Brasil vira alvo preferencial de ransomware e expõe fragilidade digital do poder público
Matéria para TI Inside
O Brasil entrou em 2025 como um dos países mais visados por grupos de ransomware no mundo. Dados do portal ransomware.live apontam que o país é o mais atacado da América Latina, com 113 vítimas registradas no ano, atrás apenas de França, Espanha, Itália, Alemanha e Reino Unido. Em paralelo, informações do FortiGuard Labs, da Fortinet, indicam mais de 314 bilhões de atividades maliciosas detectadas no semestre, sendo 28,1 mil incidentes de ransomware.
Enquanto o volume cresce, ataques recentes a prefeituras e secretarias municipais mostram que a ameaça já afeta diretamente serviços essenciais, de saúde à assistência social. Para especialistas, o Brasil segue reagindo de forma fragmentada a um problema que, na prática, já é de Estado.
Ataques que saem do servidor e chegam ao balcão de atendimento
Nos últimos meses, diferentes cidades tiveram seus sistemas públicos paralisados ou degradados por incidentes cibernéticos. Em Cuiabá, a Secretaria Municipal de Saúde sofreu um ataque que comprometeu sistemas de armazenamento e gestão de dados, exigindo isolamento de ambientes e trabalho emergencial de TI para manter o atendimento nas unidades.
Em Cabedelo (PB), a situação ganhou contornos mais graves: além do ataque aos computadores da Secretaria de Assistência Social, houve invasão física à sede da pasta, o que levou a reforço de segurança patrimonial e digital. Já em São João (PR), a prefeitura confirmou ataque aos sistemas municipais e precisou operar com restrições enquanto restabelecia serviços.
Os três casos têm elementos em comum: municípios com estruturas enxutas de TI, forte dependência de sistemas digitais para rotinas administrativas e comunicação oficial limitada durante a crise. A cada incidente, a população sente o efeito direto no balcão de atendimento, seja na marcação de consultas, na concessão de benefícios ou na emissão de documentos.
Para Julio Signorini, pesquisador em cibersegurança, o cenário atual é resultado de um atraso histórico na forma como o tema foi tratado pelo setor público.
“Por anos, a cibersegurança foi o problema do pessoal da TI, trancado no data center. Hoje, o ‘banco’ é o próprio Estado: serviços ao cidadão, economia, saúde, educação, tudo é digital”, afirma. Segundo ele, um ataque já não derruba apenas um servidor, mas pode paralisar um hospital, atrasar pagamento de benefícios ou expor dados de milhões de pessoas.
Signorini avalia que o avanço recente da regulação federal, com a publicação da PPSI 2.20, começa a corrigir o principal ponto frágil: a governança. A portaria define papéis e responsabilidades para alta administração, TI, segurança da informação e DPO, além de criar estruturas como o CISC gov.br e o CEPS gov.br para coordenação, resposta a incidentes e capacitação. “É o movimento que tira a segurança do limbo técnico e transforma o tema em obrigação institucional”, diz.
Mesmo com incidentes de grande repercussão, o pesquisador entende que o Brasil ainda não conseguiu transformar ataques em mudanças estruturais duradouras. “Tratamos cibersegurança com mentalidade de pronto-socorro, não de medicina preventiva”, resume. Após um ataque, surgem gabinetes de crise, promessas de investimento e forte exposição na mídia. Quando o caso sai do noticiário, a urgência diminui, o orçamento encolhe e o ambiente volta ao padrão anterior.
Na visão de Signorini, falta resiliência institucional para transformar o trauma em política de Estado com orçamento contínuo. “Ficamos melhores em apagar incêndios, mas não em construir uma cidade à prova de fogo”, afirma.
Municípios no centro do risco
A fragilidade dos municípios aparece de forma recorrente nas respostas dos especialistas. Signorini fala em um “tripé da vulnerabilidade” que torna muitas cidades alvos preferenciais: sistemas legados complexos e pouco documentados, equipes de TI pequenas e desvalorizadas e ausência de cultura de risco na liderança.
Ele defende que a União deveria atuar como provedora de serviços centralizados de segurança, em um modelo de Security-as-a-Service para estados e municípios. A ideia seria aproveitar a estrutura criada para o governo federal e oferecer, por adesão, acesso a centro de operações de segurança compartilhado, inteligência de ameaças, modelos de políticas e programas de capacitação. “Um município pequeno jamais consegue contratar sozinho algo nesse nível. A União tem escala; as prefeituras têm a necessidade”, resume.
A definição de responsabilidades também é ponto crítico. Hoje, a culpa costuma recair sobre o gestor de TI local, mesmo sem estrutura ou autoridade estratégica. Para o pesquisador, a responsabilidade deveria ser escalonada entre prefeitura, estados e União, com um mínimo de padrões definidos.
Dados municipais como ativo de alto valor
Do ponto de vista econômico do crime, o interesse pelas prefeituras é direto. Marcelo Luz, gerente sênior de Engenharia da Fortinet Brasil, lembra que mesmo uma cidade de médio porte reúne dados sensíveis suficientes para motivar grupos especializados.
“Imagine uma prefeitura de 150 mil habitantes. Ela certamente tem o cadastro dos munícipes, cadastros do SUS, um banco de dados muito valoroso. Se o cibercriminoso comprometer o site dessa prefeitura, ele consegue 150 mil CPFs, 150 mil nomes e RGs, todo o cadastro dos munícipes em algum programa social”, afirma.
Segundo Luz, o Brasil concentra 84% de todas as tentativas de ataques cibernéticos detectadas na América Latina no primeiro semestre de 2025, com mais de 314 bilhões de atividades maliciosas e 28,1 mil incidentes de ransomware no período. Para ele, isso não significa necessariamente uma mudança de foco exclusiva para o setor público, mas um aumento do apetite dos criminosos por ambientes com alto valor de dados e maturidade ainda em desenvolvimento.
As análises da Fortinet indicam que os grupos de ransomware operam hoje em modelo próximo ao de serviços em nuvem, com o chamado Ransomware-as-a-Service. Um núcleo especializado cria as ferramentas e as disponibiliza para afiliados, que disparam campanhas em massa contra milhares de alvos.
Luz destaca que muitos ataques combinam infraestrutura técnica internacional com conhecimento de negócio local. A parte mais sofisticada da invasão pode vir de fora, mas a escolha de alvos, processos e brechas específicas depende de quem conhece a realidade brasileira. “O cybercrime internacional pode ter a técnica, mas não conhece o contexto. Só quem vive o território sabe o que é um sistema de câmeras inteligentes municipal ou um cadastro social e como isso pode ser explorado”, explica.
Com a expansão de cidades digitais, redes de câmeras, sensores e sistemas integrados, a superfície de ataque cresce. Sem proteção proporcional, a mesma infraestrutura que apoia políticas públicas pode ser revertida contra o próprio município.
Do discurso à prática: o básico bem feito
Na hora de priorizar investimentos, tanto Luz quanto Signorini defendem que o setor público precisa focar no “básico bem feito” antes de buscar soluções de ponta. Isso inclui gestão de identidades e acessos, correção sistemática de vulnerabilidades conhecidas, políticas de backup e recuperação testadas e, principalmente, capacitação contínua de equipes e usuários.
Para os especialistas, a prevenção continua sendo o elo mais frágil da cadeia. Tecnologias de detecção e resposta avançaram, mas pouco adiantam em ambientes com senhas fracas, ausência de autenticação multifator e baixa conscientização sobre phishing e engenharia social.
O desafio, resumem, é sair da lógica de reação a incidentes isolados e tratar cibersegurança como componente estrutural do Estado digital. Em um cenário em que um ataque pode atrasar cirurgias, interromper benefícios ou expor dados de uma cidade inteira, a pauta deixa de ser técnica e passa a ser, sobretudo, de continuidade de serviço público e proteção do cidadão.