• Nos últimos anos, os países da América Latina passaram por uma rápida transformação digital, que afetou todos os aspectos das vidas dos cidadãos e todos os setores econômicos. O aumento do risco de ameaças cibernéticas foi uma consequência dessa transformação, e a região não estava preparada para isso.
• A América Latina registrou 12% do total de ataques no mundo todo em 2022. Os invasores tiveram como foco organizações e indivíduos no Brasil, México e Argentina, o que corresponde a 44% do total de ataques.
• A maioria dos ataques bem-sucedidos tinham como alvo instituições públicas (31%), empresas industriais (11%), instituições financeiras (9%) e empresas de varejo (9%).
• Os ataques de ransomware são as ameaças cibernéticas mais graves para às instituições públicas e as empresas da região. Considerando as atividades desses agentes, a parcela de ataques bem-sucedidos (52%) que levaram a interferências nas atividades das empresas (paralisação dos processos de negócios ou perda do acesso a dados e infraestrutura) é maior do que a média mundial. Em especial, os ataques de ransomware na região costumam ter como alvo setor público: a parcela das instituições públicas afetadas (31%) é 2,2 vezes maior do que a média mundial para o mesmo período.
• Em 61% dos casos, os ataques bem-sucedidos às organizações públicas e privadas levaram ao vazamento de informações confidenciais. Nesses casos, a principal motivação dos invasores provavelmente era financeira. Os invasores vendem as informações roubadas (geralmente dados pessoais ou de contas) na dark web ou as utilizam em futuros ataques ou extorsões.
• Em fóruns paralelos, os criminosos negociam e trocam dados roubados, serviços de invasões e acesso às redes de organizações latino-americanas. Mais da metade dos anúncios (53%) que especificam um país da região, mencionam Brasil, México, ou Argentina. O serviço mais vendido na dark web é o acesso a redes de instituições financeiras, instituições públicas, empresas de TI, empresas industriais e organizações de prestação de serviços.
• O aumento dos ataques a dispositivos móveis pessoais na região deve-se aos altos níveis de difusão da Internet, uso de dispositivos móveis e pagamentos eletrônicos. Os malwares representam 78% dos ataques e são utilizados com maior frequência na América Latina do que em qualquer região do mundo: 40% deles são spywares e 32% são cavalos de Troia bancários. O baixo nível de instrução cibernética da população demonstra que os ataques costumam ser bem-sucedidos.
• Os governos latino-americanos precisam intensificar a cooperação regional quanto ao combate ao crime cibernético e entrar em acordo quanto à legislação de segurança cibernética, aproveitando a experiência acumulada e as melhores práticas dos países desenvolvidos.
• As recomendações para aprimorar a segurança cibernética a nível estatal incluem o desenvolvimento de estratégias nacionais de segurança cibernética; fortalecimento dos laços entre organizações e centros de resposta nacionais de incidentes cibernéticos; estímulo a programas de ensino a capacitação na área da segurança cibernética; promoção da cooperação internacional e da troca de informações.
• As recomendações para aprimorar a resiliência cibernética das organizações incluem a definição de eventos não toleráveis e a proteção de ativos essenciais, acompanhamento e resposta a ameaças cibernéticas com ferramentas avançadas de segurança, avaliação da eficiência das medidas implementadas, capacitação e treinamento de funcionários.

Desenvolvimento de tecnologias digitais na região

A América Latina e o Caribe possuem economias diversas, cada um com características históricas, culturais e geográficas únicas. Alguns dos países, como Brasil e México, apresentam desenvolvimento econômico dinâmico e possuem setores industriais robustos. Ao mesmo tempo, outros países, principalmente os países menores da América Central e do Caribe, enfrentam dificuldades econômicas e apoiam-se no turismo e na agricultura. O PIB combinado da região representa 6% do PIB mundial, destacando sua importância no contexto econômico mundial.

O desenvolvimento da economia digital é um dos principais fatores para promover o crescimento econômico. A transição para a economia digital pode aprimorar o desenvolvimento econômico, aumentar a produtividade e criar novos empregos, o que é fundamental para uma região marcada por altos níveis de desemprego e desigualdade social. Embora a região habitualmente está atrás das economias mais desenvolvidas em relação à digitalização, nos últimos anos, os países latino-americanos têm adotado e desenvolvido ativamente tecnologias e serviços digitais. Isso é perceptível principalmente em serviços públicos e de saúde, tecnologias financeiras e varejo.

No início de 2023, estimou-se que a taxa de penetração da Internet na região era de 75%, ultrapassando a média mundial de 65%. Essa taxa é de 84% no Brasil, 87% na Argentina e 77% no México.

A digitalização da região envolve tanto a expansão do acesso à Internet, quanto a integração de novas tecnologias ao cotidiano dos cidadãos, como serviços bancários móveis, compras virtuais e sistemas domésticos inteligentes. Cerca de 66% da população adulta faz compras virtuais. Esse número é maior do que 80% na Argentina, no Brasil, no Chile e na Colômbia. O comércio eletrônico está crescendo na região: especialistas estimam que o volume de transações aumentará em 27% em 2023, chegando a USD 509 bilhões.

Em vários países, principalmente no Brasil, na Argentina, no México, na Colômbia e no Chile, foram estabelecidos programas nacionais para estimular o desenvolvimento da economia digital. Essas estratégias focam na integração das novas tecnologias em todos os setores, principalmente na otimização dos serviços públicos e no desenvolvimento de comércios eletrônicos e de pagamentos digitais. De acordo com diversas análises, como o Índice de Desenvolvimento em Governo Eletrônico e o Índice de Maturidade GovTech, os serviços públicos da maioria dos países da região possuem níveis altos ou muito altos de desenvolvimento digital.

Problemas de segurança cibernética

Apesar do desenvolvimento tecnológico ativo, diversos países ainda carecem de estruturas legislativas satisfatórias e de infraestruturas de combate ao crime cibernético. As questões de segurança cibernética têm se tornado especialmente preocupantes na América Latina devido à falta de profissionais qualificados, de padrões e normas claros e de uma cultura de segurança da informação entre usuários, além de terem recursos limitados para investimento em serviços de tecnologia. Tudo isso faz com que a região fique altamente vulnerável às ameaças cibernéticas.

Considerando as estimativas dos especialistas, os ataques cibernéticos representam para os países da região um prejuízo de cerca de 1% do PIB, podendo chegar a 6% caso afetem infraestruturas essenciais. Em um estudo da Fortinet, 31% das organizações latino-americanas relataram que ataques cibernéticos causaram prejuízos de mais de USD 1 milhão.

Os resultados do relatório do Índice Global de Segurança Cibernética de 2020 indicam que a América Latina possui os índices mais baixos de segurança cibernética se comparados com os índices de outras regiões.

Apenas 10 dos 33 países da América Latina possuem a índice de segurança cibernética acima da média mundial. Na vanguarda, ficam o Brasil (96,60) e o México (81,68). Na maioria dos países, o problema está na falta de recursos. Países mais abastados, evidentemente, podem investir mais na infraestrutura e no desenvolvimento da segurança cibernética.

A região enfrenta diversos obstáculos no caminho para a resiliência cibernética. Inicialmente, isso ocorre pela falta de financiamento. De acordo com a Organização para a Cooperação e Desenvolvimento Econômico, a maioria das empresas da região (99%) são pequenas e médias, o que as torna a base da economia. Essas empresas podem não possuir recursos suficientes para proteger seus ativos e para contratar uma equipe qualificada de segurança cibernética, o que as deixa vulneráveis a novas ameaças. Segundo o Relatório de Segurança da ESET, 65% dos especialistas acreditam que suas organizações precisam investir mais em segurança cibernética.

A região também apresenta escassez de profissionais qualificados nessa área. Em 2022, o ISC2 estimou a falta de 516 mil funcionários somente no Brasil e no México. Por outro lado, 94% das organizações planejavam aumentar a mão de obra em segurança cibernética. Infelizmente, os países da região têm vivenciado um êxodo de cérebros devido aos salários relativamente baixos se comparados com os oferecidos em outras regiões. Vários especialistas latino-americanos têm buscado oportunidades educacionais e profissionais na América do Norte e na Europa. Segundo a e-Governance Academy, apenas 12 países da região oferecem bacharelado em segurança da informação e 15 países oferecem mestrados.

Também existem problemas políticos. A abordagem de segurança cibernética permanece majoritariamente reativa, com ações tomadas apenas em resposta a incidentes já ocorridos. Essa abordagem pode negligenciar ameaças emergentes. A postura em relação à segurança na legislação também carece de um senso de responsabilidade. Por exemplo, nem todos os países da região adotaram estratégias nacionais de segurança cibernética. Em novembro de 2022, foi publicado um plano de desenvolvimento digital para países da América Latina e do Caribe, visando implementar uma estratégia nacional de segurança cibernética em 20 dos 33 países da região até 2024. Mas apenas estratégias de alguns países mencionam problemas de segurança de infraestrutura essencial. Não existe uma legislação unificada no que se refere à segurança cibernética ou à proteção de dados entre os países da América Latina. Porém, estão surgindo iniciativas individuais para alinhar as leis com as melhores práticas. O Brasil e a Argentina, por exemplo, atualizaram sua legislação quanto à proteção de dados pessoais seguindo o RGPD europeu. No entanto, os requisitos legais variam em cada país, que pode criar complicações adicionais à transferência internacional de dados e à luta contra o crime cibernético. Alguns países da região (Brasil, Argentina, Colômbia, Chile e Costa Rica) assinaram a Convenção de Budapeste sobre crimes cibernéticos. Mas a nível regional, os esforços para unificar a legislação e combater as ameaças cibernéticas estão evoluindo lentamente.

24 países da região possuem equipes nacionais de resposta a incidentes cibernéticos. No entanto, mesmo em países nos quais os procedimentos para relatar incidentes cibernéticos e dialogar com CERTs ou CSIRTs estão em vigor, os profissionais de segurança cibernética nem sempre estão familiarizados com eles. O Relatório de Segurança Cibernética LATAM CISO 2023 aponta que a maioria dos entrevistados compreende o procedimento para interagir com CERTs. No entanto, 32% deles declararam não saber como e onde relatar um incidente cibernético. Ademais, 35% dos entrevistados expressaram não confiar muito em CERTs nacionais.

Os países latino-americanos registraram 12% do total de ataques em 2022, segundo o relatório da IBM. Existe uma correlação clara entre o tamanho da economia do país, seu desenvolvimento de tecnologias digitais e o número de ataques. Os invasores tiveram como alvo instituições públicas e privadas e indivíduos: no Brasil (22% de todos os ataques da região), México (12%), Argentina (10%), Costa Rica (9%), Colômbia (9%) e Chile (8%).

De acordo com a pesquisa do Relatório de Segurança Cibernética LATAM CISO 2023, 71% dos líderes em segurança cibernética. no último ano. perceberam um aumento dos ataques à suas organizações, enquanto apenas 8% perceberam uma diminuição. Na pesquisa da ESET, 69% dos entrevistados registraram pelo menos um incidente de segurança no ano anterior. O estudo da Fortinet relata que 58% dos entrevistados esperam aumento de ataques em um futuro próximo.

Desde o início de 2022 até a primeira metade de 2023, a maioria dos ataques bem-sucedidos a organizações da região tinham como alvo instituições públicas (31%), empresas industriais (11%), instituições financeiras (9%) e empresas de varejo (9%).

13% dos ataques bem-sucedidos foram direcionados a indivíduos.

78% dos ataques foram direcionados, o que significa que tiveram como alvo organizações, indústrias ou indivíduos específicos.

Os ataques às pessoas físicas representaram 13% dos ataques bem-sucedidos na região, o que representa um número ligeiramente abaixo da média mundial (17%). No entanto, essa porcentagem foi mais elevada em países como o México (23%) e o Brasil (20%).

A maioria dos ataques bem-sucedidos a organizações resultaram em vazamento de informações confidenciais (61%) e interrupção de operações (52%). Isso representa uma média acima da mundial, o que provavelmente ocorre devido a alta atividade de ransomware na região.

A motivação principal dos invasores é a possibilidade de lucro. Há uma quantidade significativa de ataques envolvendo o roubo de dados, mas os invasores não estão interessados nos dados em si (geralmente dados pessoais ou de contas). Os pesquisadores sugerem que os invasores costumam vendê-los na dark web ou utilizá-los em ataques ou extorsões no futuro. A utilização frequente dos ransomwares (63% dos ataques a organizações) confirma essa possibilidade.

Nos últimos dois anos, o incidente mais importante da região foi uma série de ataques de ransomware sem precedentes a organizações governamentais da Costa Rica, que afetou o sistema de TI de 27 instituições. Foi declarado estado de emergência devido a indisponibilidade de uma parcela significativa da infraestrutura de TI do país. Já nas primeiras 48 horas do ataque, os criminosos causaram um prejuízo equivalente a USD 125 milhões, e o processo de restabelecimento da infraestrutura do país levou vários meses.

Instituições públicas

As instituições públicas foram os alvos mais frequentes dos ataques. Há diversos motivos para que elas sejam do interesse dos criminosos cibernéticos. Essas instituições mantêm bancos de dados amplos que envolvem dados pessoais de cidadãos, informações econômicas e de segurança nacional. Elas podem ser utilizadas para extorsão, espionagem ou podem ser vendidas no mercado paralelo.

Os sistemas públicos estão passando pelo processo de digitalização, e cada vez mais, os serviços estão sendo oferecidos on-line, imediatamente tornando-se alvo de hackers. Por exemplo, o governo jamaicano foi invadido assim que introduziu o sistema eletrônico de preenchimento de formulários de alfândega e imigração. Os invasores exigiam USD 35 de usuários inocentes para acessarem o sistema.

Algumas instituições públicas da região também utilizam os sistemas de proteção da informação desatualizados e inadequados, o que as torna um alvo fácil para ataques cibernéticos. Outros fatores relevantes são o financiamento insuficiente e o baixo nível de treinamento em segurança cibernética. Por exemplo, em setembro de 2022, o grupo Guacamaya invadiu os servidores das estruturas estatais do México, Peru, Colômbia e El Salvador através de uma vulnerabilidade ProxyShell no serviço do Exchange. A atualização de segurança oficial foi lançada no início de 2021, mas as organizações comprometidas não haviam feito a atualização. No caso do ataque à Secretaria Nacional de Defesa do México, os invasores exploraram as vulnerabilidades de um servidor gratuito de e-mail, o Zimbra. Ao que parece, o software foi utilizado devido a um corte de orçamento.

Ataques cibernéticos podem ser uma ferramenta de pressão política, desestabilização ou demonstração de poder. Também podem ser utilizados para interferir em eleições ou outros processos políticos. Alguns grupos podem ter instituições governamentais como alvo para promover suas crenças ideológicas. Por exemplo, o grupo Guacamaya é um grupo de hackers ativistas que apoiam a proteção ambiental na América do Sul. Eles roubam e publicam dados de instituições públicas e empresas industriais. Desde 2022, os ativistas publicaram mais de 20 TB de dados roubados.

Empresas industriais e de energia

As indústrias de energia e de transformação, principalmente o setor petrolífero, são fundamentais para o crescimento e desenvolvimento econômico latino-americano. Os transtornos nesses setores podem gerar problemas econômicos e sociais exponenciais. Os ataques bem-sucedidos resultaram em interrupções da infraestrutura de TI em 58% dos casos em empresas industriais.

As organizações industriais costumam possuir patrimônio intelectual valioso. Em 77% dos ataques bem-sucedidos, os invasores conseguem roubar informações, e na metade dos casos, as informações roubadas contêm segredos industriais. O Guacamaya foi especialmente ativo nesse âmbito: em 2022, o grupo publicou mais de 2TB de informações roubadas de empresas de mineração na América Central e na América do Sul.

Aproximadamente 6% de todos os anúncios relacionados à região na dark web envolvem a venda de acesso a redes de empresas no setor de manufatura e de energia. O preço médio para acessar essas informações varia entre USD 600 e USD 800, dependendo do tamanho da empresa e do nível de privilégio do acesso. Um anúncio atípico estava oferecendo acesso a uma empresa de energia na Argentina por USD 1.700.

Setor financeiro

O setor financeiro permanece como o alvo principal para criminosos cibernéticos na América Latina devido à ampla transformação digital e aos possíveis lucros para invasores. No entanto, as empresas financeiras são relativamente bem protegidas. Nos últimos dois anos, não ocorreram grandes ataques que resultaram em interrupções relevantes de serviços, ou roubos de fundos em grande escala. Os criminosos estão mais interessados em roubar dados confidenciais e em extorsões: em 70% dos ataques bem-sucedidos a organizações financeiras, são roubadas informações confidenciais de clientes.

Em 45% dos ataques, foram utilizados ransomwares. As famílias LockBit e BlackCat são as mais comumente utilizadas. Por exemplo, em outubro de 2022, um grupo de ransomware atacou um banco no Brasil usando um malware da LockBit e pediu um resgate de 50 bitcoins, o que na época era o equivalente a USD 1 milhão. O ataque causou vazamento de dados e a interrupção temporária de serviços ao cliente.

Em 2023, um malware para caixas eletrônicos chamado FiXS começou a se espalhar pela América Latina, principalmente no México. Esse malware permitia que criminosos sacassem dinheiro de caixas eletrônicos. Embora o número de ataques a caixas eletrônicos ter diminuído continuamente nos últimos anos, o início deste ano observou o reaparecimento do uso desse tipo de malware.

Além disso, os invasores estão direcionando seus ataques tanto a bancos, quanto aos seus clientes, principalmente os de bancos brasileiros que utilizam o famoso sistema de pagamento instantâneo, o PIX. Diversos cavalos de Troia bancários surgiram para atacar especificamente esse sistema. Em linhas gerais, conforme os pagamentos eletrônicos e os bancos digitais continuam a evoluir, podemos esperar um aumento no número de ameaças a usuários que são negligentes em relação a sua segurança, e, consequentemente, mais vulneráveis a ataques de phishing. Dessa forma, os bancos devem focar em proteger seus aplicativos e reforçar a conscientização dos clientes quanto à segurança cibernética.

Varejo

Entre os ataques direcionados a empresas, 9% ocorreram no setor de varejo. A maioria das empresas atacadas estão localizadas nos maiores países da região: Brasil, Argentina e México. Entre elas estão o Mercado Libre, a Fast Shop e a Rede Top.

Os sistemas de TI dessas empresas processam e armazenam uma quantidade ampla de informações sobre os usuários, o que é muito valioso para os criminosos cibernéticos. Além disso, diversos sistemas de pagamento estão ligados a lojas virtuais, criando oportunidades para o roubo de fundos e a interceptação de informações de cartões de banco. Durante o período em análise, 68% dos ataques bem-sucedidos causaram violação de dados, principalmente informações pessoais de consumidores.

Os ransomwares representam a principal ameaça ao varejo e estão envolvidos em 84% dos ataques bem-sucedidos. Ao mesmo tempo, as plataformas on-line são extremamente vulneráveis a interrupções: um dia de paralisação pode custar milhões de dólares à empresa. Por exemplo, o conglomerado brasileiro Americanas.com relatou uma perda de USD 184 milhões devido ao ataque cibernético que interrompeu as vendas virtuais por vários dias. No setor em geral, 58% dos ataques bem-sucedidos interromperam as operações das empresas.

O comércio eletrônico é um dos setores com crescimento mais rápido na América Latina, e o varejo representa a significativa parcela de 53%. As previsões estimam uma taxa anual média de crescimento no varejo virtual de 21% entre 2023 e 2026, e um crescimento proporcional de ataques ao setor.

Os ataques às organizações se relacionam principalmente ao comprometimento de computadores, servidores e equipamento de rede (87%). Os ataques bem-sucedidos a recursos da Web representam 15%, com 54% dos incidentes envolvendo exploração de vulnerabilidades conhecidas e divulgadas publicamente.

Mais de um terço dos ataques a indivíduos (34%) são direcionados a dispositivos móveis, uma taxa maior do que a média mundial (22%) e próxima da taxa de países asiáticos (37%). A popularidade desse tipo de ataque se dá pelo alto nível de difusão da Internet móvel e da utilização de dispositivos móveis na região. O relatório 2023 Latin America E-commerce Blueprint aponta que 70% das compras online e outros pagamentos foram feitos através de smartphones em 2023, um número que cresce anualmente. Ademais, o número de usuários de dispositivos móveis está aumentando a cada ano e deve alcançar 74% da população até 2025. Consequentemente, o número de ataques a dispositivos móveis também irá aumentar.

Com frequência, os ataques bem-sucedidos direcionados a organizações usam engenharia social (53%). Foi registrada a exploração de vulnerabilidades em 27% dos casos e comprometimento de credenciais em 19%. Os malwares são utilizados na mesma proporção em ataques a organizações (80%) e a indivíduos (78%).

Malware

Os países da América Latina apresentam a maior porcentagem de utilização de ransomware em ataques a organizações (79%) se comparados com a média mundial (53%).

Os malwares representam 78% dos ataques e são utilizados na América Latina com maior frequência do que em qualquer região do mundo: 40% deles são spywares e 32% são cavalos de Troia bancários. Diversos fatores contribuem para essa tendência: a utilização generalizada de softwares pirateados e de programas de VPN não verificados para acessar recursos bloqueados, além disso, o baixo nível de conscientização em segurança cibernética.

Os principais métodos de disseminação de malwares em organizações é através do e-mail (54%) e do comprometimento de computadores e servidores (35%). Os malwares acessam dispositivos individuais quando os usuários visitam websites infectados (55%) ou abrem links de e-mails (29%). As lojas de aplicativos oficiais também podem se tornar fontes de infecção caso os invasores consigam contornar os sistemas de segurança e camuflar seus programas como se fossem legítimos.

Ataques de ransomware

Enquanto o mundo tem observado uma tendência de diminuição de ataques de ransomware, esse tipo de ameaça está aumentando na América Latina. Segundo o IBM X-Force Threat Intelligence Index, o número de incidentes relacionados a ransomware na América Latina aumentou em 3% em 2022. Além disso, os métodos dos criminosos estão evoluindo: o tempo médio de um ataque diminuiu de dois meses para quatro dias. Se compararmos os primeiros semestres de 2022 e 2023, o aumento de ataques de ransomware na região permanece no mesmo nível, com 3%.

Cerca de um terço dos ataques de ransomware (31%) são direcionados a instituições públicas. Essa parcela é significativamente maior do que em outras regiões (cerca de 2,2 vezes), a média mundial é de 14%. Empresas industriais, varejo e instituições de saúde e de ensino e educação também estão entre as 5 principais categorias de vítimas desses ataques.

As empresas ainda não estão totalmente preparadas para lidar sozinhas com as consequências dos ataques de ransomware. Por exemplo, em pesquisa conduzida nos países latino-americanos pela Veeam, 58% dos entrevistados disseram que suas organizações pagaram o resgate e conseguiram recuperar os dados, enquanto 14% pagaram e não conseguiram recuperá-los. Apenas 21% dos entrevistados disseram que não pagaram o resgate, pois conseguiram restaurar os dados a partir de cópias de segurança. Segundo a Veeam, as organizações pagaram o resgate por meio de seguros em 77% dos casos. No entanto, as condições para os seguros de risco cibernético têm mudado: as seguradoras começaram a aumentar as franquias e os prêmios. 20% dos entrevistados informaram que algumas seguradoras estão excluindo os ataques de ransomware de suas coberturas. Provavelmente por conta do alto número de organizações sendo atacadas por ransomware e outras ameaças que afetam diretamente os dados. Os sistemas de cópias de segurança têm se tornado a tecnologia de segurança mais habitual nas redes corporativas, utilizada por 88% das empresas. No entanto, segundo outro estudo, o Relatório de Ameaça a Dados da Thales, apenas 60% dos entrevistados disseram que suas organizações possuem um plano de resposta em caso de ataque de ransomware (o que já representa um progresso relevante se comparado com 2021, quando apenas 42% dos entrevistados informaram possuir um plano).

Existem diversos grupos de ransomware atuando na região, e nos últimos dois anos, os mais ativos são os seguintes:

• LockBit

O grupo de ransomware LockBit, ativo desde 2019, atacou instituições públicas e privadas na América do Sul. No entanto, nem todos os ataques foram diretamente feitos pelo grupo: o LockBit dissemina seu malware de mesmo nome através do modelo ransomware como serviço (RaaS).

• BlackCat (ALPHV, UNC4466, Noberus)

O grupo de ransomware BlackCat está ativo desde 2021. Os criminosos cibernéticos atacam instituições públicas e privadas na América Latina e no mundo.

• Cl0p

O grupo de ransomware Cl0p foi detectado pela primeira vez em 2019. Os invasores direcionam seus ataques a uma grande variedade de segmentos no mundo todo, mas na América Latina, eles são direcionados a universidades e organizações financeiras no México, na Colômbia e em Porto Rico.

• BlackByte

O grupo ransomware BlackByte foi observado pela primeira vez em 2019. Eles operam no mundo inteiro, mas na América Latina, focam em instituições públicas e empresas industriais no México, na Argentina e no Peru. Assim como a LockBit, eles também distribuem seu ransomware através do modelo RaaS.

• Rhysida

O grupo de criminosos cibernéticos Rhysida apareceu em maio de 2023. Eles se camuflam como uma equipe de segurança cibernética que oferece assistência às vítimas. Na América do Sul, o Rhysida destacou-se pelos ataques às instituições públicas e de saúde. Em maio de 2023, o grupo atacou a infraestrutura de TI do exército chileno, o que resultou em interrupções significativas do sistema e no vazamento de informações confidenciais.

• Conti

O grupo de ransomware Conti conduziu ataques a instituições privadas e públicas no mundo todo. Eles lançaram uma campanha em 2022 direcionada a instituições públicas da Costa Rica. Uma série de ataques cibernéticos levou à paralisação dos sistemas do governo por quase um mês, ao vazamento de 672 GB de dados e à declaração de estado de emergência no país. Mas no final de junho de 2022, o grupo desativou seus websites e deixou de existir. Acredita-se que foi dividido em diversos grupos menores.

Desenvolvimento dos mercados paralelos

Em plataformas paralelas, os criminosos negociam e trocam acesso a redes corporativos, dados roubados, ferramentas e serviços para realização de ataques. O interesse em organizações de países da América Latina está crescendo: durante os primeiros três trimestres de 2023, o número de mensagens da dark web relacionadas à região já superou em 32% o número de mensagens de 2022. Mais da metade dos anúncios (53%) especificam um país da região, citando Brasil, Argentina ou México.

A maioria das mensagens na dark web (70%) anuncia a venda ou a aquisição de acesso a infraestruturas de instituições públicas ou privadas. Um quinto (22%) dos anúncios envolvem a venda, aquisição, ou distribuição de bancos de dados contendo informações confidenciais. Aproximadamente 6% das mensagens envolvem notícias sobre recursos violados.

O serviço mais vendido na dark web é o acesso a redes de instituições financeiras, instituições públicas, empresas de TI, empresas industriais e organizações de prestação de serviços. Os bancos de dados vendidos ou distribuídos gratuitamente costumam conter informações vazadas de instituições públicas, empresas de telecomunicações, lojas virtuais e instituições financeiras.

O custo do acesso depende de diversos fatores, como as características da organização, setor e receita anual, bem como o tipo de acesso oferecido e o nível de privilégio de acesso. O custo médio gira em torno de USD 600. O tipo mais caro de acesso é o de credenciais de conta para entrar na infraestrutura financeira da organização: o acesso ao banco é oferecido por uma média de USD 1.400, mas o valor pode chegar a USD 18 mil.

Engenharia social

Os ataques que utilizam engenharia social representam uma das principais ameaças à região, tanto a organizações, quanto a indivíduos. Por exemplo, em 53% dos ataques bem-sucedidos, para infiltração de um ransomware na rede corporativa foi utilizado e-mail. O relatório da KPMG Fraud Outlook descobriu que 32% dos entrevistados latino-americanos perceberam um aumento na tentativa de ataques de phishing em 2022, enquanto o Relatório da LATAM CISO: Percepções de Cibersegurança dos Líderes da Indústria indicou que 88% dos líderes em segurança cibernética consideram as diversas formas de engenharia social como a principal ameaça às empresas.

Uma pesquisa conduzida pela KnowBe4 indicou que os níveis de conscientização dos funcionários em organizações latino-americanas são menores se comparados a outras regiões, sendo que 41% dos usuários não são capazes de reconhecer um ataque de phishing. Isto significa que quatro em cada dez funcionários podem fazer download e abrir anexos de e-mails de phishing, clicar em links maliciosos ou entregar credenciais aos invasores. Em outras regiões, o número não ultrapassa 35%.

Os ataques de engenharia social costumam atingir indivíduos através de redes sociais, aplicativos de mensagem ou campanhas de e-mail. No entanto, mais frequentemente, esses ataques ocorrem através de phishing ou de websites comprometidos (58%). O maior número de sites de phishing foi encontrado no Brasil. De acordo com o SocRadar, mais de 2.600 possíveis domínios falsos foram registrados de outubro de 2022 a outubro de 2023, visando imitar websites de organizações brasileiras. O Anuário Brasileiro de Segurança Pública relatou um aumento de 66% em casos de fraude online em 2022. A ameaça também é significativa em outros países da região: no mesmo período, foram registrados cerca de 1.000 domínios falsos na Colômbia, mais de 800 na Argentina e mais de 500 no México e no Peru. Os criminosos costumam imitar sites de troca de criptomoedas, de instituições financeiras e de serviços governamentais.

Em maio de 2023, os pesquisadores identificaram uma campanha de phishing em grande escala direcionada a indivíduos e organizações do México. Os invasores enviaram e-mails com anexos que imitavam o formato do recibo fiscal CFDI utilizado no México. Ao abrir o anexo, o dispositivo do usuário era infectado com um malware capaz de capturar as credenciais de autenticação de contas bancárias. Os especialistas acreditam que essa campanha começou em 2021, e que os golpistas enganaram mais de 4 mil vítimas nos últimos dois anos, acumulando mais de USD 55 milhões.

Cavalos de Troia bancários

Os cavalos de Troia bancários representam uma ameaça relevante aos indivíduos latino-americanos, constituindo um terço (32%) de todos os malwares detectados. A região tem observado um aumento de trojans bancários, como BBTok, GoatRAT, PixBankBot e Grandoreiro. Os residentes do Brasil e do México são mais vulneráveis, pois os invasores se interessam bastante por esses países devido ao tamanho populacional e a difusão do uso de bancos virtuais.

Em setembro de 2023, o cavalo de Troia bancário BBTok começou a se espalhar pela América Latina, tendo como alvo os habitantes do México e do Brasil. Ele imita a interface de mais de 40 bancos mexicanos e brasileiros, incluindo Citibank, Scotibank, Banco Itaú e HSBC. Isso engana os usuários, que inserem os códigos de autenticação em duas etapas e dão aos criminosos o controle sobre as contas. Além disso, o malware pode roubar os números de cartões de pagamento.

No Brasil, os ataques têm focado no sistema de pagamento instantâneo, o PIX. Por exemplo, o trojan GoatRAT tem como alvo usuários de três bancos brasileiros: Nubank, Banco Inter e PagBank. O cavalo de Troia intercepta a chave PIX necessária para as transferências e rouba os fundos da conta bancária da vítima.

Vazamento de dados

Segundo a IBM, o custo médio do prejuízo causado por vazamento de informações em países da América Latina aumentou em 32% ao longo do ano e equivalia a USD 3,69 milhões no início de 2023. A maioria dos ataques que resultaram em vazamento de dados ocorreu no setor público (27%), seguido por indústria de manufatura (15%), setor financeiro (10%), varejo (10%) e educação (7%).

Em ataques a organizações, os criminosos priorizam o roubo de dados pessoais (40% do volume total de informações roubadas) e de informações contendo segredos comerciais (21%). Geralmente, os dados pessoais dos cidadãos são vazados dos sistemas de instituições públicas, organizações financeiras e instituições de ensino e educação. A principal causa para o vazamento de dados nas organizações são os ataques de ransomware, que exigem um pagamento para não divulgar os dados roubados. Ataques a indivíduos levam ao roubo de dados pessoais (25%) e de conta (38%) e dados de cartões de pagamento (25%).

Os invasores podem vender dados comprometidos na dark web ou divulgá-los publicamente. Por exemplo, o hospital argentino Garrahan sofreu um ataque cibernético em 2022 e os dados roubados foram colocados à venda na dark web por USD 1.500.

Entre os bancos de dados encontrados na dark web, 28% são roubados de instituições públicas, 20% de empresas de TI e 8% de organizações financeiras.

Nos últimos anos, os países latino-americanos vivenciaram uma série de ataques que influenciaram o funcionamento de setores essenciais e, até mesmo, de um país inteiro. A região está extremamente despreparada para ameaças cibernéticas devido a fatores econômicos e sociais, bem como pela rápida adoção de tecnologias digitais sem garantir a proteção necessária. Acreditamos que a cooperação entre os países, o investimento em segurança, o apoio político por transformações e o aperfeiçoamento na parte da conscientização e educação são passos essenciais a serem tomados. Propomos uma série de medidas para reforçar a segurança cibernética nas organizações, setores e toda a região.

Recomendações para autoridades governamentais

Adoção de estratégias de segurança da informação a nível nacional

Apenas uma parcela dos países da América Latina adotou estratégias nacionais de segurança cibernética. Ainda que a adoção de uma estratégia não garanta um aumento nos níveis de segurança, esses documentos definem a direção para o desenvolvimento complementar e enfatizam a importância da segurança cibernética a nível estatal. Os governos devem desenvolver, implementar e atualizar regularmente as políticas e estratégias nacionais de segurança cibernética, envolvendo uma ampla gama de partes interessadas no processo. O desenvolvimento de estratégias deve possuir o financiamento e o apoio político necessários para garantir uma coordenação efetiva e a distribuição clara de responsabilidades.

A estratégia nacional de segurança da informação deve incluir a análise de ameaças, apresentar os objetivos bem definidos e os passos necessários para alcançá-los. Os representantes das instituições públicas e privadas e os do setor de segurança cibernética devem ser envolvidos no desenvolvimento da estratégia de cibersegurança, enquanto as propostas devem ser discutidas e revisadas abertamente.

Alinhar legislação de segurança cibernética e proteção de dados pessoais

Os países da região devem considerar um alinhamento de padrões de segurança cibernética compartilhados para uma colaboração efetiva, ou estabelecer mecanismos em comum para a troca de informações e para combater as ameaças cibernéticas internacionais.

A legislação de segurança cibernética e de proteção de dados precisa ser atualizada regularmente para acompanhar as ameaças cibernéticas e os avanços tecnológicos mais recentes. Ela também deve facilitar a coordenação efetiva entre diferentes agentes da lei e agências de segurança.

Proteção da infraestrutura de informações essenciais

Os governos devem identificar eventos não toleráveis a nível nacional e dos setores da economia. Essa abordagem ajuda a distribuir os recursos de maneira efetiva para garantir a proteção dos sistemas mais críticos. Deve ser dada prioridade aos setores de infraestrutura, como governo, telecomunicações, manufatura e financeiro, bem como a outros setores essenciais à economia e à segurança nacional, como o comércio eletrônico e a agricultura. A velocidade da transformação digital e o nível de maturidade da segurança da informação do país devem ser levados em consideração.

Criação de centros de resposta a incidentes cibernéticos nacionais e industriais e aperfeiçoamento dos mecanismos de cooperação com organizações

As equipes nacionais de resposta a incidentes cibernéticos são responsáveis por monitorar as ameaças e ajudar as organizações a se recuperarem de ataques cibernéticos graves. A criação de tais infraestruturas deve ser uma prioridade ao implementar as estratégias de segurança nacional e de segurança à infraestrutura essencial. Em 2023, apenas 24 dos países da região possuíam CERTs e CSIRTs nacionais. Os países que já possuem tais estruturas devem estabelecer CERTs industriais e colaborar, ajudando a estabelecer centros de resposta regionais. Também devemos perceber que os mecanismos de comunicação de incidentes podem não ser suficientemente claros para os profissionais de segurança. As organizações devem desenvolver mecanismos transparentes e simples para comunicar incidentes cibernéticos, e devem se esforçar para aumentar a confiança em CERTs nacionais e a interação com as estruturas do governo. O aperfeiçoamento do compartilhamento de informações entre as organizações e os centros de segurança cibernética pode ajudar a prevenir ataques e a reagir a novas ameaças em tempo hábil.

A reação às ameaças cibernéticas deve ser incorporada à estratégia global de proteção e de restauração de infraestruturas nacionais essenciais.

Promoção da conscientização e valorização da educação em segurança cibernética

Os governos devem investir em campanhas públicas de conscientização sobre as ameaças atuais e como se proteger delas. Nesta região, bem como no resto do mundo, há uma carência de profissionais de segurança cibernética qualificados. Sendo assim, uma das prioridades do governo deve ser o incentivo dessa área e das profissões relacionadas, o desenvolvimento de programas de aprendizagem em instituições de ensino.

Cooperação internacional

O crime cibernético já ultrapassou as fronteiras dos estados, fazendo com que a cooperação entre países seja fundamental no combate às ameaças cibernéticas. Ao compartilhar informações, recursos e experiências, os países fortalecem coletivamente suas defesas e reduzem os riscos impostos pelos criminosos cibernéticos. As estratégias nacionais de segurança cibernética devem incluir objetivos para desenvolver as relações internacionais no campo da segurança cibernética.

Recomendações para empresas

Identificação de eventos intoleráveis e ativos críticos

Para garantir a resiliência cibernética de uma empresa, é necessário analisar os principais riscos e elaborar uma lista de eventos adversos que podem causar danos relevantes às suas atividades. Essa etapa ajudará a identificar os ativos fundamentais e a focar na proteção dos recursos mais valiosos. A estratégia deve ser desenvolvida para prevenir os eventos não toleráveis, incluindo as medidas de seguranças necessárias e o controle da atividade da rede através de ferramentas de segurança mais recentes.

Controle de incidentes e resposta a ameaças cibernéticas

Sistemas de detecção e monitoramento de incidentes são necessários para responder a possíveis ameaças e ataques em tempo hábil. Com este intuito, recomendamos o uso de sistemas SIEM, que coletam e analisam as informações sobre os eventos de segurança a partir de diversas fontes em tempo real. Utilizados junto com as soluções de XDR (detecção e resposta a ameaças estendida) e NTA (análise de tráfego de rede), eles ajudarão na detecção de ataques nos estágios iniciais, garantindo as respostas rápidas e reduzindo os riscos para a organização.

Avaliação da eficiência da segurança cibernética

As medidas de segurança cibernética adotadas devem ser avaliadas regularmente para medir a eficiência do desempenho da estratégia e das defesas. Recomendamos priorizar a verificação dos eventos que a empresa considera não toleráveis.

Também vale considerar os programas de bug bounty, permitindo que pesquisadores de segurança externos possam encontrar novas vulnerabilidades. Esses programas ajudarão a identificar e eliminar as vulnerabilidades antes que os invasores possam explorá-las.

Treinamento de funcionários e capacitação de especialistas em segurança da informação

A instrução de funcionários sobre os conceitos de segurança cibernética é fundamental, assim como a condução de treinamentos para aumentar a conscientização sobre as ameaças cibernéticas atuais e proteger contra as técnicas de engenharia social.

As organizações devem investir na capacitação dos especialistas em segurança cibernética para combater efetivamente as ameaças cibernéticas. O treinamento regular e a certificação de funcionários na área de segurança cibernética fortalecerão as habilidades e os conhecimentos, beneficiando a empresa com suporte especializado na prevenção e resposta aos ataques cibernéticos. Uma das maneiras mais eficazes de fazer isso é a participação em plataformas especializadas em exercícios virtuais, onde especialistas em segurança da informação podem treinar o reconhecimento de técnicas de ataques e neutralização delas.

Os dados e resultados apresentados neste relatório foram baseados na experiência da Positive Technologies, bem como na análise de recursos divulgados publicamente, incluindo publicações governamentais e internacionais, artigos de pesquisa e relatórios industriais.

Estimamos que a maioria dos ataques cibernéticos não é divulgada devido a riscos à reputação. Por esse motivo, até mesmo empresas especializadas em investigação de incidentes e em análise de atividades de hackers não conseguem quantificar o número exato de ameaças. Esta pesquisa busca chamar atenção das empresas e dos indivíduos que se preocupam com o estado da segurança da informação para os principais motivos e métodos de ataques cibernéticos, e realçar as principais tendências no contexto de constantes mudanças das ameaças cibernéticas.

Este relatório considera cada ataque em massa (por exemplo, um e-mail de phishing enviado para vários endereços) como um único incidente. Para obter explicações dos termos utilizados neste relatório, consulte o glossário da Positive Technologies.