A exploração de vulnerabilidades se consolidou como o principal vetor inicial em violações de segurança corporativa, superando o abuso de credenciais roubadas, segundo a edição mais recente do Data Breach Investigations Report, o DBIR, da Verizon. O relatório aponta uma mudança importante no comportamento dos invasores: em vez de depender principalmente de senhas comprometidas, phishing ou acesso previamente obtido, muitos ataques agora começam pela exploração direta de falhas conhecidas em sistemas expostos, especialmente dispositivos de borda, aplicações de terceiros e softwares sem correção aplicada.

De acordo com os dados citados no estudo, falhas exploradas foram a causa raiz de 31% das violações analisadas, enquanto o abuso de credenciais respondeu por 13% dos incidentes. A pressão sobre os programas de gestão de vulnerabilidades também aumentou: apenas 26% das vulnerabilidades críticas foram totalmente corrigidas em 2025, e o tempo médio para aplicação de patches subiu para 43 dias, contra 32 dias no ano anterior.

A análise da Verizon foi baseada em cerca de 31 mil incidentes de segurança, dos quais 22 mil foram confirmados como violações de dados, envolvendo vítimas em 145 países. Para especialistas consultados pela CSO, o crescimento da exploração de vulnerabilidades como meio de invasão reflete uma lógica simples: hackers tendem a seguir o caminho de menor esforço e maior escala.

Daniel Bechenea, gerente de segurança da Pentest-Tools.com, afirmou que esse caminho passa hoje por dispositivos de perímetro e de borda sem atualização. Nesses casos, um exploit funcional pode permitir acesso inicial sem necessidade de phishing, credenciais vazadas ou dados comprados em mercados clandestinos. A avaliação é compartilhada por Chris Wysopal, cofundador e evangelista-chefe de segurança da Veracode, que resumiu o problema afirmando que as organizações ainda não corrigem falhas com a velocidade necessária.

O relatório também mostra que a dificuldade não está apenas na existência de falhas críticas, mas no volume crescente de correções pendentes. Segundo a Verizon, apenas 26% das vulnerabilidades conhecidas exploradas ativamente e listadas no catálogo KEV da CISA foram totalmente remediadas em 2025, queda em relação aos 38% registrados no ano anterior. Ao mesmo tempo, o volume de vulnerabilidades críticas que as organizações precisaram corrigir cresceu 50% em comparação anual.

Apesar da ascensão da exploração de vulnerabilidades como vetor inicial, especialistas alertam que isso não reduz a importância da segurança de identidade. James John, gerente de resposta a incidentes da Bridewell, observou que as credenciais continuam presentes em grande parte dos ataques, mas geralmente em fases posteriores da cadeia de ataque. Na prática, uma vulnerabilidade pode abrir a porta da rede, enquanto credenciais roubadas ainda são usadas para movimentação lateral, escalonamento de privilégios e acesso aos dados de maior valor.

O DBIR também atribuiu 16% dos acessos iniciais a phishing, percentual semelhante ao do ano anterior, e 6% a pretexting, técnica de engenharia social baseada em criação de uma falsa narrativa para enganar a vítima. Segundo os pesquisadores, esse tipo de abordagem tem se tornado mais comum em ataques de ransomware e extorsão, o que pode dificultar a separação estatística entre abuso de credenciais, roubo de identidade e manipulação social.

Outro ponto relevante é o peso crescente da cadeia de fornecedores. À medida que empresas dependem mais de parceiros externos, prestadores de serviço e softwares de terceiros, os invasores também ampliam o foco sobre esse ecossistema. O relatório indica que violações envolvendo terceiros já representam 48% dos incidentes analisados pela Verizon.

A tendência observada no DBIR é compatível com outros levantamentos do setor. O relatório Cloud Threat Horizons, do Google Cloud Security, também apontou que invasores estão migrando para a exploração de vulnerabilidades não corrigidas em softwares de terceiros, em vez de depender principalmente de credenciais fracas ou roubadas. No estudo do Google Cloud, vulnerabilidades de software se tornaram o maior vetor individual de acesso inicial, respondendo por 44,5% dos incidentes.

A inteligência artificial também começa a alterar o ritmo dessa dinâmica. Embora o DBIR utilize dados de 2025, antes dos avanços mais recentes em modelos de IA de fronteira, a Verizon já alerta que invasores estão usando IA para acelerar a exploração de vulnerabilidades conhecidas. Isso reduz a janela de defesa de meses para horas em alguns casos, pressionando ainda mais equipes de segurança, infraestrutura e resposta a incidentes.

Na semana anterior ao relatório citado, o Google Threat Intelligence Group divulgou evidências de um exploit zero-day desenvolvido por um grupo de cibercrime com auxílio de IA. Embora esse tipo de caso ainda não represente todo o cenário de ameaças, ele indica uma mudança preocupante: a automação pode acelerar a descoberta, adaptação e operacionalização de exploits contra ambientes corporativos.

Para Muhammad Yahya Patel, vCISO e consultor de cibersegurança para EMEA na Huntress, os achados do DBIR exigem uma revisão rápida das estratégias de defesa. Na avaliação dele, exploração de vulnerabilidades, roubo de credenciais, engenharia social multicanal e comprometimento da cadeia de suprimentos estão sendo usados simultaneamente e em escala. Por isso, as organizações mais preparadas são aquelas que adotam defesa em profundidade em todos esses vetores.

Patel defende que os programas de gestão de vulnerabilidades deixem de depender apenas de ciclos programados de patching e passem a operar de forma contínua, baseada em risco e conectada a inteligência de exploração em tempo real. Essa abordagem prioriza vulnerabilidades realmente exploradas ou com maior probabilidade de impacto, em vez de tratar todas as correções apenas por severidade teórica.

Raghu Nandakumara, vice-presidente de estratégia da Illumio, acrescenta que, mesmo com avanços em práticas de correção, o backlog de vulnerabilidades continua crescendo mais rápido do que muitas equipes conseguem acompanhar. Segundo ele, essa pressão é causada por uma combinação de fatores: descoberta assistida por IA, maior dependência de código aberto e de terceiros, expansão de sistemas conectados e um ecossistema de divulgação de falhas mais ativo e incentivado.

O ransomware permanece como uma das ameaças mais relevantes. Segundo o DBIR, ele esteve presente em quase metade das violações analisadas, chegando a 48% dos casos, acima dos 44% registrados no ano anterior. Ao mesmo tempo, os pagamentos de resgate caíram: 69% das vítimas não pagaram.

Essa redução nos pagamentos tem levado grupos de ransomware a ajustar seus modelos de extorsão. Aparna Rayasam, CEO da Atsign, afirmou que, como muitas vítimas já não pagam por chaves de descriptografia, os invasores passaram a depender mais de roubo de dados e extorsão. Além disso, ataques mais baratos, automatizados e em maior volume ajudam a compensar pagamentos individuais menores.

James John, da Bridewell, apresentou uma leitura complementar. Para ele, a queda nos pagamentos reflete progresso real das organizações, não necessariamente perda de capacidade dos invasores. Mais empresas têm backups testados e planos de recuperação ensaiados, o que aumenta a confiança para recusar pagamentos mesmo quando há criptografia de dados.

A consequência é uma mudança na pressão exercida pelos criminosos. Em vez de depender apenas da ameaça de vazamento de informações, grupos de ransomware tendem a buscar maior interrupção operacional. O ataque contra a varejista britânica Marks & Spencer, que sofreu semanas de indisponibilidade e prejuízos milionários, foi citado como exemplo de como a paralisação de serviços pode se tornar uma alavanca mais forte do que o simples roubo de dados.

O cenário descrito pelo DBIR aponta para uma realidade mais complexa para CISOs e equipes de segurança. Vulnerabilidades conhecidas, credenciais comprometidas, engenharia social, fornecedores externos e ransomware não devem ser tratados como riscos isolados. A cadeia de ataque moderna combina esses elementos de forma oportunista, e a velocidade de exploração tende a aumentar com o uso de automação e IA.