No primeiro semestre de 2025, os ataques de ransomware no Brasil cresceram 25%, com mais de 3.600 incidentes registrados no período, segundo a SonicWall. Um estudo da Sophos aponta que 73% das empresas brasileiras afirmaram ter sido vítimas desse tipo de ataque. Os números colocam o país entre os mercados mais afetados do mundo e revelam uma fragilidade que vai além da prevenção: a maioria das organizações ainda não tem clareza sobre quanto tempo levaria para retomar operações após um incidente. A pesquisa realizada pela Grant Thornton Brasil e Opice Blum Advogados aponta que 79% das empresas acreditam estar mais expostas a ataques cibernéticos em razão da evolução tecnológica, e apenas 44% têm a alta administração envolvida no tema. Os prejuízos anuais relacionados a falhas de segurança digital no Brasil são estimados em mais de R$ 126 bilhões. Em fevereiro de 2026, o país registrou uma média de 3.736 ataques cibernéticos por semana por organização, crescimento de 37% em relação ao mesmo período do ano anterior. Para Erik de Lopes Morais, COO da Penso Tecnologia, a discussão sobre cibersegurança no Brasil ainda está concentrada na camada de prevenção, quando o problema central já é outro. "A maioria das empresas descobre a fragilidade do seu plano de recuperação no momento em que mais precisa dele. RTO e RPO precisam ser definidos com base na realidade operacional de cada negócio, não como exercício burocrático", afirma. RTO (Recovery Time Objective) e RPO (Recovery Point Objective) são os parâmetros que definem, respectivamente, em quanto tempo uma empresa consegue retomar operações após uma falha e qual o volume máximo de dados que pode perder sem comprometer o negócio. A ausência de métricas claras nessas duas dimensões é um dos fatores que transforma incidentes recuperáveis em crises prolongadas. Um dado estrutural ajuda a explicar parte dessa vulnerabilidade: 98% das contas em nuvem de empresas brasileiras operam sem autenticação multifator e 91% com privilégios excessivos. Essa combinação facilita o acesso não autorizado e amplia o raio de dano de um ataque bem sucedido. O modelo Ransomware como Serviço (RaaS) democratizou o acesso a ferramentas de ataque, permitindo que agentes com pouco conhecimento técnico conduzam operações complexas. A prática de extorsão dupla, que combina criptografia de dados com ameaça de vazamento caso o resgate não seja pago, tornou se comum, ampliando os impactos financeiros e reputacionais das vítimas. "Resiliência não é apenas ter backup. É saber em quanto tempo você consegue voltar a operar, com quais dados e sem comprometer a integridade do ambiente", diz Morais.