Ataques cibernéticos a empresas: Impactos e caminhos

Por Barbara Orihuela

Na madrugada do último dia 30 de junho, sucedeu o ataque cibernético à empresa C&M Software, prestadora de serviços de tecnologia da informação (PSTI) que integra instituições financeiras ao sistema de transações do PIX, sendo retratado midiaticamente como um dos maiores escândalos de segurança cibernética no país. As investigações apontam o acesso fraudulento a contas reserva de oito instituições financeiras, acarretando um prejuízo entre 500 milhões a 1 bilhão de reais, de modo que os valores desviados teriam sido convertidos em ativos virtuais, como USDT e Bitcoin. Até o momento, há suspeitas de que um ex-funcionário da empresa tenha facilitado a invasão ao fornecer dados internos e credenciais da empresa.¹

O episódio em questão demonstra, sobretudo, a conformação de uma realidade informática acompanhada de novos riscos e de consequências delitivas, em que pessoas físicas e jurídicas se identificam como vítimas. Nesse viés, a desenfreada informatização dos sistemas operacionais das instituições tem como consequência a maior exposição a ameaças e a crescente sofisticação de fraudes mediante meios tecnológicos.

Especialmente para empresas de pequeno e médio porte, o uso de sistemas de tecnologia e comunicação e de serviços online aumentou a capacidade operacional, mas também expôs a novas ameaças, das quais tais empreendimentos possuem dificuldade de se recuperar. Sobretudo, constatou-se que falhas na segurança afetam majoritariamente empresas com processamento de dados pessoais, plataformas e serviços por nuvem e equipe que utiliza dispositivos pessoais para o trabalho.²

Apesar disso, observa-se um investimento ainda escasso em cibersegurança, área negligenciada que exige não apenas mecanismos de detecção de anomalias, como também fixação e observância a protocolos de segurança. Prova disso é que, segundo Pesquisa de Maturidade da Indústria em Cibersegurança desenvolvida pela Federação das Indústrias do Estado de São Paulo (FIESP),  de um total de 233 empresas respondentes, somente 44,2% das empresas possuem estrutura organizacional de Segurança Cibernética e/ou da Informação, enquanto apenas 22,3% considera a segurança cibernética uma das principais prioridades do Conselho de Administração.³

Já em uma escala global, a pesquisa 2025 Cisco Cybersecurity Readiness Index consultou oito mil líderes de empresas de 30 países e concluiu que quase metade dos entrevistados (49%) sofreu ao menos um ataque cibernético em 2024; já 71% acredita que um incidente de cibersegurança afetará seu empreendimento dentro dos próximos doze a vinte e quatro meses.⁴

Sob esse panorama, o presente artigo pretende elencar os desafios de combate aos ataques cibernéticos, os principais tipos de incidentes envolvendo empresas e possíveis caminhos para prevenção de crimes cibernéticos e mitigação de riscos.

Dentre as causas para os ataques cibernéticos, é possível considerar ameaças externas como internas. No âmbito das ameaças internas, há de se considerar que ataques bem-sucedidos não decorrem majoritariamente de uma sabotagem deliberada e maliciosa por um prestador de serviços, mas sim de erros, negligências e falhas protocolares que criam vulnerabilidades sistêmicas.⁵

Para a promoção de ameaças externas, como a difusão de malwares, importante sinalizar que não necessariamente o grupo criminoso seja um expert em hacking. O que também se tem verificado é a democratização do ciberataque como serviço (Cybercrime-as-a-Service (CaaS)) a ser adquirido por outros usuários mal-intencionados em fóruns e sites customizados em interfaces como Darkweb, sem a necessidade de expertise ou de construção e manutenção da infraestrutura e das ferramentas.⁶

Os serviços ofertados variam entre lavagem de dinheiro, treinamento para hacker, seleção de alvo, identificação de vulnerabilidades, spywares customizados, interrupção de atividades operacionais, entre outros. Inclusive, a prática de produção, oferta, distribuição, venda ou difusão de dispositivo ou programa de computador voltado para a invasão de dispositivo informático encontra-se tipificada no ordenamento jurídico brasileiro, especificamente no §1º do artigo 154-A do Código Penal⁷, embora não abranja todas as circunstâncias exaustivamente.

Já no âmbito da falha humana, sobressai como desafio a social engineering, a qual, pressupondo o ser humano como o elo mais frágil da segurança informática, passível de influências externas e manipulações ardilosas que viabilizam quebras de segurança, explora as vulnerabilidades humanas por meio de criatividade e de convencimento.⁸ Para essa finalidade, observa-se que a Inteligência Artificial, cada vez mais habilidosa na imitação do comportamento humano, é instrumentalizada para a automatização de ataques cibernéticos e formatação de golpes, inclusive mediante a criação de deep fakes, mídias falsas geradas pela inteligência artificial com manipulação do conteúdo de imagens, sons e vídeos preexistentes, sintetizando uma imagem humana a partir de outra.⁹ 

A título de exemplo, a social engineering é costumeiramente adotada no phishing, método de obtenção de dados pessoais e financeiros, como login, conta bancária e número do cartão de crédito. Na prática, verifica-se o envio de e-mail com narrativa ou conteúdo verossímil, capaz de induzir um usuário, movido pela curiosidade, a clicar em um link que possibilita a infecção de um dispositivo pelo download de um malware ou demanda o preenchimento de dados pessoais sigilosos.¹⁰

Outro recorrente ataque cibernético em prol de ganhos financeiros consiste no ransomware, um programa que criptografa arquivos ou o sistema operacional e bloqueia o dispositivo, exibindo uma tela com a exigência do pagamento de um resgate das informações “sequestradas”. Tratando-se de um caso de extorsão, mesmo após pagamento por moedas digitais, não há qualquer garantia de que os dados serão recuperados.¹¹

Tampouco se deve perder de vista a utilização do spyware para monitoramento e posterior obtenção de vantagem patrimonial, uma vez que, mediante tal software, dados, como localização, correspondência privada, logins de conta bancária, senhas, são coletados remotamente de um dispositivo alvo que não seriam compartilhados, a menos que um código ou software externo fosse introduzido ou tivesse acesso permitido por um operador.¹²

Contudo, para além dos clássicos casos de infecção por um malware, há de se sublinhar a hipótese de um ataque de negação de serviço (Denial of Service (DoS)). Tal ataque é viabilizado a partir da sobrecarga de um servidor ou site, os quais suportam um tráfego limitado de dados com base na quantidade de acessos.¹³ Mais do que um mero contratempo, a sobrecarga técnica do servidor apresenta o potencial de lentificar sua performance e paralisá-lo, impedindo, por exemplo, a realização de transações financeiras e prejudicando a reputação empresarial. No que diz respeito a um ataque distribuído (Distributed Denial of Service (DDoS)), conta-se com a participação de vários computadores para dificultar a evasão do computador alvo e a retomada do controle.

Em que pese a constante evolução de distintas abordagens e meios de consecução dos delitos cibernéticos, entende-se pela possibilidade de seu enquadramento dentre os tipos penais tradicionais e específicos ao campo previstos no Código Penal, como o crime de invasão de dispositivo informático (art. 154-A), furto mediante fraude eletrônica (art. 155, § 4º-B),  extorsão (art. 158), dano (art. 163), estelionato (art. 171), fraude eletrônica (artigo 171, §2º-A), entre outros. Contudo, cabe criticar a ausência de uma conceituação legal de termos de natureza técnica previstos nos dispositivos penais, como as expressões “dispositivo informático”, “invasão”, “violação de mecanismo de segurança”, “outro meio fraudulento análogo” e “vulnerabilidades”, conceitos que passaram a serem desenvolvidos pela doutrina e pela jurisprudência. 

Já na prática da persecução penal, é certo que fatores como a transnacionalidade, o cometimento remoto e a sofisticação da atividade delitiva dificultam a detecção de autoria e de rastros de materialidade, bem como a concretização de uma análise forense digital, podendo requerer, para além de uma política estritamente local, uma cooperação internacional.¹⁴ Ainda assim, a usual utilização das criptomoedas como moeda de troca dos crimes cibernéticos não representa o maior obstáculo às investigações, cabendo desmistificar seu completo anonimato e sua absoluta impossibilidade de rastreamento. Afinal, o ativo digital Bitcoin, por exemplo, consiste em moeda pseudônima, cujas transações são registradas publicamente no blockchain, o que, por sinal, auxiliaria na identificação do agente a partir do cruzamento da sequência alfanumérica com outras informações adicionais.¹⁵

Desalentadores, os danos dos ataques cibernéticos às empresas consistem, geralmente, em ruína reputacional, decorrente da perda de confiança de clientes e de espaço no mercado, na interrupção dos serviços operacionais, no vazamento de dados confidenciais e de segredos de negócio e ainda em elevados prejuízos financeiros, diante da difícil recuperação da totalidade dos ativos desviados e da imposição de reestruturação dos sistemas. 

Assim sendo, em prol da prevenção de riscos e da mitigação dos danos apresentados, é essencial a formulação de uma política interna de segurança voltada ao servidor, à rede, à compatibilidade do dispositivo, a atualizações e instalação de novos aplicativos, ao gateway (porta de entrada entre dispositivo e internet), à regulação da aba de busca e do uso de e-mails, e à conscientização do usuário.¹⁶

Nesse cenário, incumbe ao profissional de tecnologia da informação a gestão preventiva de riscos, gerenciando potenciais eventos a partir de ferramentas de monitoramento e de auditoria para aferição do nível de segurança, ou a gestão de recuperação de danos e melhorias, com adoção de medidas corretivas.¹⁷ Ademais, a implementação de um IT-Compliance possibilita, sobretudo, a definição de responsabilidades dentro da estrutura organizacional corporativa mediante registros de autorizações, bem como o alinhamento de sistemas e processos a padrões de conformidade e às normas regulatórias vigentes do setor.¹⁸

A título exemplificativo, a Lei Geral de Proteção de Dados (LGPD) estabelece a necessidade de adoção de medidas de segurança que protejam os dados pessoais de acessos não autorizados e de qualquer tratamento inadequado (art. 46, LGPD), assim como o dever da empresa de notificar à autoridade nacional e ao titular dos dados em casos de incidentes de segurança que comprometam relevantemente dados pessoais (art. 48, LGPD). E caso os agentes de tratamento de dados violem os preceitos da LGPD, os danos reputacionais poderão ser extensos, em virtude das sanções administrativas, como a publicização da infração (art. 52, IV, LGPD).¹⁹

Desse modo, revela-se imprescindível, além da adesão à cibersegurança pela cúpula empresarial para destinação dos recursos necessários e sua consolidação como elemento da cultura corporativa, esclarecer aos colaboradores os potenciais riscos no ambiente profissional, suas responsabilidades e as atuais políticas e procedimentos internos voltados à cibersegurança, propiciando uma tomada de decisões informada e uma mitigação do fator humano como risco.²⁰

Dito isso, em que pese a relevante introdução de um treinamento corporativo pautado na conscientização sobre phishing e outros golpes cibernéticos nos ambientes empresariais, tem-se que sua adoção isolada é insuficiente, uma vez que não há garantias de que os protocolos de cibersegurança serão seguidos em momentos de alta pressão externa e interna.²¹ Da mesma forma, não é possível esperar dos colaboradores corporativos uma separação estrita entre o uso pessoal e profissional dos dispositivos sob sua guarda, demandando uma proteção de todos os dispositivos, independentemente do proprietário, contra acesso de terceiros.²² É imperativa, portanto, a combinação de uma política interna de conscientização com mecanismos de detecção de anomalias e de dupla verificação nos aparelhos, a fim de deter um clique precipitado. 

Logo, por mais que o investimento na segurança cibernética não seja atraente às corporações pela falta de retornos imediatamente palpáveis, a inevitabilidade dos ciberataques a converte em diretriz prioritária a ser incorporada à cultura corporativa, em benefício à reputação, à proteção de dados e ao patrimônio empresarial.

¹ https://oglobo.globo.com/economia/financas/noticia/2025/07/03/candm-software-quem-e-a-empresa-alvo-do-ataque-hacker-que-afetou-o-pix.ghtml;  https://exame.com/invest/mercados/suspeito-por-ataque-hacker-era-funcionario-da-cm-software-e-teria-fornecido-acessos-aos-criminosos/ 

² CHAUDHARY, Sunil; GKIOULOS, Vasileios; KATSIKAS, Sokratis. A quest for research and knowledge gaps in cybersecurity awareness for small and medium-sized enterprises. Computer Science Review, v. 50, n. 100592, Nov. 2023. p. 2.

³ https://www.fiesp.com.br/file-20241030123615-pesquisa-de-maturidade-da-industria-em-cibersegura/ 

⁴ https://newsroom.cisco.com/c/dam/r/newsroom/en/us/interactive/cybersecurity-readiness-index/2025/documents/2025_Cisco_Cybersecurity_Readiness_Index.pdf 

⁵ WILLEMS, Eddy. Cyberdanger: Understanding and Guarding Against Cybercrime. Elewijt: Springer, 2019, p. 146.

⁶ AKYASI, Ugur; VAN EETEN, Michel; GAÑÁN, Carlos H.. Measuring Cybercrime as a Service (CaaS) Offerings in a Cybercrime Forum. WEIS 2021, June 28-29, 2021, Online Conference. Acesso em: https://weis2020.econinfosec.org/wp-content/uploads/sites/9/2021/06/weis21-akyazi.pdf 

⁷ Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita: (Redação dada pela Lei nº 14.155, de 2021)

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 14.155, de 2021)

• 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)

⁸ SYDOW, Spencer Toth. Curso de Direito Penal Informático: Partes Geral e Especial, Processo Penal Informático e Cibercriminologia. São Paulo: Tirant lo Blanch, p. 544 e 721.

⁹ KIRCHENGAST, Tyrone. 2020. Deepfakes and Image Manipulation: Criminalisation and Control. Information & Communications Technology Law, v. 29, ed. 3, p. 308-323, 2020. 

¹⁰ CHAI, Whistine Xiau Ting; NG, Shannon; NEO, Loo Seng. Introduction to Cyber Forensic

Psychology. In: KHADER, Majeed; CHAI, Whistine Xiau Ting; NEO, Loo Seng (Eds.).

Introduction to cyber forensic psychology: Understanding the mind of the cyber deviant perpetrators. Singapore: World Scientific Publishing Co. Pte. Ltd., 2021, p. 9.

¹¹ GILLESPIE, Alisdair A.. Cybercrime: Key issues and debates. Abingdon, Oxon: Routledge, 2019, p. 39.

¹² HARKIN, Diarmaid; MOLNAR, Adam; VOWLES, Erica. The commodification of mobile phone surveillance: An analysis of the consumer spyware industry. Crime, Media, Culture, v.16, ed. 1, p. 33-60, 2020.

¹³ GILLESPIE, p. 35.

¹⁴ D’AVILA, Fabio Roberto; SANTOS, Daniel Leonhardt dos. Direito Penal e criminalidade informática. Breves aproximações dogmáticas. Revista Duc In Altum – Cadernos de Direito, v. 8, n. 15, 2016.

¹⁵ SYDOW, p. 108.

¹⁶ WILLEMS, p. 146-147

¹⁷ SYDOW, p. 150, 722.

¹⁸ SYDOW, p. 722.

¹⁹ GARCIA, F. C. O. Cibersegurança, Compliance Digital e Custo Reputacional. Computação Brasil, [S. l.], n. 52, p. 51–60, 2024.

²⁰ CHAUDHARY; GKIOULOS; KATSIKAS, p. 3, 14.

²¹ ANG, Benjamin. Legal Issues and Ethical Considerations in Cyber Forensic Psychology. In: KHADER, Majeed; CHAI, Whistine Xiau Ting; NEO, Loo Seng (Eds.). Introduction to cyber forensic psychology: Understanding the mind of the cyber deviant perpetrators. Singapore: World Scientific Publishing Co. Pte. Ltd., 2021, p. 242.

²² WILLEMS, p. 150.