

Sua equipe de segurança ainda está em reunião

Aqui é onde a matemática se torna letal. Um relatório de preparação publicado em fevereiro de 2026 revelou que 63% dos líderes de segurança reconhecem que as ameaças aumentaram, mas apenas 30% dizem que suas organizações estão de fato preparadas para lidar com os tipos de ataque atuais. Essa distância de 33 pontos entre consciência e preparo não é apenas uma estatística: ela representa cada empresa que sabe que o incêndio vem, mas não consegue encontrar o extintor.

No Brasil, o cenário é ainda mais alarmante. O país registrou 314,8 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025, o equivalente a 84% de todas as tentativas detectadas na América Latina e Canadá juntos, segundo a Fortinet. Um em cada três negócios brasileiros sofreu algum tipo de incidente cibernético nos últimos 12 meses. Acontece que a maioria dessas empresas opera com ciclos de detecção medidos em horas, quando o relógio do atacante já marcou 29 minutos.

A equipe Unit 42 da Palo Alto Networks, que respondeu a mais de 750 incidentes graves em 2025, pintou um quadro ainda mais severo. Nos 25% mais rápidos das intrusões investigadas, atacantes foram do acesso inicial à exfiltração de dados em apenas 72 minutos. Isso é quatro vezes mais rápido que no ano anterior. Em 87% dos ataques, a intrusão se desdobrou em múltiplas superfícies simultaneamente: endpoints, infraestrutura em nuvem, aplicações SaaS e sistemas de identidade, tudo atingido de uma só vez.

O problema de identidade que o Brasil conhece bem

Se você ainda pensa em firewalls e antivírus como sua defesa principal, os dados sugerem outra coisa. Ataques baseados em identidade agora respondem por 65% dos acessos iniciais, segundo a Unit 42. Credenciais roubadas, tokens de sessão comprometidos e contas de serviço sequestradas se tornaram a porta da frente preferida dos invasores.

Em quase 90% das investigações da Unit 42, fragilidades de identidade tiveram papel central. Não exploits sofisticados de zero-day. Não malware inédito. Senhas roubadas e controles de acesso mal configurados.

Para o brasileiro, isso soa familiar. O vazamento de dados do Serasa em 2021 expôs informações de 223 milhões de CPFs, praticamente toda a população do país. Desde então, fraudes de identidade se tornaram epidêmicas: clonagem de WhatsApp, golpes de engenharia social via Pix e account takeover de aplicativos bancários como Nubank, Inter e C6 Bank. A OCDE documentou que adversários injetaram prompts maliciosos em ferramentas de IA generativa em mais de 90 organizações em 2025. No Brasil, onde o WhatsApp é praticamente uma extensão do sistema financeiro, o vetor de ataque é ainda mais direto.

O grupo norte-coreano FAMOUS CHOLLIMA usou personas geradas por IA para se infiltrar em organizações como funcionários falsos. Outro grupo ligado à Coreia do Norte, o PRESSURE CHOLLIMA, foi conectado ao roubo de US$ 1,46 bilhão em criptomoedas: o maior furto digital já registrado.

O custo real da demora na resposta

A conta financeira é brutal. Quando atacantes se movem em 29 minutos e seu ciclo de detecção opera em horas, cada minuto dessa lacuna se traduz em raio de explosão ampliado. Mais sistemas comprometidos. Mais dados exfiltrados. Mais custo de remediação.

A Unit 42 observou que operadores de ransomware estão mudando de estratégia. A extorsão baseada em criptografia caiu 15% em 2025, porque os atacantes perceberam que não precisam criptografar seus dados para extorqui-lo. Simplesmente roubar os dados é mais rápido, silencioso e igualmente lucrativo. Quando a exfiltração começa minutos após o acesso inicial, a criptografia se torna um passo desnecessário.

No contexto brasileiro, pense assim: se um atacante consegue acesso ao sistema de uma empresa que processa Pix, em 29 minutos ele pode desviar fundos antes que qualquer alerta seja sequer avaliado. A ESET alertou que golpes com Pix devem se tornar ainda mais sofisticados em 2026, impulsionados justamente por IA e engenharia social avançada.

Em mais de 90% dos incidentes que a Unit 42 atendeu, a causa raiz não era algo exótico. Eram lacunas preveníveis: controles de segurança aplicados de forma inconsistente, sistemas sem atualização, políticas de acesso excessivamente permissivas. Os mesmos problemas que equipes de segurança conhecem há anos, agora explorados na velocidade de máquina.

Como fechar a janela de 29 minutos

Os dados apontam para três mudanças inegociáveis.

Primeiro, identidade precisa se tornar seu perímetro principal de segurança. Se 65% das invasões começam com credenciais comprometidas, investir em firewalls enquanto se negligencia a governança de identidade é como reforçar os muros deixando a porta da frente aberta. Implemente autenticação multifator resistente a phishing, aplique o princípio do menor privilégio e monitore comportamento anômalo de identidade em tempo real. Para usuários individuais no Brasil, isso significa, no mínimo, ativar a verificação em duas etapas no WhatsApp e nos aplicativos bancários.

Segundo, automatize detecção e resposta. Analistas humanos revisando alertas em fila não conseguem vencer um relógio de 29 minutos. Organizações que integraram capacidade de investigação diretamente nas ferramentas de detecção reduziram o tempo de contenção em 38%, segundo pesquisa de SOC de 2025. O objetivo não é substituir analistas, mas dar a eles triagem em velocidade de máquina para que foquem em decisões, não em coleta de dados.

Terceiro, assuma que a invasão vai acontecer e prepare-se de acordo. Se 87% dos ataques atingem múltiplas superfícies simultaneamente, equipes de segurança isoladas revisando dashboards separados sempre vão perder. Visibilidade unificada sobre endpoints, nuvem, identidade e SaaS não é luxo: é sobrevivência.

O relógio de 29 minutos já está correndo. A questão não é se a sua organização vai enfrentar um ataque acelerado por IA. É se sua resposta consegue acompanhar o ritmo quando isso acontecer.