As empresas brasileiras alcançaram um novo patamar de maturidade em segurança da informação, mas seguem enfrentando desafios persistentes. Entre 2021 e 2026, a parcela de organizações com mais de cinco anos de investimentos contínuos na área saltou de 14% para 67%. Além disso, 96% das empresas brasileiras atualmente investem em segurança da informação, ante 74% registrados em 2021.
Os dados fazem parte do Brazilian CyberSecurity Index, primeiro relatório que conta com uma série histórica sobre o mercado brasileiro de cibersegurança. Realizada pela BugHunt, o projeto consolidou cinco anos de acompanhamento contínuo de 240 companhias para mapear a evolução da maturidade, dos investimentos e das principais ameaças enfrentadas por elas no país.
O levantamento revela também uma mudança importante no perfil das ameaças enfrentadas pelas organizações ao longo dos últimos cinco anos. O phishing foi o único vetor de ataque a apresentar crescimento consistente durante toda a série histórica, passando de 28% das empresas que o apontavam como principal ameaça em 2021 para 58% em 2026.
Segundo Caio Telles, CEO da BugHunt, o que mais chama atenção nesse cruzamento de dados é que o mercado amadureceu muito rápido impulsionado pela insistência dos ataques, e não necessariamente por sua maior sofisticação.
“Hoje temos mais empresas investindo e com operações estruturadas. Ainda assim, o phishing continua como o principal vetor de ataque às organizações brasileiras. Isso mostra que segurança não é apenas uma questão de tecnologia, mas também de implementação de processos, treinamento de usuários e validação contínua para reduzir sua exposição a ameaças”, afirma.
Demais ameaças
Se nos primeiros anos da série as principais preocupações estavam concentradas em ataques já conhecidos, como malware, ransomware e vazamentos de dados, a edição de 2026 evidencia o avanço de ameaças ligadas à identidade e à exposição de ambientes digitais. Falhas de autenticação atingiram 31% das companhias, seguidas por exploração de vulnerabilidades (23%) e indisponibilidade de sistemas (19%).
Em sentido oposto, vetores que chegaram a liderar as ocorrências em anos anteriores perderam relevância relativa. O malware, que afetava 24% das empresas em 2021 e 25% em 2022, recuou para 15% em 2026. Já o ransomware caiu de 25% em 2022 para 12% na edição mais recente do levantamento.
“Ao longo dos últimos cinco anos, vimos uma mudança importante no perfil das ameaças. O mercado saiu de uma preocupação concentrada em malware e ransomware para um cenário em que phishing, identidade digital e exploração de vulnerabilidades passaram a ocupar um espaço cada vez maior na agenda das companhias. Isso reflete a expansão dos ambientes digitais e a necessidade de controles mais contínuos e abrangentes após novas superfícies de ataque terem sido criadas pela transformação digital”, afirma Telles.
Pressão por resultados cresce com orçamento estável
Outro dado que chama atenção é a desaceleração prevista para os investimentos em segurança nos próximos anos.
De acordo com o estudo, 39% das empresas não pretendem ampliar seus orçamentos de segurança em 2026. Outras 37% estimam aumentos de até 10%, percentual próximo da inflação. Apenas 24% planejam crescimento real dos recursos destinados à área.
Nesse cenário, a principal prioridade das organizações passa a ser a melhoria contínua dos processos de segurança. O tema foi apontado por 61% dos entrevistados como foco principal para os próximos anos, à frente de iniciativas de prevenção, recuperação e continuidade operacional.
“O mercado entrou em uma fase em que simplesmente adicionar novas ferramentas já não é suficiente. A cobrança por resultados aumentou e os orçamentos tendem a crescer em ritmo menor. Isso faz com que eficiência operacional, integração entre áreas e validação contínua ganhem ainda mais relevância”, afirma Telles.
Inteligência artificial lidera próximos investimentos
Em busca de maior eficiência operacional diante de orçamentos mais restritos, as empresas apontam a inteligência artificial como a principal aposta tecnológica para o futuro. A tecnologia foi citada por 63% dos entrevistados como prioridade de adoção nos próximos dois anos. Na sequência aparecem automação e orquestração (51%), arquiteturas Zero Trust (49%), segurança em ambientes de nuvem (40%) e proteção de aplicações (34%).
Segundo Telles, o movimento reflete a necessidade de ampliar a capacidade operacional das equipes sem necessariamente expandir estruturas e equipes na mesma velocidade.
Bug Bounty ganha espaço entre empresas mais maduras
A evolução da maturidade do mercado também se reflete na adoção de modelos de validação contínua. Quando a BugHunt lançou a primeira edição do estudo, em 2021, o Bug Bounty ainda era percebido por muitas organizações como uma prática reservada a empresas globais de tecnologia ou operações de segurança altamente sofisticadas. Na época, apenas 24% das entrevistadas pensavam em adotar.
Cinco anos depois, a série histórica mostra uma mudança significativa de percepção. Atualmente, 48% já utilizam ou pretendem implementar programas de Bug Bounty nos próximos dois anos.
O indicador que melhor traduz essa evolução é o de promotores da prática. Segundo o Brazilian CyberSecurity Index, 56% das organizações que conhecem o modelo se declaram promotoras do Bug Bounty – ou seja, já utilizaram, utilizariam novamente e recomendariam sua adoção para outras empresas.
“À medida que a tecnologia avança, também aumenta a velocidade com que novas vulnerabilidades, superfícies de ataque e técnicas de exploração surgem. Nenhuma empresa consegue acompanhar essa dinâmica atuando sozinha. O crescimento do Bug Bounty reflete justamente essa mudança de maturidade do mercado. As organizações passaram a entender que se aproximar da comunidade de hackers éticos e pesquisadores de segurança é uma forma de ampliar sua capacidade de identificar riscos, acompanhar a evolução das ameaças e se manter à frente da criatividade do cibercrime”, afirma Telles.
Nova fase da BugHunt acompanha transformação do mercado
Lançada em 2020 para introduzir e popularizar o modelo de Bug Bounty no Brasil, a companhia anuncia agora uma evolução de posicionamento para acompanhar um mercado que passou a enxergar a segurança como uma operação contínua, baseada em tecnologia, mas também na colaboração com especialistas, pesquisadores e ecossistemas capazes de ampliar a capacidade de defesa das organizações.
“Os resultados do estudo mostram que as organizações estão buscando operações de segurança cada vez mais contínuas e orientadas à eficiência. Nossa evolução acompanha exatamente essa transformação. Hoje, a conversa já não é apenas sobre encontrar vulnerabilidades, mas sobre ajudá-las a construir operações de segurança mais maduras, sustentáveis e preparadas para os desafios dos próximos anos”, conclui Telles.
Mais informações da pesquisa podem ser consultadas em https://index.bughunt.com.br