As principais conclusões do estudo incluem o seguinte:

• Em 2023-2024, instituições governamentais (21%) e organizações financeiras (13%) nos países da ALC enfrentaram o maior número de ataques cibernéticos. Essas entidades são de maior interesse para os cibercriminosos porque armazenam informações valiosas e executam processos críticos.
• Durante o período em análise, a maioria dos ataques cibernéticos teve como alvo organizações no Brasil (19%) e no México (16%). Isso pode ser atribuído ao maior nível de digitalização nesses países da região, levando à implementação ativa de serviços e aplicativos da web que expandem a superfície de ataque.
• Normalmente, a engenharia social e o malware eram usados juntos como parte de um único ataque cibernético (visando organizações ou indivíduos). Os invasores usaram engenharia social para obter acesso a sistemas de TI, contornando as defesas técnicas e permanecendo sem serem detectados. O malware permitiu outras ações maliciosas dentro do sistema comprometido.
• O ransomware foi usado em 49% dos ataques bem-sucedidos às organizações. O maior interesse dos criminosos de ransomware foi em instituições governamentais (25%), varejo (11%), finanças (9%) e educação (9%).
• Os ataques cibernéticos bem-sucedidos às organizações resultaram com mais frequência em violações de dados (53%) e interrupções nos negócios (35%), semelhantes ao ano anterior. Mais da metade do volume total de dados roubados de organizações consistiu em dados pessoais (32%) e credenciais de conta (21%).
• Os ataques cibernéticos a indivíduos resultaram em violações de dados (72%) e perdas financeiras diretas (19%).
• Uma parcela significativa das postagens em fóruns da dark web está relacionada a bancos de dados (47%) que contêm dados pessoais, credenciais de conta e dados de cartão de pagamento. Muitas vezes, as informações confidenciais são compartilhadas gratuitamente: seja porque têm pouco valor para os invasores ou com a intenção de aumentar sua reputação na comunidade da dark web.

Nível de digitalização

Na América Latina e no Caribe, o nível de digitalização e adoção de tecnologia é desigual. Depende de vários fatores, incluindo a disponibilidade de internet e serviços digitais (governo eletrônico, comércio eletrônico) e iniciativas legislativas para a transformação digital.

A digitalização envolve a integração ativa de novas tecnologias em vários aspectos da vida dos cidadãos: as lojas online estão surgindo, os serviços de governo eletrônico estão sendo introduzidos e as indústrias estão se tornando mais automatizadas. Em particular, os sistemas de governo eletrônico estão proliferando ativamente e as estratégias nacionais de governo eletrônico estão sendo desenvolvidas. Até o momento, pelo menos 14 países da região os adotaram. O e-commerce também está se desenvolvendo rapidamente na ALC: especialistas preveem que o volume do mercado de comércio eletrônico no Brasil, México e Argentina crescerá 58%, 52% e 90%, respectivamente, até 2027. Em 2024, o e-commerce eletrônico foi dominado pelo Brasil (29% do tamanho total do mercado de e-commerce na ALC) e pelo México (26%).

A tecnologia financeira é uma direção promissora para o desenvolvimento da região. Segundo a consultoria Distrito, o volume de investimentos em fintechs na América Latina e no Caribe aumenta a cada ano. Apenas no primeiro semestre de 2024, 83 negócios no valor de US $ 800 milhões foram fechados, representando 80% de todos os investimentos em empresas de fintech feitos em 2023. Nos últimos 10 anos, 66,7% do investimento total foi para empresas brasileiras. Uma parcela significativa desse investimento foi em serviços digitais: carteiras eletrônicas, contas eletrônicas e bancos digitais.

Novas tecnologias estão sendo adotadas ativamente: em 2024, a América Latina se tornou o segundo mercado de criptomoedas que mais cresce no mundo, com uma taxa de crescimento anual de 42,5%. Além disso, Brasil (10º lugar), Venezuela (13º), México (14º) e Argentina (15º) entraram no top 20 do Índice Global de Adoção de Criptomoedas em 2024. A criptomoeda é um método de pagamento legal no Brasil. Além disso, o Brasil foi um dos primeiros países do mundo a promulgar legislação que regulamenta o mercado de criptomoedas e ativos virtuais. Na Argentina e no México, as criptomoedas não são reconhecidas como moeda legal, mas podem ser usadas e negociadas.

No entanto, ainda existem países onde o nível de digitalização permanece baixo. De acordo com o Surfshark, o Índice de Qualidade de Vida Digital¹ em Honduras e Guatemala é de 0,29 e 0,31, respectivamente, em comparação com o Brasil (0,51) e o Chile (0,55). Há uma lacuna de digitalização entre os diferentes países da região, e os retardatários terão de fazer esforços significativos para implementar soluções tecnológicas modernas e garantir sua segurança no futuro. 

1. O índice é calculado com base em cinco componentes principais: acessibilidade da Internet, qualidade da Internet, infraestrutura eletrônica, segurança eletrônica e governo eletrônico.

Como o nível de digitalização influencia as escolhas de segmentação dos cibercriminosos

Abaixo, examinamos os países que desempenham um papel fundamental no desenvolvimento econômico e tecnológico da região e também estão sujeitos ao maior número de ataques cibernéticos. Entre os cinco países mais visados na América Latina e no Caribe estão Brasil, México, Colômbia, Chile e Argentina. Vamos analisar brevemente a relação entre o nível de desenvolvimento digital nesses países e a natureza das ameaças cibernéticas que enfrentam.

Brasil

O Brasil se destaca por seu crescimento dinâmico no setor de tecnologia da informação. O país possui mais de 12.000 startups em vários setores, incluindo indústrias tradicionais: por exemplo, foi criada uma plataforma digital para produtores de soja e trigo que fornece recomendações de aplicação de fungicidas usando dados de pesquisa e inteligência artificial.

Internacionalmente, o Brasil ocupa o 12º lugar no mercado de tecnologia da informação, representando uma parcela significativa do mercado latino-americano (36,5%). Na cúpula do G20 em novembro de 2024, o Brasil apresentou um plano de desenvolvimento de IA, com um investimento de cerca de 4 bilhões de dólares. O plano visa expandir a infraestrutura para o desenvolvimento da IA, introduzir novos programas educacionais no campo e aplicar a tecnologia para melhorar a prestação de serviços. O comércio eletrônico também teve um impacto significativo no desenvolvimento digital do país, contribuindo com 13% do PIB.

O setor industrial do Brasil abrange uma ampla gama de indústrias, incluindo automotiva, petroquímica, metais, aço, processamento, construção e alimentos. O Brasil é atualmente o 10º maior produtor mundial de aço bruto, com uma produção anual de 34 milhões de toneladas.

O rápido avanço das tecnologias digitais em setores como finanças, varejo e manufatura tornou-se o principal fator que moldou a trajetória dos ataques cibernéticos. Como na maioria dos países, os cibercriminosos visam principalmente o setor público, que responde por um quarto de todos os ataques cibernéticos (26%). A adoção de novas tecnologias cria oportunidades atraentes para grupos cibercriminosos, como evidenciado por ataques cibernéticos a instituições financeiras, empresas de TI e varejistas.

México

O México é um dos países economicamente mais desenvolvidos da região, com um PIB elevado, perdendo apenas para o Brasil. O setor bancário do país é um dos mais avançados da América Latina, impulsionado pelo rápido desenvolvimento do ecossistema de fintechs. De acordo com a Forbes, o México é o segundo maior mercado de fintech da América Latina: no início de 2024, 773 empresas de fintech foram registradas, o que representa um aumento de 19% em relação ao ano anterior.

Com um setor de e-commerce que responde por 26% do mercado regional de e-commerce, o México ocupa o segundo lugar em receita de vendas online na América Latina, competindo com o Brasil pela liderança. O setor industrial do México — em particular, mineração, engenharia mecânica, produtos químicos e alimentos — também está crescendo. O México ocupa o 11º lugar mundial em termos de indústria de alimentos e o 3º lugar nas Américas, depois dos EUA e do Brasil.

O crescimento dinâmico dos setores financeiro, industrial e de varejo os torna os principais alvos dos cibercriminosos, como evidenciado pela alta proporção de ataques cibernéticos às organizações nesses setores. Embora as organizações governamentais continuem a ser o alvo mais atraente para os cibercriminosos na região, os ciberataques bem-sucedidos neste setor no México ocupam apenas o quarto lugar (6%). A diminuição do número de ataques cibernéticos bem-sucedidos a entidades governamentais pode ser atribuída em parte às medidas de resposta a incidentes cibernéticos implementadas pelo governo. Em particular, após o incidente que resultou na violação de dados confidenciais da Secretaria de Defesa Nacional do México, uma série de estratégias e iniciativas foram implementadas para melhorar a postura geral de segurança cibernética.

Colômbia

Nos últimos anos, a Colômbia emergiu como líder no mercado digital da ALC: o país abriga 12,8% das empresas digitais da região (um número superado apenas pelo Brasil e pelo México).

Em 2024, a Colômbia ficou em 61º lugar no Índice Global de Inovação, impulsionada pelo apoio do governo ao setor de TI e pelo investimento em programas educacionais. Em 2019, o governo colombiano aprovou uma lei para modernizar o setor de tecnologia da informação e comunicação, que visa reduzir a desigualdade digital na Colômbia, aumentar o investimento em TI e desenvolver projetos inovadores. Essa abordagem resultou na criação de mais de 3.950 grupos de pesquisa e startups inovadoras.

No que diz respeito ao setor de telecomunicações, a Colômbia tem uma posição de liderança na América Latina. A acessibilidade da Internet na Colômbia é de 77%, o que é 9% superior à média global. Isso cria condições favoráveis para o desenvolvimento digital e a adoção de inovações tecnológicas.

A saúde e a ciência também desempenham um papel vital na vida econômica e social da Colômbia. Os jovens cientistas são apoiados por várias organizações, como a Corporación para Investigaciones Biológicas (CIB).

O rápido desenvolvimento desses setores atrai a atenção de atores maliciosos, como evidenciado pelas estatísticas de ataques cibernéticos bem-sucedidos em 2023–2024. Entre os principais alvos estavam instituições científicas e educacionais, organizações médicas e empresas de telecomunicações.

Chile

De acordo com o Relatório de Competitividade Global, o Chile teve o maior nível de digitalização da região em 2024. A computação em nuvem e a Internet das Coisas (IoT) têm desempenhado um papel crítico na transformação digital do país. De acordo com a Grand View Research, o mercado de bancos de dados em nuvem no Chile crescerá a uma taxa anual composta de 21,6% de 2024 a 2030.

O nível de digitalização também depende da acessibilidade da internet, e o Chile é líder na região nesse quesito (94%). Além disso, a partir de agosto de 2024, o Chile está entre os 5 principais países com o acesso à Internet de banda larga fixa mais rápido do mundo, com uma velocidade média de download de 265,62 Mbps.

O setor público também está adotando a digitalização. Em junho de 2023, foi anunciado que um empréstimo havia sido aprovado para apoiar o programa de governo digital do Chile. Esta iniciativa está focada em melhorar a eficiência dos serviços públicos para os cidadãos através da transformação digital em todos os níveis: central, regional e municipal.

O país também está progredindo no campo das tecnologias financeiras. Em janeiro de 2023, foi promulgada a chamada Lei das Fintechs. Ela estabelece o marco regulatório para empresas de fintech, incluindo a regulamentação do open finance no Chile.

Além das tecnologias modernas, o Chile também tem um setor industrial bem desenvolvido, particularmente na mineração, agricultura e produção de alimentos.

O rápido desenvolvimento de serviços de rede, infraestrutura de TI e tecnologias financeiras nos setores público e privado torna essas áreas os principais alvos dos cibercriminosos.

Argentina

A Argentina possui vastos recursos naturais essenciais para os setores de energia e agricultura. O país tem terras férteis, reservas de gás natural e lítio e um potencial significativo para energias renováveis. A Argentina também possui uma indústria farmacêutica bem desenvolvida, classificando-se como o terceiro maior mercado entre os países da ALC. Cerca de 65 empresas de biotecnologia residem aqui e contribuem para o setor de saúde. Mais de dez deles exportam seus produtos para outros países da ALC e para a Ásia.

Serviços inovadores de alta tecnologia, incluindo comércio eletrônico, também estão mostrando um crescimento dinâmico. A Argentina abriga uma das maiores plataformas de e-commerce da região — MercadoLibre.

Nos últimos cinco anos, o setor de fintech local se expandiu significativamente: o número de empresas de fintech cresceu de 158 em 2019 para 432 em 2024. Mais de 80% dos argentinos usaram carteiras digitais em 2023, o que introduziu riscos adicionais de segurança para os dados financeiros dos usuários e outras informações confidenciais.

Como líder em vários setores, a Argentina não é apenas um ator estratégico no cenário internacional, mas também um alvo para os cibercriminosos. Organizações financeiras e industriais estiveram entre os principais alvos de ataques cibernéticos durante o período estudado. Uma parte significativa dos ataques cibernéticos não foi direcionada a organizações específicas. Em vez disso, os invasores atingiram uma ampla gama de empresas em vários setores em todo o mundo, e informações detalhadas sobre o quadro mais amplo não estão disponíveis. No entanto, é razoável supor que a maioria desses ataques tenha como alvo organizações industriais e financeiras. 

Cibersegurança

De acordo com o relatório Global Cybersecurity Index 2024, Brasil e Uruguai são os países com melhor desempenho em segurança cibernética entre os países da ALC. Ainda existem alguns países da região com posturas de segurança cibernética relativamente ruins. No entanto, nos últimos anos, temos visto um aumento no número de nações demonstrando mudanças positivas nesta área. Em 2024, o Equador e o Panamá se juntaram às fileiras de países cuja postura de segurança cibernética está acima da média global. De acordo com especialistas, as pontuações mais baixas são encontradas nas nações insulares de Granada e Antígua e Barbuda. Abaixo, examinamos os principais fatores que influenciam a postura de segurança cibernética de um país.

Leis e regulamentos

Um dos principais fatores que influenciam a postura de segurança cibernética de um país é a presença de instituições governamentais dedicadas, juntamente com leis e regulamentos de segurança cibernética. Por exemplo, o Brasil desenvolveu uma estratégia nacional de segurança cibernética (E-Ciber) em 2020. Em 2023, o país também estabeleceu uma política nacional de segurança cibernética (PNCiber) e um comitê nacional de segurança cibernética (CNCiber).

Programas educacionais

Outro passo crucial no avanço da segurança cibernética na região é o estabelecimento de programas educacionais nacionais e internacionais para treinar uma força de trabalho qualificada em segurança cibernética e a organização de eventos voltados para o aumento da alfabetização digital da população. O Equador lançou sua estratégia nacional de segurança cibernética em 2022. Foi desenvolvido com a participação de mais de 170 representantes do governo, da academia e do setor privado, além de especialistas em segurança cibernética, incluindo especialistas da Cyber4Dev.²

2. O índice é calculado com base em cinco componentes principais: acessibilidade da Internet, qualidade da Internet, infraestrutura eletrônica, segurança eletrônica e governo eletrônico.

Conjuntura econômica

A força econômica das nações também contribui para melhorar sua segurança cibernética. Muitas vezes, é medido pelo produto interno bruto (PIB), que reflete o valor total de bens e serviços produzidos em um país durante um período específico. O maior PIB per capita da região está concentrado no Brasil e no México. Apesar do papel do Chile como polo tecnológico, seu PIB per capita permanece inferior ao do Brasil e do México. Isso ocorre porque os dois últimos países têm economias mais diversificadas, são ricos em recursos naturais, atraem ativamente investimentos estrangeiros e têm alto potencial de exportação. Assim, a superioridade tecnológica por si só não é suficiente para compensar esses fatores e garantir um PIB maior.
O gráfico abaixo ilustra a correlação entre a postura de cibersegurança e o PIB dos países da região. A postura de segurança cibernética é altamente dependente das capacidades econômicas: quanto maior o PIB de um país, mais recursos ele pode alocar para desenvolver e fortalecer sua segurança cibernética. Isso torna os investimentos em segurança cibernética mais acessíveis aos países de alta renda, o que, por sua vez, os torna mais resilientes às ameaças cibernéticas.
 

Iniciativas internacionais

Outra maneira de aprimorar a postura de segurança nacional é por meio da cooperação internacional e de iniciativas conjuntas de segurança cibernética. Os países da ALC estão ativamente envolvidos: o Centro de Competência em Segurança Cibernética para a América Latina e o Caribe (LAC4) organiza regularmente eventos para apoiar sua transformação digital e combater ameaças cibernéticas. Por exemplo, o Uruguai organizou um workshop LAC4 em 20 de novembro de 2024, onde especialistas compartilharam seus conhecimentos e discutiram ferramentas para integrar recursos de segurança robustos nos estágios iniciais do design de produtos e serviços digitais.

Centros regionais de resposta a incidentes

A postura de segurança cibernética da região também é moldada por centros de resposta a incidentes (CERTs, CSIRTs, CIRTs), que são capazes de detectar e neutralizar prontamente as ameaças à segurança cibernética. Mais de 200 dessas organizações foram estabelecidas na América Latina e no Caribe. Um quinto de todos os centros de resposta a incidentes de segurança cibernética está localizado no Brasil (22%), seguido pelo México (18%). Alguns países da região (12%) ainda não possuem tais centros de resposta.
 

As equipes do centro de resposta a incidentes colaboram para melhorar a eficiência operacional. Um exemplo de tal colaboração é o Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST). Ele fornece uma plataforma para centros de resposta a incidentes em todo o mundo, permitindo que eles compartilhem conhecimentos e práticas. Ao longo do ano, o número de empresas da América Latina e do Caribe que colaboram com a FIRST aumentou 26%. Por exemplo, a equipe Apura CSIRT do Brasil ingressou PELA PRIMEIRA VEZ em 29 de janeiro de 2024.

Ataques cibernéticos às organizações

Durante o período em análise, a maioria dos ataques cibernéticos teve como alvo organizações no Brasil (19%) e no México (16%).
 

A maioria dos ataques cibernéticos bem-sucedidos contra organizações da região impactou o setor público (21%) e o setor financeiro (13%). As instituições governamentais em todo o mundo continuam sendo os alvos mais atraentes para os cibercriminosos, pois potencialmente fornecem acesso a uma grande quantidade de informações e recursos. Além disso, as organizações governamentais estão entre os principais alvos tanto dos hacktivistas quanto dos grupos APT. Por exemplo, após as eleições presidenciais na Venezuela em julho de 2024, o grupo hacktivista Anonymous lançou uma série de ataques DDoS, afetando mais de 45 sites do governo.

Apesar de uma parcela significativa dos ataques cibernéticos ter como alvo instituições governamentais, sua participação em comparação com os dados de 2022–2023 diminuiu 10 pontos percentuais. Ao mesmo tempo, os ataques cibernéticos a organizações financeiras aumentaram 4 pontos percentuais, indicando um interesse crescente de atores mal-intencionados. Dado o maior foco na segurança cibernética nessas organizações e a natureza específica de trabalhar com dados valiosos, ataques cibernéticos bem-sucedidos contra essas entidades podem fornecer aos atores mal-intencionados ganhos financeiros e de reputação. Em maio de 2024, foi revelado um enorme ciberataque a instituições bancárias brasileiras. Os criminosos tinham como alvo o Banco Central do Brasil e a Caixa Econômica do Estado, bem como outras grandes instituições bancárias do país.

À medida que o e-commerce cresce rapidamente na região, também atrai cada vez mais a atenção dos cibercriminosos: os ciberataques neste setor subiram para o terceiro lugar, representando 9%. Em junho de 2023, houve uma campanha em larga escala direcionada a lojas online em todo o mundo, incluindo Brasil e Peru. Os cibercriminosos usaram skimmers da web para roubar informações pessoais e dados de cartões de pagamento dos usuários, injetando scripts maliciosos em sites de e-commerce vulneráveis que aceitam cartões bancários.

As empresas industriais também são um alvo regular para os cibercriminosos. No Brasil, México, Chile e Argentina, estão entre as 5 principais categorias de organizações que sofrem ataques cibernéticos, provavelmente devido à presença das maiores empresas da América Latina nesses países. Por exemplo, México, Brasil e Argentina ocupam posições de liderança na indústria de mineração da região. Esses países também têm indústrias bem desenvolvidas de engenharia mecânica e processamento químico. Quanto ao Chile, é o principal produtor mundial de cobre. Em fevereiro de 2024, por exemplo, o grupo de ransomware LockBit 3.0 anunciou em um fórum da dark web que havia realizado com sucesso um ataque cibernético a uma empresa industrial no Chile que fabrica componentes estruturais para a indústria de mineração.
 

Objetos alvo de ataques cibernéticos

Os ataques cibernéticos bem-sucedidos às organizações estavam predominantemente ligados ao comprometimento de computadores, servidores e equipamentos de rede (76%), bem como às interações com os funcionários da empresa (52%). Normalmente, esses dois vetores eram frequentemente combinados: os invasores empregavam técnicas de engenharia social para manipular indivíduos, obtendo assim acesso à infraestrutura da empresa e à capacidade de implantar malware. Por exemplo, em fevereiro de 2024, especialistas identificaram uma campanha direcionada aos setores industrial e de transporte, durante a qual o malware Timbre Stealer foi enviada por meio de e-mails de phishing. Dessa forma, os invasores enganaram os funcionários para que tomassem ações que resultassem na instalação de malware.

Quase um em cada cinco ataques cibernéticos bem-sucedidos em organizações (18%) visa recursos da web. Em comparação com o ano anterior, esse número aumentou 3 pontos percentuais.

Ataques a indivíduos

A proporção de ataques cibernéticos bem-sucedidos contra indivíduos na região foi de 22%, o que é 4 pontos percentuais acima da média global para o período em análise. O maior número de ataques cibernéticos a indivíduos ocorreu na Argentina (35%), Brasil (33%) e México (22%). Isso pode ser atribuído ao maior nível de digitalização nesses países em comparação com outras partes da região.

A maioria dos ataques cibernéticos a usuários individuais é realizada não por meio de vulnerabilidades técnicas dos sistemas de TI, mas por meio de engenharia social (82%). As pessoas são tipicamente o vetor inicial de um ataque cibernético, com computadores, servidores e dispositivos de rede servindo como o vetor de ataque subsequente em 57% dos casos. Por exemplo, em março de 2024, foi revelado que uma campanha de grande escala visava indivíduos e organizações em toda a América Latina. Os cibercriminosos se passaram por agências do governo colombiano e enviaram documentos PDF infectados, acusando os destinatários de violações de trânsito e outras infrações. Assim que o usuário abriu o documento, um trojan de acesso remoto (RAT) foi baixado em seu computador, dando aos cibercriminosos acesso ao sistema da vítima. Um desses arquivos PDF foi publicado no X (antigo Twitter) pela ANY.RUN, uma empresa que oferece serviços para análise interativa de malware.
 

Um em cada quatro ataques cibernéticos bem-sucedidos teve como alvo dispositivos móveis (26%). Isso é fácil de explicar: a cada ano que passa, os smartphones estão desempenhando um papel cada vez mais importante na vida das pessoas, tornando-se um assistente indispensável que nos permite ficar conectados e realizar uma variedade de tarefas. Isso abre oportunidades mais amplas para invasores que usam aplicativos maliciosos para infectar os dispositivos das vítimas. Por exemplo, um novo trojan bancário para Android chamado Zanubis foi descoberto em setembro de 2023. O trojan se disfarçou de aplicativos que prestam serviços governamentais aos moradores do Peru. O malware captura as teclas digitadas e registra a tela para obter informações confidenciais. De acordo com a Canalys, a demanda por telefones celulares aumentou na região em 20% ao longo do ano, e o setor de comércio eletrônico também teve um desenvolvimento significativo. Portanto, pode-se supor que o número de ataques cibernéticos a indivíduos via smartphones aumentará no futuro.

Métodos de ataque cibernético

Os principais métodos de ataque cibernético na ALC, bem como globalmente, continuam sendo engenharia social (57% dos ataques às organizações e 96% dos ataques a indivíduos) e malware (67% dos ataques às organizações e 79% dos ataques a indivíduos). Além disso, esses métodos são mais frequentemente combinados em um único ataque cibernético: 48% dos ataques cibernéticos bem-sucedidos às organizações e 71% contra indivíduos. Por exemplo, uma campanha global de phishing começou em julho de 2024, afetando também os residentes do México. Ele usava o Gigabud, um tipo de malware que era distribuído por meio de sites de phishing disfarçados de Google Play ou imitando sites de agências governamentais ou vários bancos, como o mexicano Hey Banco.

Em 28% dos ataques cibernéticos bem-sucedidos, os invasores exploram vulnerabilidades. Em maio de 2024,³ surgiram notícias da botnet CatDDoS. A botnet explorou mais de 80 vulnerabilidades conhecidas em vários softwares, afetando roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cisco e D-Link. A botnet deveria ser usada para ataques distribuídos de negação de serviço (DDoS).⁴ Os ataques cibernéticos visaram principalmente o Brasil, os Estados Unidos, a França, a Alemanha e a China.

3. Uma botnet é uma rede de dispositivos infectados com malware, usada por cibercriminosos para atingir seus objetivos.
4. Um ataque DDoS é um ataque cibernético no qual vários dispositivos enviam simultaneamente solicitações para um servidor, a fim de desativá-lo ou torná-lo menos acessível aos usuários normais.

Uso de malware

O ransomware foi usado em 49% dos ataques bem-sucedidos às organizações. Entre os grupos de ransomware predominantes na região estão BlackCat, Cl0p, LockBit 3.0, BlackByte, Medusa e 8Base.

Os tipos de malware mais comuns foram spyware (39%) e trojans bancários (35%). Para realizar ataques cibernéticos bem-sucedidos, os agentes mal-intencionados estão constantemente modificando e desenvolvendo novas versões de malware para evitar as defesas atuais. Em outubro de 2024, um novo trojan bancário apelidado de Silver Oryx Blade foi descoberto, visando principalmente residentes do Brasil. A cadeia de infecção inclui duas etapas principais: uma campanha de phishing e o download de arquivos ZIP maliciosos, juntamente com arquivos MSI e DLL. O trojan Silver Oryx Blade coleta credenciais e dados de cartões de pagamento (associados a mais de 50 bancos e instituições financeiras) e, em seguida, envia os dados extraídos para servidores C2 controlados por cibercriminosos.

As ferramentas de administração remota (RATs) também são usadas ativamente em ataques cibernéticos contra organizações e indivíduos: 32% dos ataques cibernéticos bem-sucedidos contra organizações e 30% contra indivíduos envolvem RATs.

Atividade de operadores de ransomware

As principais vítimas de ataques cibernéticos de ransomware entre as organizações durante o período observado foram instituições governamentais (25%), empresas de varejo (11%), organizações financeiras (9%) e instituições educacionais (9%). O setor público é particularmente atraente para os cibercriminosos, pois esses ataques cibernéticos podem levar a eventos não toleráveis em larga escala.⁵ Por exemplo, o site da prefeitura de Jacarezinho, no Brasil, foi vítima de um ataque cibernético de ransomware em julho de 2023. Como resultado, os bancos de dados municipais foram criptografados, impossibilitando o funcionamento dos serviços governamentais. Essa interrupção afetou uma variedade de serviços prestados aos residentes, incluindo faturamento, declaração de impostos e processamento de folha de pagamento. A instituição governamental levou quase duas semanas para restaurar totalmente suas operações.

5. Um evento não tolerável é um evento que resulta de um ataque cibernético e impede uma organização de atingir seus objetivos operacionais e estratégicos ou leva a uma interrupção significativa de seu negócio principal.

Ataques APT

A região também está passando por ataques cibernéticos direcionados realizados por grupos de ameaças persistentes avançadas (APT) (6%). Apesar da porcentagem relativamente pequena, os grupos APT representam uma ameaça distinta. Com amplos recursos e técnicas de ponta, eles podem atingir com sucesso entidades bem protegidas, como grandes empresas comerciais e instalações governamentais. Aqui está uma visão geral dos grupos APT mais ativos.

TA558

Ano de detecção. O grupo APT foi detectado pela primeira vez em 2018.
Alvos. O grupo tem como alvo vários países ao redor do mundo, mas a América Latina é seu foco principal.
Métodos. A equipe de inteligência de ameaças do PT ESC observa que o grupo emprega longas cadeias de ataque, envolvendo o uso de várias ferramentas e técnicas.
Atividade cibercriminosa. No primeiro trimestre de 2024, os principais Alvos do grupo eram empresas industriais (22%), prestadores de serviços (16%) e instituições governamentais (16%). Em abril de 2024, foi relatada uma campanha de phishing em larga escala visando uma ampla gama de indústrias na América Latina. As vítimas incluíam empresas dos setores de serviços, varejo e financeiro, bem como instalações industriais e governamentais no México, Colômbia, Brasil, República Dominicana e Argentina.

Blind Eagle

Ano de detecção. Os ataques cibernéticos do Blind Eagle ficaram conhecidos em 2018.
Alvos. O grupo APT geralmente tem como alvo os setores governamental, financeiro e industrial na Colômbia, Equador, Panamá e Chile.
Métodos. Os invasores enviaram e-mails de phishing com links e anexos maliciosos.
Atividade cibercriminosa.  O Quasar RAT, um trojan de acesso remoto, foi descoberto em junho de 2024. O grupo APT o entregou por meio de e-mails de phishing enviados em nome das autoridades fiscais colombianas. Várias organizações de seguros colombianas foram afetadas por esta campanha.

APT15

Ano de detecção. O grupo APT está ativo desde pelo menos 2010.
Alvos. Os grupos normalmente têm como alvo instituições governamentais em vários países, incluindo as da América Latina.
Métodos. O grupo emprega uma variedade de métodos e ferramentas, incluindo engenharia social, RATs e spyware.
Atividade cibercriminosa.  Em junho de 2023, a equipe de inteligência de ameaças da Symantec publicou um estudo sobre uma campanha que visava os ministérios das Relações Exteriores de países da América do Norte e do Sul no final de 2022 e início de 2023. Para executar os ataques cibernéticos, o APT15 empregou mais de uma dúzia de ferramentas, incluindo o novo backdoor Graphican para executar comandos e roubar arquivos dos computadores das vítimas.

Astaroth

Ano de detecção. O grupo APT foi detectado pela primeira vez em 2018.
Alvos. O grupo APT geralmente tem como alvo organizações e usuários na América Latina (principalmente no Brasil) e na Europa.
Métodos. Para distribuir sua própria ferramenta de trojan, o grupo normalmente usa e-mails falsos, posando como uma organização oficial, como o serviço fiscal federal, solicitando urgentemente a apresentação de uma declaração de renda.
Atividade cibercriminosa. Em outubro de 2024, a Trend Micro apresentou os resultados de uma investigação sobre uma campanha de phishing direcionada a várias organizações no Brasil. As principais vítimas do ciberataque foram empresas de manufatura, varejistas e agências governamentais.
 

Os ataques cibernéticos bem-sucedidos às organizações resultaram, na maioria das vezes, em violações de dados (53%) e interrupção da atividade principal (35%). Na maioria dos casos, ataques cibernéticos a indivíduos, assim como aqueles em organizações, resultaram no roubo de informações confidenciais (72%). Em 19% dos ataques cibernéticos, as vítimas sofreram perdas financeiras.

As violações de dados são uma consequência extremamente grave dos ataques cibernéticos, que podem ter um impacto devastador nas operações de uma organização. Em primeiro lugar, um vazamento de informações confidenciais afeta negativamente a reputação da empresa, o que, por sua vez, pode levar à perda de clientes e parceiros. E se uma instituição governamental é alvo, as consequências podem ser ainda mais terríveis, pois tais ataques podem levar à exposição de segredos de Estado e planos estratégicos, ameaçando assim a segurança nacional. Por exemplo, como resultado do ataque cibernético do ransomware Rhysida em maio de 2023, cerca de 360.000 documentos confidenciais do Exército chileno foram publicados no site dos invasores. Segundo Rhysida, isso representava apenas 30% dos dados roubados.

Dados pessoais (32%) e credenciais de contas (21%) representaram mais da metade do volume total de dados roubados de organizações como resultado de ataques cibernéticos. Em 30 de outubro de 2024, foi relatada uma violação de dados em uma das principais instituições financeiras do Peru, a Interbank. O criminoso alegou possuir informações sobre mais de 3 milhões de clientes do banco, incluindo seus nomes completos, IDs de conta, datas de nascimento, endereços e números de telefone, bem como detalhes de cartão de crédito e CVVs. De acordo com o invasor, o volume total de dados roubados ultrapassou 3,7 TB.

Em ataques cibernéticos direcionados a indivíduos, os invasores normalmente roubam credenciais de contas (41%), dados pessoais (23%) e dados de cartões de pagamento (23%).

Durante o estudo, os pesquisadores analisaram 2.458 postagens relacionadas à ALC publicadas em vários fóruns da dark web e canais do Telegram em 2023–2024.

O setor público é citado em 16% dos posts. Normalmente, nesses casos, os cibercriminosos não visam ganhos financeiros: uma parcela significativa das postagens destina-se ao compartilhamento de dados (59%). Em alguns casos, essas postagens são o trabalho de hacktivistas que buscam chamar a atenção do público para seus pontos de vista, ou cibercriminosos com o objetivo de aumentar sua reputação no mercado da dark web para promover seus serviços.

Mais frequentemente, a dark web apresenta postagens relacionadas aos setores públicos da Argentina (22%), Brasil (18%), México (15%), Colômbia (10%) e Equador (8%).

A análise revelou que os tópicos mais populares nos fóruns da dark web são bancos de dados (47% das postagens) e credenciais de acesso (26% das postagens). Um quarto das postagens são relatos de sistemas infectados por ransomware (20%) ou hackeados (4%). Outras postagens incluíram notícias sobre ataques DDoS executados e chamadas para participar de campanhas cibercriminosas, bem como anúncios sobre a compra de dados de cartões de pagamento e informações detalhadas sobre vulnerabilidades descobertas.

Bancos de dados

Metade das postagens na dark web estão relacionadas a bancos de dados (47%), com apenas 21% delas sendo vendidas e 74% compartilhadas gratuitamente. Os dados gratuitos são normalmente oferecidos por hacktivistas que buscam suas opiniões políticas ou por cibercriminosos que não conseguiram cobrar um resgate de sua vítima.
 

As informações confidenciais oferecidas por atores maliciosos foram obtidas principalmente por meio de ataques cibernéticos a organizações brasileiras (22%), argentinas (22%) e mexicanas (18%). Na maioria das vezes, os fóruns da dark web mencionam instituições governamentais — uma tendência observada nos três países. Além disso, o varejo chegou aos três principais setores mencionados nesses posts.

Entre as postagens relacionadas a organizações na Argentina, as que mencionam instituições de ensino são bastante comuns (16%). Por exemplo, dados relacionados a funcionários do Centro de Investigaciones para la Transformación (CENIT), um centro de pesquisa, foram publicados na dark web. Os dados incluem nomes, números de telefone, endereços de e-mail, endereços residenciais e outros dados pessoais.

No México, os cibercriminosos são mais atraídos pelo setor financeiro (16%). Uma das razões pelas quais os cibercriminosos podem distribuir dados gratuitamente é a obsolescência de dados. Por exemplo, um anúncio publicado em janeiro de 2024 oferecia dados de 2020; estava relacionado ao segundo maior banco do México — o Banamex.

Credenciais de acesso

Um em cada quatro anúncios (26%) envolve a venda, compartilhamento ou compra de credenciais para acessar infraestruturas corporativas comprometidas. A maioria dos anúncios que oferecem credenciais de acesso pede um preço (88%).

O preço médio das credenciais de acesso na região é de 924 dólares, 1,5 vezes maior do que o valor do ano passado. No entanto, a dark web também apresentou um anúncio oferecendo acesso à infraestrutura de um fabricante de aço por 3 BTC. Levando em consideração esse anúncio, o preço médio das credenciais de acesso sobe para 1.618 dólares.
 

Na maioria dos anúncios (65%) em que o preço de venda foi especificado, o preço variou de 100 a 1.000 dólares. A cada três anúncios (31%), o preço excedeu 1.000 dólares.

As ofertas com preços de até 100 dólares incluíam principalmente o acesso às infraestruturas das empresas de varejo.

A cada três anúncios (33%), o acesso via RDP e VPN é oferecido. Os mercados da dark web frequentemente apresentam acesso por meio de programas de acesso remoto (13%), como Citrix e RDWeb, bem como interfaces shell (10%). Os tipos de acesso oferecidos na dark web não são determinados pelos invasores, mas dependem da infraestrutura das empresas comprometidas.

Operadores de ransomware

Os fóruns da dark web frequentemente apresentam postagens relacionadas a ransomware (20%). Na maioria desses casos, os cibercriminosos afirmam ter executado com sucesso um ataque a uma determinada empresa (98%). Isso geralmente é feito para chamar a atenção do público e mostrar a extensão de suas atividades cibercriminosas. Posteriormente, eles podem publicar um anúncio para vender ou compartilhar os dados roubados.

Quase uma em cada quatro postagens (23%) na dark web estava vinculada ao grupo de ransomware LockBit 3.0. Por exemplo, em setembro de 2024, o grupo anunciou que havia realizado um ataque cibernético à Oleopalma, uma empresa industrial mexicana.

A América Latina e o Caribe viram um aumento na digitalização em 2023–2024: novas estratégias e iniciativas nacionais para adotar tecnologias avançadas estão surgindo, os sistemas de governo eletrônico e comércio eletrônico estão proliferando e o volume de investimento em fintech está crescendo. Isso, por sua vez, leva a um aumento no número e na complexidade das ameaças cibernéticas. Ao mesmo tempo, a postura de segurança cibernética da região está se fortalecendo devido ao surgimento de novos centros de resposta a incidentes e ao desenvolvimento de novas regulamentações de segurança cibernética.

Os ataques cibernéticos na região visam principalmente organizações e indivíduos no Brasil e no México. Isso pode ser devido aos seus níveis comparativamente mais altos de digitalização, bem como à falta de conscientização sobre segurança cibernética entre a população. As instituições governamentais continuam sendo o principal alvo de ataques às organizações. Para reduzir o número de ataques cibernéticos bem-sucedidos no futuro, é crucial promover a cooperação internacional no campo da segurança cibernética.

Os cibercriminosos costumam usar técnicas de engenharia social para induzir os indivíduos a tomar medidas que permitem que os cibercriminosos obtenham acesso à infraestrutura corporativa e implantem malware. Para evitar tais incidentes no futuro, é essencial realizar atividades regulares de conscientização sobre segurança cibernética entre os cidadãos.

A principal consequência de ataques cibernéticos bem-sucedidos continua sendo a violação de informações confidenciais, conforme confirmado pela análise de mercados da dark web. Portanto, é fundamental prestar atenção especial ao armazenamento de dados confidenciais e ao desenvolvimento de planos de resposta a ataques cibernéticos.
Atualmente, estão sendo tomadas medidas na região para resolver problemas emergentes de segurança cibernética. No entanto, os agentes mal-intencionados ainda são capazes de contornar as medidas de segurança existentes e realizar ataques cibernéticos.

Recomendações para melhorar a segurança cibernética na região

As seguintes ações podem fortalecer a postura de segurança cibernética nos países da ALC:

• Desenvolver o marco regulatório em segurança cibernética. Desenvolver uma estrutura estratégica não garante proteção completa, mas ajuda a traçar um curso para melhorar a postura de segurança cibernética de um país. Uma estratégia nacional de segurança cibernética deve incluir uma avaliação de ameaças, bem como metas e um plano de ação para prevenir ameaças. É por isso que especialistas qualificados em segurança cibernética devem estar envolvidos no processo de desenvolvimento da estratégia.
• Identifique eventos não toleráveis. Para entender por onde começar e como avançar com a segurança cibernética, é essencial analisar os principais riscos e identificar as consequências dos ataques cibernéticos que o governo e as organizações comerciais não estão dispostos a tolerar. Esta etapa permitirá que você identifique os ativos de TI mais valiosos e concentre seus esforços de proteção neles.
• Proteja a infraestrutura crítica de TI. Depois de analisar eventos não toleráveis no nível do país e do setor, o próximo passo é identificar a infraestrutura crítica de TI e desenvolver abordagens defensivas. A velocidade da transformação digital e o nível de maturidade da cibersegurança nacional também devem ser levados em consideração. Para garantir uma forte proteção contra ataques cibernéticos, é essencial usar apenas os métodos mais atualizados e combinar várias abordagens.
• Estabelecer centros de resposta a incidentes cibernéticos. Para melhorar a segurança cibernética na região, é essencial estabelecer uma cooperação entre as instituições governamentais e o setor privado. Por exemplo, estabelecer CERTs, CSIRTs ou CIRTs pode permitir a consolidação de esforços para resolver incidentes de segurança cibernética. Até o momento, esses centros existem apenas em alguns países da América Latina e do Caribe, e muitos deles precisam ser melhorados. Dentro desses centros, recomendamos a formação de equipes especializadas focadas em setores específicos.
• Use uma abordagem abrangente para proteger sua infraestrutura de TI. Para proteger melhor as infraestruturas de TI, é essencial implementar soluções abrangentes avançadas. Use scanners de vulnerabilidades com um banco de dados de vulnerabilidades extenso e atualizado regularmente, capaz de priorizar vulnerabilidades por gravidade, em combinação com soluções NTA que analisam o tráfego de rede e detectam tentativas de intrusão. Essa abordagem melhorará significativamente a postura de segurança das organizações diante de ameaças cibernéticas, permitindo a detecção rápida de invasores em todos os estágios dos ataques cibernéticos e a resposta oportuna a incidentes.
• Colaboração internacional. Uma cooperação mais forte com outros países para estabelecer uma estrutura regulatória comum e atualizar continuamente as bases de conhecimento de bases de dados de ciberameaças de medidas de segurança aumentará a segurança geral na era da informação. Além disso, a participação em conferências internacionais permitirá que especialistas de várias áreas troquem informações e examinem questões de diferentes perspectivas para determinar as soluções mais eficazes.
• Habilite profissionais de segurança cibernética. Para avançar na segurança cibernética na região e combater efetivamente os ataques cibernéticos, invista na capacitação da força de trabalho e no desenvolvimento de programas educacionais neste campo.
• Aumentar a conscientização pública sobre segurança cibernética. Nesta era de tecnologia disruptiva e digitalização contínua, as regras básicas de uso seguro da Internet devem ser conhecidas não apenas pelos profissionais de segurança cibernética, mas também pelos usuários comuns. Como muitos ataques cibernéticos envolvem métodos de engenharia social, os usuários da tecnologia moderna precisam estar cientes das práticas online seguras e saber como evitar os truques de atores mal-intencionados. Os governos precisam investir em campanhas de conscientização pública sobre as ameaças atuais e como se proteger contra elas.

O relatório contém informações sobre incidentes de segurança cibernética em países da América Latina e Caribe: Brasil, Argentina, México, Peru, Chile, Colômbia, Paraguai, Uruguai, Venezuela, Cuba, República Dominicana, Guatemala, Honduras, El Salvador, Nicarágua, Costa Rica, Panamá, Equador, Bolívia, Bahamas, Guiana, Porto Rico, Trinidad e Tobago. 

As informações são baseadas na experiência da Positive Technologies, descobertas de inúmeras investigações de incidentes e dados de fontes confiáveis. Especial atenção é dada ao Brasil, México, Colômbia, Chile e Argentina — países que desempenham um papel fundamental no desenvolvimento econômico e tecnológico da região e estão sujeitos ao maior número de ataques cibernéticos. Analisamos 350 canais do Telegram e fóruns da dark web, com um total de 192 milhões de postagens (escritas por 43 milhões de usuários).

Acreditamos que a maioria dos ataques cibernéticos não são tornados públicos devido a riscos de reputação. O resultado é que mesmo as organizações que investigam incidentes e analisam a atividade de grupos de hackers não conseguem fazer uma contagem precisa de ameaças cibernéticas. Este relatório tem como objetivo chamar a atenção de empresas e indivíduos que se preocupam com a segurança cibernética para os principais motivos e métodos de ataques cibernéticos e destacar as principais tendências no cenário de ameaças cibernéticas em constante mudança.

Este relatório considera cada ataque cibernético em massa (por exemplo, e-mails de phishing enviados para vários endereços) como um incidente, não vários. Para a explicação dos termos usados neste relatório, consulte o glossário da Positive Technologies.