Em 1º de julho de 2025, cibercriminosos não precisaram enfrentar o firewall de nenhum grande banco. Eles comprometeram uma empresa de software intermediária responsável por conectar dezenas de instituições financeiras ao Sistema de Pagamentos Brasileiro.
O resultado: um prejuízo estimado entre R$ 800 milhões e R$ 1 bilhão, ao menos seis bancos afetados e o Banco Central forçado a suspender temporariamente o acesso da empresa ao SPB. Nenhum sistema bancário central foi atacado diretamente. A porta de entrada foi um elo da cadeia, e esse elo foi suficiente.
À medida que organizações Enterprise se tornam mais interconectadas com centenas de fornecedores, parceiros, integrações em nuvem e APIs de terceiros, a superfície de ataque ultrapassa qualquer perímetro que um CISO possa controlar de forma direta. O modelo de segurança baseado em muros internos, firewalls, antivírus, políticas de acesso rígidas para o ambiente próprio, já não reflete a realidade do ambiente digital corporativo. O atacante sofisticado de 2026 não força a entrada pela frente. Ele entra pela lateral, usando a confiança que sua empresa já depositou em um terceiro.
O que são Supply Chain Attacks e por que eles crescem
Um ataque à cadeia de suprimentos digital, ou Supply Chain Attack, explora o relacionamento de confiança entre uma organização-alvo e seus fornecedores, parceiros ou prestadores de serviço. Em vez de atacar diretamente a empresa com maior maturidade de segurança, o adversário compromete um elo mais vulnerável da rede: uma biblioteca open source usada por um parceiro, um token de integração sem rotação periódica, um pipeline de CI/CD de um integrador ou, as credenciais de um funcionário terceirizado com acesso privilegiado ao sistema.
Segundo estudo da Kaspersky publicado em abril de 2026 e divulgado pelo Portal CIMM, 36% das grandes corporações brasileiras já sofreram algum tipo de ataque à cadeia de suprimentos, número alinhado à média global de 31% registrada entre empresas de todos os portes. O dado reflete algo estrutural: organizações de maior porte trabalham, em média, com cerca de 100 fornecedores e podem superar 130 terceiros com acesso direto aos seus sistemas. Cada um desses pontos de contato é uma superfície de risco que raramente passa por avaliação contínua.
O Fórum Econômico Mundial reforça a gravidade do cenário: 65% das grandes empresas identificam vulnerabilidades em fornecedores e cadeias de suprimentos como o principal obstáculo para alcançar resiliência em cibersegurança. E ainda assim, conforme o mesmo estudo da Kaspersky, apenas 9% das empresas globalmente listam ataques na cadeia de suprimentos como sua principal preocupação. Há uma distância perigosa entre o risco percebido e o risco real.
Essa desconexão não é acidental. Líderes tendem a priorizar ameaças com maior visibilidade: ransomware, APTs, violações diretas, enquanto os vetores que chegam por vias legítimas permanecem no ponto cego. E é exatamente nesse ponto cego que o atacante opera.
Os vetores mais comuns no contexto brasileiro
O mercado brasileiro apresenta características que ampliam a exposição a esse tipo de ameaça. A rápida digitalização do sistema financeiro, liderada por plataformas como o Pix, criou um ecossistema de centenas de integradores, fintechs e provedores de infraestrutura com acessos privilegiados ao núcleo do sistema bancário nacional. A maioria dessas empresas intermediárias opera com maturidade de segurança muito inferior à das grandes instituições que conectam.
Os vetores de ataque mais recorrentes nesse contexto incluem SaaS sem auditoria contínua de segurança, terceiros com acesso privilegiado e sem gestão rigorosa de credenciais, APIs bancárias com tokens de longa duração ou sem rotação automatizada, e pipelines de desenvolvimento de parceiros com dependências open source não rastreadas. Cada um desses pontos representa, na prática, uma extensão do seu perímetro que você não controla, mas da qual você é igualmente responsável.
A confiança implícita como vetor de ataque
O conceito que estrutura esses ataques tem um nome técnico: trust relationship exploitation – a exploração de relacionamentos de confiança. Quando sua organização concede a um fornecedor acesso ao ambiente interno, seja via VPN, integração de API ou acesso a sistemas de gerenciamento, ela está, na prática, estendendo seu perímetro de segurança para além de qualquer controle direto.
Segundo o estudo da Kaspersky citado pelo Portal CIMM, ataques que aproveitam esses relacionamentos de confiança estiveram entre as cinco maiores ameaças comuns no último ano, afetando 25% das empresas globalmente. O mecanismo é simples na sua lógica: em vez de escalar um sistema protegido, o atacante usa um acesso legítimo já existente para se mover dentro da rede da empresa-alvo sem disparar alertas. O tráfego pode aparentar legitimidade porque utiliza credenciais válidas, canais autorizados e padrões operacionais já esperados pelo ambiente.
No caso da empresa de software, conforme análise publicada pelo portal TI Inside, Segundo informações publicamente divulgadas e análises preliminares do caso, há indícios de comprometimento de credenciais associadas a terceiros com acesso privilegiado. O acesso era legítimo. O comportamento não era. E essa distinção entre credencial válida e comportamento anômalo é exatamente onde a maioria dos modelos de segurança tradicionais falha.
Em muitos cenários modernos, o alvo sequer é uma credencial humana, mas identidades não humanas, como tokens OAuth, chaves de API, service accounts e segredos utilizados em pipelines automatizados.
Por que o modelo de auditoria pontual não é suficiente
A resposta convencional das organizações a esse risco tem sido a auditoria periódica de fornecedores: questionários de segurança, avaliações anuais, exigências contratuais de compliance. Essa abordagem foi eficaz quando as integrações eram simples e o número de fornecedores era pequeno. Ela não acompanha a realidade atual.
Uma auditoria realizada em janeiro não captura uma vulnerabilidade introduzida em março. Um questionário respondido pelo time de segurança do fornecedor não reflete o comportamento real dos acessos que esse fornecedor mantém no seu ambiente. E um contrato com cláusulas de segurança não impede que um funcionário terceirizado aceite suborno para vazar credenciais.
O que as organizações precisam não é de mais auditorias pontuais. É de visibilidade contínua sobre o comportamento de todos os acessos, sejam eles originados de usuários internos ou de terceiros. Essa visibilidade exige uma abordagem estruturada de gerenciamento de risco da cadeia de suprimentos, o que o mercado tem consolidado sob o conceito de SCRM (Supply Chain Risk Management).
SCRM e Zero Trust: a resposta estruturada ao risco sistêmico
O Supply Chain Risk Management aplicado à cibersegurança vai além da gestão contratual. Ele envolve mapeamento contínuo de todos os fornecedores com acesso ao ambiente, classificação de criticidade por nível de acesso, monitoramento comportamental de acessos de terceiros, exigência de controles mínimos verificáveis, não apenas declarados, e planos de resposta a incidentes que contemplem cenários de comprometimento via fornecedor.
Integrado ao SCRM, o modelo Zero Trust oferece a estrutura técnica necessária para reduzir o impacto de uma eventual comprometimento. A premissa é direta: nenhum acesso é confiável por padrão, independentemente da origem. Todo usuário, sistema ou integração precisa ser continuamente verificado, e os privilégios concedidos devem ser os mínimos necessários para a função desempenhada. Quando um fornecedor é comprometido, o Zero Trust limita o raio de impacto: o atacante pode ter a credencial, mas não terá acesso irrestrito ao ambiente.
Para CISOs que lidam com ecossistemas complexos de parceiros, a combinação de SCRM com Zero Trust representa a evolução necessária de um modelo de segurança que ainda trata fornecedores como entidades externas ao perímetro. Na realidade operacional de 2026, eles já estão dentro.
Como a Asper aborda o risco da cadeia de terceiros
Enfrentar o risco sistêmico de Supply Chain Attacks exige uma estratégia em camadas, não uma ferramenta isolada. A abordagem da Asper, operada pelo Cyber Fusion Center (CFC), une detecção comportamental, gerenciamento de exposição e resposta orquestrada para cobrir exatamente os pontos onde a confiança implícita em terceiros cria vulnerabilidades.
O CFC monitora comportamentos anômalos em tempo real, correlacionando eventos de diferentes silos para identificar presença de atacante que tenha entrado pelo acesso de um fornecedor legítimo. Quando um acesso válido começa a apresentar padrões fora do comportamento esperado, onde credenciais legítimas foram usadas para transferências fraudulentas, é exatamente esse tipo de correlação que diferencia uma detecção precoce de uma descoberta tardia, após o estrago feito.
O CrowdStrike Falcon, operado pelo CFC da Asper, atua na camada do endpoint com detecção comportamental que independe da origem do vetor de entrada. Mesmo que o atacante tenha chegado via um parceiro legítimo, o comportamento dentro do ambiente (execução de código anômalo, movimentação lateral, tentativas de escalonamento de privilégios) é identificado e contido. O tempo médio de isolamento de um dispositivo comprometido é de minutos, reduzindo drasticamente a janela de dano.
O Tenable One complementa essa camada com gerenciamento contínuo de exposição, mapeando vulnerabilidades em toda a superfície de ataque, incluindo ativos expostos via integrações com terceiros e APIs externas. Ao invés de uma fotografia pontual do risco, a plataforma entrega visibilidade permanente sobre os pontos que um atacante pode explorar, priorizando correções com base no impacto real para o negócio.
Esses três elementos, monitoramento comportamental via CFC, detecção e resposta via Falcon Complete e gerenciamento de exposição via Tenable One, formam uma arquitetura de defesa que trata o risco da cadeia de suprimentos como o que ele é: um risco interno, não externo.
A pergunta que precisa ser feita agora
O caso discutido neste artigo não foi o primeiro Supply Chain Attack de impacto no Brasil, e não será o último. A crescente complexidade dos ecossistemas digitais corporativos, aliada ao uso de IA ofensiva para automação de phishing contextual, reconhecimento de superfícies expostas, evasão comportamental e engenharia social assistida por LLMs, tende a ampliar a sofisticação e frequência desses ataques. Por grupos criminosos, indica que a sofisticação e a frequência desses ataques só tendem a crescer ao longo de 2026, conforme apontam as projeções do setor.
A questão que cada CISO precisa responder não é se sua empresa pode ser atacada por essa via, é se sua organização tem visibilidade suficiente para detectar quando um acesso legítimo começa a ser usado de forma ilegítima. Tem clareza sobre quais fornecedores possuem acesso privilegiado ao seu ambiente? Monitora o comportamento desses acessos em tempo real? Possui plano de resposta que contemple o isolamento imediato de um terceiro comprometido?
Se alguma dessas respostas for incerta, o perímetro que você acredita proteger pode já estar sendo atravessado, não pela porta da frente, mas pela lateral que você ainda não mapeou.
Quer entender como sua organização se posiciona frente ao risco da cadeia de suprimentos? Fale com os especialistas do Cyber Fusion Center da Asper e descubra como estruturar uma defesa que vai além do seu próprio ambiente.
