weerapat1003 - stock.adobe.com

Reportagem

Brasil segue entre os países mais afetados por vazamentos de dados

No âmbito do Dia da Proteção de Dados, a Coalizão Direitos na Rede emitiu uma alerta aos usuários. Kaspersky acrescentou que os dados esquecidos que podem se tornar porta de entrada para ataques: servidores legados, contas inativas e repositórios abandonados ampliam a superfície de ataque.

Lizzette B. Pérez Arbesú
por
Publicado: 28 an 2026

O Dia Internacional da Privacidade de Dados, celebrado em 28 de janeiro, tem como objetivo conscientizar a sociedade sobre a importância da privacidade e da segurança das informações pessoais nos ambientes físico e digital. No Brasil, a data também reforça a necessidade de aplicação efetiva da Lei Geral de Proteção de Dados (LGPD), diante do avanço recorrente de vazamentos e violações de dados pessoais.

Segundo levantamento da Surfshark, embora as violações de dados tenham diminuído 9% no segundo trimestre de 2025 (639,6 mil) em comparação com o primeiro trimestre (702,2 mil), mais de 1,3 milhão de contas foram comprometidas apenas na primeira metade do ano no Brasil. No cenário global, o número de contas vazadas saltou de 70 milhões para 94 milhões no mesmo período — um aumento de 34%. O Brasil ocupa a sétima posição no ranking global de vazamentos de dados em 2024. De acordo com a pesquisa, o país subiu duas posições e registrou um aumento de 24 vezes no número de contas violadas em relação ao ano anterior.

Outro levantamento internacional da NordVPN aponta ainda um cenário mais alarmante: o Brasil lidera o ranking global de vazamento de cookies, com 7 bilhões de registros de usuários brasileiros encontrados na dark web e identificou Índia, Indonésia, Estados Unidos e Vietnã entre os países mais afetados.

Diante desse cenário, a Coalizão Direitos na Rede (CDR) destaca que a proteção de dados pessoais não pode se restringir à responsabilização posterior aos vazamentos, mas exige prevenção, transparência e educação digital.

Dados esquecidos podem se tornar porta de entrada para ataques

Segundo a Kaspersky, a estratégia da proteção de dados não apenas deve ser para sistemas corporativos monitorados ativamente, mas também para dados esquecidos ao longo do tempo. Servidores legados, contas inativas e repositórios em nuvem abandonados podem se tornar alvos de ataques sofisticados, comprometendo informações sensíveis e até a conformidade com a LGPD.

Dados do CISO Survey, estudo encomendado pela Kaspersky e realizado com 300 líderes de cibersegurança de seis países da América Latina, incluindo o Brasil, reforçam como a falta de maturidade em ambientes de segurança expõe organizações a riscos relacionados a infraestruturas esquecidas. Entre os participantes do estudo no Brasil, 48% afirmaram não possuir um cronograma regular de avaliações de risco, revisando controles apenas após incidentes ou notícias na mídia.

“Embora não façam mais parte das operações diárias, ativos fora do radar das equipes de segurança seguem conectados à infraestrutura corporativa, muitas vezes sem atualizações, monitoramento ou controles de acesso adequados. Essa ‘infraestrutura invisível’ impõe desafios relevantes aos gestores de TI e de segurança da informação”, disse um comunicado de Kaspersky.

O fornecedor explicou que os softwares legados e aplicações antigas, por exemplo, frequentemente mantêm dependências desatualizadas, preservando vulnerabilidades críticas por anos sem correção. Servidores físicos e virtuais esquecidos após migrações, fusões, aquisições ou a conclusão de projetos de TI também representam riscos.

Dados da certificadora Let’s Encrypt indicam que, em 2024, cerca de 50% das solicitações de renovação de certificados partiram de dispositivos já não vinculados aos domínios correspondentes, contribuindo para um universo estimado de aproximadamente um milhão de dispositivos esquecidos ainda conectados à rede global.

Para garantir uma proteção de dados mais efetiva, a Kaspersky oferece as seguintes recomendações:

  • Abandonar a postura reativa e avançar para um modelo proativo de resiliência digital. Processos automatizados de Descoberta e Reconciliação de Ativos (AD&R), por exemplo, permitem identificar sistemas conflitantes, acessos indevidos e informações desatualizadas antes que se tornem alvos.
  • Estabelecer políticas formais de descontinuação de servidores e aplicações, incluindo a destruição comprovada de dados antes do desligamento do hardware.
  • Integrar soluções de Gestão de Identidade e Acesso (IAM) aos processos de RH para permitir a revogação imediata de contas de colaboradores desligados ou prestadores de serviço, reduzindo a superfície de ataque.

Saiba mais sobre Políticas e conscientização