Convergência IT/OT: a principal vulnerabilidade da indústria brasileira em 2026

O modelo que falhou

PLCs — controladores lógicos programáveis que regulam válvulas, motores e linhas de montagem —, sistemas SCADA e equipamentos de chão de fábrica operavam em redes fechadas, sem conexão com sistemas corporativos ou com a internet. O isolamento era o mecanismo de defesa. Não havia superfície de ataque porque não havia superfície de contato.

A Indústria 4.0 dissolveu esse modelo por design. A integração entre sistemas ERP, plataformas MES — que conectam planejamento corporativo ao controle de produção — e equipamentos operacionais passou a ser exigência de eficiência e rastreabilidade. Em 2026, essa maturidade operacional coincidiu com o amadurecimento dos adversários. A Dragos, em seu 9th Annual Year in Review publicado em fevereiro de 2026, foi direta: 2025 marcou uma transição decisiva de reconhecimento para tentativa de impacto operacional em ambientes industriais.

O paradoxo se aprofunda. Quanto mais a fábrica se digitaliza, mais ela produz dados úteis — e mais ela oferece caminhos exploráveis.

O Brasil no centro do alvo

A exposição da indústria brasileira não é abstrata. O país registrou 166 ataques de ransomware direcionados ao território nacional dentro de um universo de 248 incidentes documentados na região entre 2024 e 2025 — com a manufatura respondendo por 20,56% dos casos, o percentual mais alto entre todos os setores da economia, segundo o relatório Manufacturing Threat Landscape 2026 da Check Point Research.

No primeiro trimestre de 2025, o Brasil liderou a América do Sul com 22 incidentes documentados, com concentração em alimentos e bebidas — um setor de operação 24×7, com baixa tolerância a parada e alta pressão por retomada imediata. Contudo, os números escondem a dimensão real do risco: credenciais de acesso a empresas industriais brasileiras chegam a ser vendidas entre US$ 4.000 e US$ 70.000 em mercados clandestinos, segundo o mesmo relatório da Check Point. Atacantes não agem por oportunismo — eles chegam com o valor do dano já calculado.

A anatomia do ataque

A confusão é frequente, e ela custa caro. Robert Lee, CEO da Dragos, foi direto no press release do 9th Annual Year in Review: "Os grupos de ransomware estão causando mais interrupção operacional e paralisações de vários dias que exigem recuperação específica para OT. Ainda assim, as organizações industriais subestimam significativamente o alcance do ransomware em ambientes OT — porque acham que é só TI." O equívoco tem consequência direta: um servidor Windows comprometido que hospeda software SCADA — o sistema que supervisiona e controla em tempo real os processos físicos da planta — é classificado como incidente de TI quando é, na prática, um incidente operacional.

É uma combinação que merece atenção: a movimentação lateral — técnica pela qual um invasor navega de um sistema comprometido para outros dentro da mesma rede — transforma um e-mail de phishing num vetor de parada de linha. O caminho típico começa no acesso remoto VPN mal configurado ou em credencial corporativa válida. Atravessa o Active Directory. Alcança o sistema ERP ou MES. De lá, encontra a camada OT sem segmentação efetiva entre os dois ambientes. Em 2025, malware e ransomware responderam cada um por 23% dos engagements de resposta a incidentes da Dragos em ambientes industriais — índice que reflete a escala com que essas ameaças já operam dentro de redes OT, não apenas nas bordas corporativas.

O legado que não perdoa

O problema técnico central não está na sofisticação dos atacantes. Está na fragilidade estrutural dos sistemas que eles encontram do outro lado. PLCs, HMIs — interfaces homem-máquina que permitem ao operador visualizar e controlar processos — e equipamentos SCADA legados foram projetados para durabilidade e confiabilidade, não para cibersegurança. Muitos operam com sistemas sem suporte, protocolos industriais sem autenticação nativa e ciclos de patch que simplesmente não existem.

O número é revelador. Em 2025, 26% dos advisories de vulnerabilidades ICS publicados não continham patch ou mitigação disponível dos fabricantes, segundo o Dragos 9th Annual Year in Review. Na Europa, referência de maturidade industrial, 80% dos fabricantes ainda operavam sistemas OT críticos com vulnerabilidades conhecidas, de acordo com o Manufacturing Threat Landscape 2026 da Check Point Research. Globalmente, US$ 329,5 bilhões estão sob risco de perda em cenários de incidentes OT de alta severidade, segundo o Dragos OT Security Financial Risk Report 2025. A outra face desse número é que a maior parte desse risco está concentrada em ativos que nenhuma equipe de TI tradicional monitora.

Da visibilidade à ação

O elo que falta, em geral, não é a solução de segurança. É o inventário. Sem saber exatamente quais ativos OT operam na rede — onde estão, se estão atualizados, se estão conectados — nenhuma ferramenta de proteção funciona com eficácia. A Claroty, em apresentação no Mind The Sec 2025, deixou claro que muitas empresas industriais brasileiras ainda não têm clareza sobre quantos ativos industriais conectados possuem e se estão devidamente atualizados.

A diferença entre visibilidade e ausência dela é mensurável. Organizações com visibilidade abrangente de seus ambientes OT contiveram incidentes de ransomware em cinco dias, em média — contra 42 dias nas que operavam sem monitoramento dedicado, segundo o mesmo relatório da Dragos. Trinta e sete dias a mais de planta parada, de multas contratuais acumuladas, de decisões executivas tomadas às cegas. O caminho para reduzir essa exposição passa por três frentes sequenciais: realizar o inventário completo de ativos OT como pré-requisito inegociável; implementar segmentação de rede entre os ambientes IT e OT, cortando o trajeto que a movimentação lateral explora; e adotar arquitetura Zero Trust — modelo que pressupõe que nenhum acesso é confiável por padrão, exigindo verificação contínua de identidade e contexto — com critérios específicos para o ambiente industrial, distintos dos ciclos corporativos tradicionais.

O peso regulatório em 2026

O ambiente regulatório brasileiro mudou de patamar em abril de 2026. A sanção da Lei 15.352/2026 transformou a Autoridade Nacional de Proteção de Dados em agência autônoma, com quadro técnico próprio, orçamento independente e poderes ampliados de fiscalização — incluindo a capacidade de instaurar investigações de ofício e aplicar sanções sem depender de aprovação ministerial. Para infraestruturas industriais que processam dados operacionais e pessoais, a mudança é direta: a ANPD deixou de ser um órgão com limitações institucionais e passou a operar com autonomia equivalente à de agências reguladoras setoriais consolidadas.

A agenda regulatória 2025-2026 da ANPD estabeleceu 16 temas prioritários, com o ciclo de auditorias e inspeções se intensificando ao longo do segundo semestre. Organizações industriais que ainda não mapearam seus ativos OT, não documentaram suas práticas de segurança ou não formalizaram planos de resposta a incidentes entram nesse ciclo em posição de vulnerabilidade dupla — técnica e regulatória. O dinheiro já está em movimento: grupos de ransomware com 119 operações ativas documentadas pela Dragos não aguardam o calendário do regulador. A questão, para líderes de tecnologia e operações, não é se o tema chegará à mesa — é se chegará por escolha ou por crise.