Cadeia de fornecimento sob ataque: a nova prioridade da cibersegurança em 2025

1. Introdução

A cibersegurança tem evoluído rapidamente nos últimos anos, acompanhando o ritmo acelerado da transformação digital. Em 2025, um tipo de ameaça tem se destacado como uma das mais perigosas e difíceis de combater: os ataques à cadeia de fornecimento digital. Esses ataques não são novos, mas ganharam força e sofisticação com o avanço da tecnologia, a interconectividade entre sistemas e a crescente dependência de fornecedores terceirizados.

Diferente de ataques diretos, os ataques à cadeia de fornecimento exploram brechas em parceiros, prestadores de serviço ou softwares de terceiros para atingir o verdadeiro alvo. Isso torna a detecção mais difícil e os impactos mais amplos. Neste artigo, vamos entender o que são esses ataques, como funcionam, por que se tornaram tão comuns, quais os riscos envolvidos e, principalmente, como empresas e usuários podem se proteger. Também traremos exemplos reais, inclusive do cenário brasileiro, para ilustrar a gravidade e a atualidade do tema.

2. Entendendo o conceito

A cadeia de fornecimento digital é composta por todos os elementos externos que uma organização utiliza para operar: softwares de terceiros, serviços em nuvem, APIs, fornecedores de tecnologia, consultorias, entre outros. Em termos simples, é como uma rede de apoio invisível que sustenta o funcionamento de uma empresa moderna. Essa rede, no entanto, pode se tornar um ponto de entrada para cibercriminosos.

Imagine uma empresa como uma casa bem protegida, com portas trancadas e câmeras de segurança. Agora imagine que essa casa contrata um jardineiro que tem uma cópia da chave do portão. Se essa chave for roubada ou duplicada, o invasor não precisa arrombar nada — ele entra pela porta da frente. É exatamente isso que acontece em um ataque à cadeia de fornecimento: o criminoso compromete um fornecedor confiável para acessar o sistema da empresa principal.

Esses ataques se aproveitam da confiança que as empresas depositam em seus parceiros. Um fornecedor comprometido pode, sem saber, servir de ponte para que um invasor acesse sistemas internos, roube dados ou implante malwares. E como essas conexões são muitas vezes invisíveis para os usuários finais, o ataque pode passar despercebido por semanas ou meses.

3. Como os ataques à cadeia de fornecimento acontecem

Na prática, os ataques à cadeia de fornecimento podem ocorrer de várias formas. Um dos métodos mais comuns é a inserção de código malicioso em atualizações de software legítimas. Foi o que aconteceu no famoso caso da SolarWinds, em que uma atualização contaminada comprometeu milhares de organizações ao redor do mundo, incluindo agências governamentais dos Estados Unidos.

Outro exemplo é o comprometimento de credenciais de acesso de fornecedores. Imagine que uma empresa terceirizada tenha acesso remoto ao sistema de uma grande corporação para prestar suporte técnico. Se as credenciais dessa empresa forem roubadas, o invasor pode entrar no sistema como se fosse um funcionário autorizado.

Em 2025, esses ataques se tornaram ainda mais sofisticados. Grupos como LockBit, Akira e ALPHV têm explorado vulnerabilidades em softwares amplamente utilizados, atingindo empresas que sequer sabiam estar expostas. O modelo de ataque evoluiu: agora, os criminosos não miram apenas a vítima final, mas sim os fornecedores intermediários, que muitas vezes têm menos proteção e mais acesso do que deveriam.

No Brasil, o grupo de ransomware Medusa já comprometeu mais de 40 empresas apenas neste ano, utilizando táticas de dupla extorsão e explorando brechas em ferramentas de acesso remoto. Segundo o BoletimSec, a atuação do Medusa mostra como os criminosos estão cada vez mais estratégicos, mirando fornecedores para atingir empresas maiores com mais facilidade.

4. Riscos e impactos dos ataques à cadeia de fornecimento

O principal risco dos ataques à cadeia de fornecimento é a dificuldade de detecção. Como o ataque não parte diretamente de um invasor externo, mas sim de um parceiro confiável, os sistemas de defesa tradicionais muitas vezes não identificam a ameaça. Isso permite que o invasor permaneça dentro do sistema por longos períodos, coletando informações, comprometendo dados e preparando ataques mais amplos.

Além disso, o impacto pode ser devastador. Um único fornecedor comprometido pode afetar dezenas ou centenas de clientes. Segundo a CNN Brasil, empresas brasileiras podem perder até R$ 2,2 trilhões em três anos devido a ataques cibernéticos, sendo a cadeia de fornecimento um dos principais vetores de risco. O estudo, realizado pela VULTUS Cybersecurity Ecosystem, aponta que 48% das médias e grandes empresas do país devem sofrer ataques de alto impacto até 2028.

Outro desafio é a falta de visibilidade. Muitas empresas não sabem exatamente quais sistemas seus fornecedores utilizam, nem como esses sistemas se conectam aos seus próprios. Isso cria um ambiente propício para ataques silenciosos e persistentes. A ausência de critérios mínimos de segurança para parceiros e a falta de auditorias regulares agravam ainda mais o problema.

As pequenas e médias empresas (PMEs) são particularmente vulneráveis. Muitas vezes, elas são contratadas por grandes corporações para fornecer serviços especializados, mas não possuem a mesma estrutura de segurança. Isso as torna alvos fáceis para grupos avançados, inclusive patrocinados por Estados-nação. De acordo com o portal Dark Reading, 70% dos incidentes em PMEs envolvem ransomware, e 90% dos casos em empresas médias também.

5. Como se proteger: boas práticas para empresas e usuários

A boa notícia é que existem medidas práticas que podem ser adotadas para reduzir os riscos. Para usuários domésticos, a principal recomendação é manter todos os softwares atualizados e evitar instalar programas de fontes desconhecidas. Mesmo que você não tenha fornecedores diretos, muitos aplicativos utilizam bibliotecas de terceiros que podem ser comprometidas.

Para empresas, o primeiro passo é mapear todos os fornecedores e entender como eles se conectam aos seus sistemas. É essencial estabelecer critérios mínimos de segurança para qualquer parceiro tecnológico, incluindo autenticação multifator, criptografia de dados e políticas de atualização. Contratos com fornecedores devem incluir cláusulas específicas sobre segurança da informação e resposta a incidentes.

Empresas também devem adotar soluções de monitoramento contínuo e resposta a incidentes, além de treinar suas equipes para identificar comportamentos suspeitos. A segurança da cadeia de fornecimento deve ser tratada como uma extensão da própria segurança interna. Isso inclui a realização de auditorias regulares, testes de penetração e simulações de ataques.

Outra prática recomendada é a segmentação de redes. Isso significa que, mesmo que um fornecedor seja comprometido, o acesso dele será limitado a uma parte específica do sistema, reduzindo o impacto do ataque. Além disso, é importante manter backups atualizados e armazenados em locais seguros, preferencialmente offline.

6. O futuro da segurança na cadeia de fornecimento

De acordo com a consultoria Gartner, a segurança da cadeia de fornecimento é uma das principais prioridades para líderes de segurança e risco em 2025. A tendência é que as empresas adotem uma abordagem mais resiliente, com foco em visibilidade, controle e resposta rápida. Isso inclui o uso de tecnologias como inteligência artificial para detectar padrões anômalos e prever possíveis ataques.

A McKinsey reforça a importância de antecipar ameaças futuras e revisar constantemente as estratégias de cibersegurança. Em um cenário onde os ataques são cada vez mais imprevisíveis, a capacidade de adaptação será o diferencial entre empresas que resistem e aquelas que sucumbem. A consultoria também destaca a necessidade de colaboração entre empresas, governos e fornecedores para criar um ecossistema digital mais seguro.

Outra tendência é o fortalecimento da regulamentação. Espera-se que novas leis e normas exijam maior transparência e responsabilidade por parte dos fornecedores de tecnologia. Isso pode incluir a obrigatoriedade de relatórios de segurança, certificações e auditorias independentes.

7. Conclusão

Os ataques à cadeia de fornecimento digital representam uma das ameaças mais complexas e perigosas da atualidade. Eles exploram a confiança entre empresas e seus parceiros, atingem múltiplos alvos com um único golpe e muitas vezes passam despercebidos por longos períodos. Em 2025, essa ameaça se consolidou como uma prioridade estratégica para organizações de todos os setores.

Entender como esses ataques funcionam, reconhecer os riscos envolvidos e adotar medidas preventivas são passos fundamentais para proteger dados, reputações e operações. A segurança da cadeia de fornecimento não é mais uma questão técnica — é uma questão de sobrevivência no mundo digital.

8. Referências

1. Digital Recovery. Ransomware em 2025: dados atualizados, ataques recentes e soluções avançadas. Disponível em: https://digitalrecovery.com/pt-br/ransomware-em-2025/

2. Dark Reading. Nation-State Threats Put SMBs in Their Sights. Disponível em: https://www.darkreading.com/threat-intelligence/nation-state-threats-smb

3. Dark Reading. Even Cyber Resilient Organizations Struggle to Comprehend AI Risks. Disponível em: https://www.darkreading.com/cyber-risk/even-resilient-organizations-bind-ai-threats

4. Gartner. 3 Trends Driving Security and Risk Strategy in 2025. Disponível em: https://www.gartner.com/en/articles/2025-trends-for-security-and-risk-leaders

5. McKinsey. Cybersecurity trends: Looking over the horizon. Disponível em: https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/cybersecurity/cybersecurity-trends-looking-over-the-horizon

6. CNN Brasil. Hackers: empresas do Brasil perderão R$ 2,2 trilhões em 3 anos, diz estudo. Disponível em: https://www.cnnbrasil.com.br/tecnologia/hackers-empresas-do-brasil-perderao-r-22-trilhoes-em-3-anos-diz-estudo/

7. BoletimSec. Grupo Medusa amplia atuação e já comprometeu 40 empresas este ano. Disponível em: https://boletimsec.com.br/grupo-medusa-amplia-atuacao-e-ja-comprometeu-40-empresas-este-ano/