Cibersegurança

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

Um novo grupo de ciberespionagem, codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em política externa entre junho e agosto de 2025, em meio a tensões geopolíticas entre Irã e Israel. Segundo a Proofpoint, os ataques utilizam iscas políticas, como mudanças sociais no Irã e investigações sobre a militarização do Corpo da Guarda Revolucionária Islâmica (IRGC). As táticas empregadas são semelhantes às de grupos de espionagem cibernética iranianos anteriores, como TA455 e TA453, com e-mails que se assemelham a ataques clássicos de phishing. Os atacantes se envolvem em conversas benignas antes de tentarem roubar credenciais, utilizando URLs maliciosas que disfarçam instaladores de software legítimos, como o PDQ Connect. A operação sugere uma evolução na cooperação entre entidades de inteligência iranianas e unidades cibernéticas, focando na coleta de informações sobre análises de políticas ocidentais e pesquisas acadêmicas. O ataque destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

O artigo aborda a segurança dos dispositivos Android, especialmente os da linha Samsung Galaxy, desmistificando a ideia de que o sistema é inerentemente inseguro. Com o aumento do trabalho remoto, a segurança dos dados corporativos se torna uma preocupação central para administradores de TI. A plataforma Samsung Knox é apresentada como uma solução robusta que combina proteções de hardware e software, permitindo um controle mais profundo sobre os dispositivos e dados da empresa. Entre as funcionalidades destacadas, estão a proteção proativa contra malware, com o Google Play Protect e o Samsung Message Guard, que previnem ataques de zero-click. Além disso, a plataforma oferece ferramentas para gerenciar atualizações de forma eficiente, permitindo que administradores controlem o timing e a versão dos updates, minimizando interrupções. O artigo também enfatiza que a maioria das violações de segurança está relacionada a falhas humanas, e não apenas a vulnerabilidades de plataforma. Portanto, a implementação de políticas de segurança e a utilização de soluções como o Samsung Knox são essenciais para garantir a proteção dos dados corporativos.

Pesquisadores de cibersegurança revelaram um conjunto de sete vulnerabilidades que afetam os modelos GPT-4o e GPT-5 da OpenAI, incluindo técnicas de injeção de prompt que podem ser exploradas por atacantes para roubar informações pessoais dos usuários. As falhas permitem que um invasor manipule o comportamento esperado do modelo de linguagem, levando-o a executar ações maliciosas sem o conhecimento do usuário. Entre as vulnerabilidades estão a injeção de prompt indireta via sites confiáveis, a injeção de prompt sem clique e a injeção de memória, que podem comprometer a privacidade dos dados armazenados nas interações do ChatGPT. A OpenAI já tomou medidas para corrigir algumas dessas falhas, mas a pesquisa destaca a necessidade de mecanismos de segurança mais robustos. Além disso, o estudo alerta para a crescente complexidade das ameaças, como ataques de injeção de prompt que podem ser realizados com um número reduzido de documentos maliciosos, tornando esses ataques mais acessíveis para potenciais invasores. A situação exige atenção redobrada de empresas e profissionais de segurança da informação, especialmente em um cenário onde a proteção de dados pessoais é cada vez mais crítica.

O grupo de ameaças FIN7, também conhecido como Savage Ladybug, continua a utilizar um backdoor baseado em SSH específico para Windows, que foi identificado pela primeira vez em 2022. Recentemente, a Prodaft revelou que a campanha mais recente do grupo faz uso de um conjunto de ferramentas OpenSSH personalizadas e um script de instalação chamado install.bat, que estabelece canais de acesso remoto criptografados e facilita a exfiltração de dados.

O malware transforma sistemas Windows em clientes SSH, permitindo a criação de túneis reversos para servidores controlados pelos atacantes, contornando restrições de firewall. Após a ativação, o malware possibilita sessões SFTP seguras para transferências de dados discretas e controle contínuo pelos operadores. A aparência modular e legítima dos componentes OpenSSH torna a detecção difícil, pois imita utilitários administrativos inofensivos.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza o Microsoft OneDrive para executar código malicioso, contornando defesas de segurança tradicionais. O método, conhecido como DLL sideloading, explora a ordem previsível de busca de bibliotecas dinâmicas do Windows. Quando o OneDrive.exe é iniciado, o sistema operacional procura arquivos necessários, como version.dll, em várias localizações, começando pelo diretório do aplicativo. Os atacantes aproveitam esse comportamento ao inserir uma versão maliciosa do arquivo version.dll no diretório do OneDrive, fazendo com que o aplicativo carregue código controlado pelo invasor em vez das bibliotecas legítimas da Microsoft.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Um recente teste de penetração revelou uma vulnerabilidade crítica de escalonamento de privilégios nas instalações do Jupyter Notebook, uma plataforma amplamente utilizada para ciência de dados. A falha não é decorrente de um erro de código, mas sim de uma combinação perigosa de configurações padrão e padrões de implantação que muitas equipes de segurança frequentemente ignoram. Quando o Jupyter é executado com privilégios de root e a autenticação está desativada, o recurso de API de terminal se torna um acesso direto ao sistema. Os pesquisadores descobriram que, ao acessar o endpoint da API REST /api/terminals, um invasor pode criar sessões de terminal sem autenticação. Utilizando ferramentas compatíveis com WebSocket, como websocat, os atacantes podem interagir com a interface do terminal e obter acesso root sem a necessidade de técnicas tradicionais de escalonamento de privilégios. Uma vez que o acesso root é alcançado, os invasores podem acessar arquivos de configuração do Jupyter, permitindo a criação de shells reversos persistentes e backdoors. Para mitigar essa vulnerabilidade, é crucial que o Jupyter não seja executado como root em ambientes de produção e que medidas de segurança, como autenticação obrigatória e desativação da API de terminal, sejam implementadas.

Um grave vazamento de dados na empresa de TI sueca Miljödata comprometeu informações pessoais de mais de 1,5 milhão de pessoas, levando a Autoridade Sueca de Proteção de Dados (IMY) a abrir uma investigação. O incidente, ocorrido no final de agosto, envolveu o roubo de grandes volumes de dados pessoais, que foram posteriormente publicados na Darknet. A IMY está avaliando se a Miljödata e várias organizações do setor público, como a Cidade de Gotemburgo e a Prefeitura de Älmhult, cumpriram as exigências do Regulamento Geral sobre a Proteção de Dados (GDPR). A investigação busca entender como o ataque ocorreu, quais dados foram afetados e se as medidas de segurança da empresa eram adequadas. A IMY enfatizou a necessidade de examinar as práticas de proteção de dados, especialmente em relação a informações sensíveis, como dados de crianças e indivíduos com identidades protegidas. O incidente levanta questões críticas sobre a segurança cibernética e a gestão responsável de dados na Suécia, refletindo preocupações que também podem ser relevantes para o Brasil, especialmente em relação à conformidade com a LGPD.

Hackers estão colaborando com gangues de crime organizado para roubar cargas diretamente das cadeias de suprimentos, conforme relatado pela ProofPoint. Esses ataques envolvem o envio de links maliciosos para empresas de logística, permitindo que os criminosos acessem sistemas e redirecionem remessas para destinos fraudulentos. Através de engenharia social, os hackers conseguem identificar cargas de alto valor e se passam por representantes legítimos, manipulando motoristas e eliminando notificações de despachantes. Embora não haja relatos de violência, a possibilidade de danos físicos aos motoristas é uma preocupação real. O roubo de cargas já representa um custo anual de aproximadamente 34 bilhões de dólares, e a digitalização das cadeias de suprimentos aumenta a vulnerabilidade a esses ataques. A combinação de habilidades cibernéticas e táticas tradicionais de roubo sugere uma evolução preocupante no crime, exigindo atenção redobrada das empresas de logística e transporte.

Uma pesquisa da Proton revelou que 300 milhões de registros pessoais foram vazados na dark web, com 49% contendo senhas de usuários. O estudo, realizado com a ferramenta Data Breach Observatory, destacou que 71% dos dados expostos pertencem a pequenas e médias empresas. Além das senhas, 72% dos registros incluíam números de telefone e endereços, enquanto 34% continham informações de saúde e dados governamentais. O vazamento de credenciais é um indicativo de falhas graves na segurança digital, expondo os usuários a riscos de fraudes e ataques cibernéticos. A análise da Fortinet aponta que a combinação de contas legítimas com credenciais roubadas dificulta a detecção de fraudes, uma vez que os cibercriminosos podem se infiltrar nas atividades normais das empresas. A pesquisa também alerta que muitos vazamentos ocorrem com logins simples, sem a necessidade de técnicas sofisticadas. Para se proteger, é essencial adotar senhas fortes e únicas, além de implementar a autenticação de dois fatores sempre que possível.

O setor elétrico brasileiro está sob crescente ameaça de ciberataques, com 535 mil tentativas registradas apenas no primeiro semestre de 2025, conforme divulgado pela ANEEL durante um painel sobre segurança online. Apesar de todas as tentativas terem sido bloqueadas, a superintendente de Gestão Técnica da Informação da ANEEL, Adriana Drummond Vivan, alertou para a vulnerabilidade dos sistemas de segurança do setor. Ela destacou a importância de uma regulamentação que, embora sirva como diretriz, não deve limitar a atuação dos profissionais da área. Vivan enfatizou que a regulação deve ser constantemente atualizada para acompanhar as rápidas mudanças no ambiente digital. Além disso, ela mencionou que um ataque cibernético ao setor elétrico pode ter um efeito dominó, afetando outras áreas, como telecomunicações, o que poderia resultar em sérios problemas de segurança de dados. Para mitigar esses riscos, a cooperação entre diferentes setores é essencial, permitindo um compartilhamento eficaz de informações e estratégias de defesa.

No dia 19 de outubro de 2025, o Museu do Louvre, em Paris, foi alvo de um assalto audacioso, resultando no roubo de joias avaliadas em cerca de R$ 543 milhões. Os assaltantes exploraram falhas de segurança, incluindo senhas fracas como ‘Louvre’ para acessar as câmeras de segurança. A invasão foi facilitada por uma combinação de técnicas de OSINT e conhecimento sobre a movimentação de visitantes no museu. Documentos de segurança de 2014 e 2024 já apontavam para vulnerabilidades, como sistemas desatualizados e senhas inadequadas. O incidente expôs a fragilidade das medidas de segurança, mesmo em uma instituição de renome, e levantou questões sobre a gestão de tecnologia e segurança. Apesar de algumas tentativas de distração, como atear fogo em uma escada móvel, a operação dos criminosos foi marcada por amadorismo, evidenciado pela perda de uma coroa durante a fuga. A reputação do Louvre foi severamente afetada, destacando que a tecnologia avançada não é suficiente sem uma administração eficaz das medidas de segurança.

Com a aproximação das férias de fim de ano, uma pesquisa da Proofpoint revela que mais da metade dos principais sites de turismo no Brasil, como Booking, Airbnb e Tripadvisor, não adotam práticas adequadas de segurança digital. O estudo analisou 20 plataformas populares e constatou que 55% delas não implementam medidas básicas, como o bloqueio de e-mails falsos, o que aumenta o risco de fraudes online. Embora 80% dos sites utilizem o protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance), apenas 45% o fazem de forma avançada, deixando uma brecha para cibercriminosos que podem falsificar identidades e aplicar técnicas de phishing. Para evitar golpes, os usuários devem desconfiar de links suspeitos, verificar a autenticidade de mensagens e evitar senhas fracas. A pesquisa destaca a necessidade urgente de melhorias na segurança digital dessas plataformas, especialmente em um período em que o turismo tende a aumentar.

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.

O ecossistema de finanças descentralizadas (DeFi) enfrentou uma grave violação de segurança, com hackers explorando vulnerabilidades no protocolo Balancer, resultando em perdas superiores a US$ 100 milhões. O ataque focou nas V2 Composable Stable Pools, que operam em várias blockchains e possuem um recurso de segurança chamado ‘janela de pausa’, destinado a interromper transações em situações de emergência. No entanto, muitas dessas pools estavam ativas além do período em que essa proteção poderia ser acionada, deixando-as vulneráveis ao ataque. Após a descoberta da violação, a equipe de segurança do Balancer trabalhou rapidamente com especialistas em cibersegurança para conter os danos, interrompendo todas as pools elegíveis para pausa de emergência. Apesar das rigorosas práticas de segurança do Balancer, incluindo auditorias e programas de recompensas por bugs, o ataque demonstrou a sofisticação crescente das ameaças no setor DeFi. O Balancer alertou os usuários sobre tentativas de phishing que se aproveitaram da situação, enfatizando a importância de confiar apenas em fontes oficiais para informações. A equipe continua a colaborar com autoridades e especialistas para investigar o ataque e buscar a recuperação dos fundos.

A Microsoft anunciou uma nova medida de segurança que entrará em vigor em fevereiro de 2026, visando proteger as credenciais do Microsoft Entra armazenadas em dispositivos móveis comprometidos. A partir dessa data, o aplicativo Microsoft Authenticator detectará iPhones com jailbreak e dispositivos Android com root, removendo automaticamente todas as credenciais armazenadas. Essa ação visa prevenir o acesso não autorizado e o roubo de credenciais, uma vez que dispositivos modificados desativam as proteções de segurança padrão, permitindo que aplicativos maliciosos acessem dados sensíveis. A remoção das credenciais é uma resposta a um vetor de ataque crítico que cibercriminosos exploram ativamente. Embora a funcionalidade do Authenticator para contas Microsoft Entra seja desativada em dispositivos comprometidos, contas pessoais e métodos de autenticação de terceiros continuarão operando normalmente. As organizações devem comunicar essa mudança aos usuários para evitar interrupções operacionais e desenvolver estratégias de comunicação claras sobre a importância dessa medida de segurança. Essa decisão da Microsoft reflete uma tendência crescente na indústria de priorizar a segurança em dispositivos móveis, especialmente em um cenário onde o trabalho remoto e os serviços baseados em nuvem dependem cada vez mais da autenticação móvel.

A Zscaler anunciou a aquisição da SPLX, uma empresa pioneira em segurança com inteligência artificial (IA), ampliando significativamente sua plataforma Zero Trust Exchange. Esta aquisição é estratégica, pois permite que as organizações protejam todo o ciclo de vida da IA, desde o desenvolvimento até a implantação, em uma única plataforma integrada. Com investimentos em infraestrutura de IA projetados para ultrapassar US$ 250 bilhões até o final de 2025, surgem novos desafios de segurança, como a proliferação de IA não gerenciada e superfícies de ataque emergentes que ferramentas tradicionais não conseguem abordar.

Os ataques de ransomware aumentaram 25% em outubro de 2025, totalizando 684 incidentes, o terceiro maior número mensal do ano. O setor industrial continua sendo o mais atacado, com 19% dos casos, mas o setor de saúde registrou um aumento alarmante de 115%, passando de 26 para 56 ataques. O grupo de ransomware Qilin destacou-se como o mais ativo, reivindicando 186 vítimas em outubro. Dos 684 ataques, 47 foram confirmados, sendo 27 em empresas, 10 em entidades governamentais e 3 em empresas de saúde. Os dados indicam que mais de 162 TB de dados foram supostamente roubados em 315 casos. Os Estados Unidos lideraram o número de ataques, com 374 incidentes, seguidos por aumentos significativos na Austrália e no Japão. O cenário é preocupante, especialmente para o setor de saúde, que já contabiliza 104 ataques confirmados em 2025, o que levanta questões sobre a segurança de dados sensíveis e conformidade com a LGPD.

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.

O ransomware é um software malicioso que bloqueia o acesso a sistemas ou criptografa dados até que um resgate seja pago. Este tipo de ataque cibernético é uma das ameaças mais comuns e prejudiciais no cenário digital, afetando indivíduos, empresas e infraestruturas críticas em todo o mundo. Os ataques geralmente começam com a infiltração do malware por meio de e-mails de phishing, downloads maliciosos ou exploração de vulnerabilidades de software. Uma vez ativado, o ransomware utiliza algoritmos criptográficos para tornar os arquivos inacessíveis, exigindo pagamento, frequentemente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia.

Pesquisadores de cibersegurança revelaram quatro falhas de segurança no Microsoft Teams que podem ter exposto usuários a ataques de impersonificação e engenharia social. As vulnerabilidades permitiram que atacantes manipulassem conversas, se passassem por colegas e explorassem notificações. Após a divulgação responsável em março de 2024, a Microsoft abordou algumas dessas questões em agosto de 2024, com patches subsequentes lançados em setembro de 2024 e outubro de 2025. As falhas possibilitam a alteração do conteúdo das mensagens sem deixar o rótulo de ‘Editado’ e a modificação de notificações para alterar o remetente aparente, permitindo que atacantes enganem vítimas a abrirem mensagens maliciosas. Além disso, os atacantes podiam alterar nomes de exibição em conversas privadas e durante chamadas, forjando identidades de remetentes. A Check Point destacou que essas vulnerabilidades minam a confiança essencial nas ferramentas de colaboração, transformando o Teams em um vetor de engano. A Microsoft classificou uma das falhas, CVE-2024-38197, como um problema de spoofing de severidade média, afetando o Teams para iOS, o que pode permitir que atacantes enganem usuários a revelarem informações sensíveis. Com a crescente adoção do Teams, a segurança dessas plataformas se torna crítica para a proteção de dados corporativos.

Uma vulnerabilidade crítica foi identificada e corrigida no pacote npm ‘@react-native-community/cli’, utilizado por desenvolvedores para construir aplicações móveis em React Native. A falha, classificada como CVE-2025-11953, possui um score CVSS de 9.8, indicando sua gravidade. Essa vulnerabilidade permite que atacantes remotos não autenticados executem comandos arbitrários no sistema operacional da máquina que roda o servidor de desenvolvimento do React Native, o que representa um risco significativo para os desenvolvedores. O problema surge porque o servidor de desenvolvimento Metro, por padrão, se conecta a interfaces externas e expõe um endpoint ‘/open-url’ vulnerável a injeções de comandos do sistema. Com isso, um atacante pode enviar uma solicitação POST maliciosa para o servidor e executar comandos indesejados. Embora a falha já tenha sido corrigida na versão 20.0.0 do pacote, desenvolvedores que utilizam frameworks que não dependem do Metro não são afetados. Essa situação destaca a importância de uma análise de segurança automatizada e abrangente em toda a cadeia de suprimentos de software para evitar que falhas facilmente exploráveis impactem as organizações.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no sistema de IA Claude, da Anthropic, que permite a atacantes explorar prompts indiretos para roubar dados sensíveis dos usuários através da API de Arquivos da plataforma. A falha foi documentada publicamente em 28 de outubro de 2025 e revela como os criminosos podem manipular o interpretador de código e as funcionalidades da API do Claude para extrair informações confidenciais diretamente dos ambientes de trabalho das vítimas.

A Microsoft reconheceu um erro crítico na distribuição de uma atualização do Windows Server Update Services (WSUS) que afetou sistemas do Windows Server 2025 inscritos no programa Hotpatch. Essa atualização foi distribuída acidentalmente para máquinas que deveriam receber apenas atualizações Hotpatch, resultando em uma interrupção significativa no processo de aplicação de patches sem reinicialização do sistema. Embora a Microsoft tenha corrigido rapidamente o erro, as organizações afetadas enfrentarão um intervalo de três meses na funcionalidade do Hotpatch e precisarão seguir procedimentos específicos para restaurar as operações normais. Os sistemas que instalaram a atualização incorreta não receberão atualizações Hotpatch programadas para novembro e dezembro de 2025, mas sim atualizações mensais padrão que exigem reinicializações. Para mitigar o problema, a Microsoft oferece um procedimento para que administradores que ainda não instalaram a atualização problemática possam reverter para a versão correta. A situação destaca a complexidade da gestão de múltiplos canais de atualização em ambientes corporativos grandes e a importância de um gerenciamento cuidadoso de patches.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

O agente de cibersegurança da Google, Big Sleep, foi responsável por identificar cinco vulnerabilidades no WebKit, componente utilizado no navegador Safari da Apple. As falhas, se exploradas, poderiam causar travamentos ou corrupção de memória. As vulnerabilidades identificadas incluem: CVE-2025-43429, uma vulnerabilidade de buffer overflow; CVE-2025-43430, uma falha não especificada que pode levar a um travamento inesperado; CVE-2025-43431 e CVE-2025-43433, que podem resultar em corrupção de memória; e CVE-2025-43434, uma vulnerabilidade de uso após liberação que também pode causar travamentos. A Apple lançou patches para corrigir essas falhas em suas atualizações de software, incluindo iOS 26.1 e macOS Tahoe 26.1. Embora nenhuma das vulnerabilidades tenha sido explorada ativamente até o momento, é recomendável que os usuários mantenham seus dispositivos atualizados para garantir a proteção adequada.

Uma nova campanha de phishing tem como alvo executivos do setor financeiro no LinkedIn, conforme identificado pela Push Security. Os cibercriminosos enviam mensagens diretas com convites falsos para reuniões de diretoria, utilizando a isca de uma oportunidade de trabalho promissora. Ao clicar no link contido na mensagem, a vítima é redirecionada por várias páginas até chegar a um site falso que simula uma plataforma de compartilhamento de dados do LinkedIn. Esse site apresenta documentos falsos e, ao tentar acessá-los, a vítima é levada a uma página que exige autenticação na Microsoft, onde uma técnica chamada Adversary-in-the-Middle (AITM) é utilizada para roubar credenciais de login e cookies do navegador.

Uma nova proposta do Gabinete de Segurança Institucional (GSI) sugere que a Agência Nacional de Telecomunicações (Anatel) assuma a responsabilidade pela cibersegurança no Brasil. Essa iniciativa surge em meio à crescente preocupação com a segurança digital no país, especialmente após a aprovação da Política Nacional de Cibersegurança em 2023. O GSI, em colaboração com a Anatel e o Ministério da Gestão, está revisando um anteprojeto que, após aprovação pela Casa Civil, será enviado ao Parlamento como um Projeto de Lei. O ministro-chefe do GSI, Marcos Antonio Amaro dos Santos, destacou a necessidade de um marco legal mais robusto para a cibersegurança, e a Anatel, já estabelecida e com ampla capilaridade, é vista como uma solução viável. A proposta original de criar uma nova agência, a Agência Nacional de Cibersegurança (ANCiber), foi descartada devido a restrições orçamentárias. A Anatel demonstrou interesse em assumir essa nova missão, o que fortalece a proposta nos bastidores. Essa mudança pode impactar significativamente a forma como a cibersegurança é gerida no Brasil, refletindo a urgência em enfrentar as ameaças digitais atuais.

No Fórum Latinoamericano de Cibersegurança da ESET, a pesquisadora Martina López destacou o uso crescente de deepfakes em campanhas de desinformação médica. A tecnologia, que simula rostos e vozes de forma convincente, tem sido utilizada para criar perfis falsos de médicos, alterando suas credenciais e especializações. Essas campanhas se espalham principalmente em redes sociais menos moderadas, como TikTok e Facebook, e em grupos de aplicativos de mensagens como Telegram e Discord, visando manipular principalmente leigos e pessoas com menor nível educacional. Para combater essa desinformação, iniciativas como o Ato de Inteligência Artificial da União Europeia buscam implementar marca d’água em conteúdos gerados por IA. A especialista recomenda que os usuários verifiquem a fonte das informações e utilizem ferramentas de busca reversa para identificar conteúdos falsos. A crescente sofisticação dos deepfakes exige uma vigilância redobrada, pois a tecnologia pode impactar a percepção pública e a saúde coletiva.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

Uma grave vulnerabilidade de segurança, identificada como Brash, foi descoberta no mecanismo de renderização Blink, utilizado por navegadores baseados no Chromium, como Google Chrome e Microsoft Edge. Essa falha permite que um cibercriminoso provoque travamentos em qualquer navegador Chromium em um intervalo de 15 a 60 segundos, explorando a falta de limitação de taxa na API document.title do JavaScript. Com isso, é possível gerar milhões de mutações no DOM por segundo, saturando o sistema e levando ao colapso do navegador. A gravidade da situação é acentuada pelo fato de que o Google Chrome possui cerca de três bilhões de usuários ativos globalmente. O pesquisador Jose Pino, que descobriu a falha, alertou que ela pode ser programada para ser ativada em um momento específico, aumentando ainda mais o risco. O Google e outras empresas de navegadores já foram notificados e estão trabalhando em soluções. Durante os testes, navegadores como Mozilla Firefox e Safari não foram afetados pela vulnerabilidade.

A Polícia Federal (PF) deu início à segunda fase da operação Magna Fraus, que investiga um esquema criminoso responsável pelo desvio de aproximadamente R$ 813 milhões em transações realizadas via Pix. A operação, que conta com o apoio do Cyber GAECO do Ministério Público de São Paulo, está cumprindo 42 mandados de busca e apreensão e 26 mandados de prisão em diversas cidades do Brasil, incluindo Goiânia, Brasília e São Paulo. Além disso, a PF bloqueou bens e valores do grupo investigado que somam até R$ 640 milhões. A investigação se estende além das fronteiras brasileiras, com a colaboração de autoridades internacionais, incluindo a Interpol e polícias de Espanha, Argentina e Portugal. A primeira fase da operação, realizada em janeiro, focou na lavagem de dinheiro proveniente de invasões de dispositivos. Agora, a PF apura crimes como organização criminosa, invasão de dispositivo informático e furto mediante fraude eletrônica. Este caso destaca a vulnerabilidade das transações digitais e a necessidade de medidas de segurança mais robustas para proteger os usuários e instituições financeiras.

Pesquisadores de segurança da Arctic Wolf Labs alertaram sobre um ataque cibernético direcionado a diplomatas europeus, realizado por um grupo de hackers conhecido como Mustang Panda, vinculado ao governo chinês. O ataque utiliza uma vulnerabilidade zero-day no Windows, identificada como CVE-2025-9491, que permite a exploração de arquivos .LNK maliciosos. Esses arquivos foram enviados em e-mails de phishing, disfarçados como convites para eventos diplomáticos, como workshops de defesa da OTAN. Ao serem abertos, os arquivos executam um Trojan de Acesso Remoto (RAT) chamado PlugX, que concede acesso persistente ao sistema comprometido, permitindo a espionagem e a exfiltração de dados. A vulnerabilidade, que é considerada de alta severidade, foi associada a campanhas de espionagem que datam de 2017. A exploração requer interação do usuário, o que a torna menos crítica, mas ainda assim representa um risco significativo para a segurança de informações sensíveis. O ataque destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados diplomáticos e governamentais.

O uso de VPNs gratuitas tem se tornado comum entre usuários que buscam privacidade online, mas essas ferramentas podem apresentar riscos significativos à segurança. Muitas VPNs gratuitas monetizam seus serviços coletando e vendendo dados dos usuários, o que contraria o propósito de proteção da privacidade. Além disso, algumas dessas VPNs podem conter malware ou falhas de segurança que expõem os dados pessoais dos usuários. É essencial que os usuários compreendam que, embora a ideia de uma VPN gratuita seja atraente, a falta de transparência e a possibilidade de exploração de dados podem resultar em consequências graves. Para garantir uma navegação segura, é recomendável optar por serviços de VPN pagos e confiáveis, que oferecem criptografia robusta e políticas claras de privacidade. A escolha de uma VPN deve ser feita com cautela, considerando a reputação do provedor e as práticas de segurança adotadas.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no UniFi OS da Ubiquiti, afetando a infraestrutura da API de backup em dispositivos UniFi. Identificada como CVE-2025-52665, a falha resulta de uma validação inadequada de entrada no endpoint de exportação de backup, permitindo que atacantes executem comandos arbitrários com privilégios elevados. A vulnerabilidade foi identificada durante uma avaliação de segurança rotineira e está relacionada a múltiplas APIs não autenticadas no ecossistema do UniFi OS. O endpoint vulnerável aceita um parâmetro de diretório sem a devida sanitização, possibilitando a injeção de comandos maliciosos. Além disso, a configuração incorreta expôs o endpoint a acessos não autenticados, permitindo que atacantes realizem operações sensíveis. Organizações que utilizam o UniFi OS devem priorizar a aplicação de patches e revisar os controles de acesso à rede para restringir a exposição dos endpoints da API. A gravidade da vulnerabilidade é evidenciada pelo CVSS Score de 9.8, classificada como crítica, e a recompensa de $25.000 oferecida pela descoberta.

O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.

A AMD revelou uma vulnerabilidade crítica em seus processadores Zen 5, identificada como CVE-2025-62626, que compromete a integridade da geração de números aleatórios. A falha afeta a instrução RDSEED, essencial para a geração de números aleatórios criptográficos, e pode resultar na devolução de valores zero enquanto sinaliza erroneamente sucesso. Isso pode levar a operações criptográficas comprometidas, pois aplicações podem utilizar valores previsíveis, tornando-as vulneráveis a ataques de predição. A vulnerabilidade impacta as implementações de 16 e 32 bits da instrução, enquanto a versão de 64 bits permanece segura. A AMD recomenda que as organizações adotem medidas imediatas, como a utilização da versão de 64 bits ou a ocultação da capacidade RDSEED até que patches de microcódigo sejam disponibilizados. Atualizações estão programadas para os processadores EPYC 9005 e Ryzen 9000 até novembro de 2025. A descoberta inicial da vulnerabilidade no mailing list do kernel Linux ressalta a importância da divulgação coordenada de falhas na comunidade de segurança.

Um incidente significativo de segurança na nuvem foi identificado, revelando táticas avançadas de atores maliciosos que visam comprometer ambientes da AWS por meio de credenciais roubadas. Pesquisadores de segurança descobriram a campanha TruffleNet, que utiliza a ferramenta de código aberto TruffleHog para testar chaves de acesso comprometidas e realizar reconhecimento automatizado. A operação destaca o uso em larga escala do Amazon Simple Email Service (SES) para facilitar campanhas de Business Email Compromise (BEC), afetando mais de 800 hosts únicos em 57 redes Class C. Os atacantes validam credenciais através da API GetCallerIdentity da AWS e, após a confirmação, exploram o SES para criar novas identidades de envio de e-mails, permitindo a execução de fraudes. A análise revelou que os IPs de origem da TruffleNet careciam de sinalizações de reputação, indicando uma infraestrutura sob medida. Para mitigar essas ameaças, as organizações devem implementar políticas de IAM de menor privilégio e monitorar atividades anômalas no SES.

Pesquisadores de cibersegurança identificaram dois novos trojans para Android, BankBot-YNRK e DeliveryRAT, que têm a capacidade de coletar dados sensíveis de dispositivos comprometidos. O BankBot-YNRK, por exemplo, evita a detecção ao verificar se está sendo executado em um ambiente virtualizado e coleta informações sobre o dispositivo, como fabricante e modelo. Ele se disfarça como um aplicativo governamental indonésio, ‘Identitas Kependudukan Digital’, e, uma vez instalado, silencia notificações para não alertar a vítima sobre atividades suspeitas. O malware é projetado para operar em dispositivos Android 13 e anteriores, já que a versão 14 introduziu novas proteções contra o uso indevido de serviços de acessibilidade. Por outro lado, o DeliveryRAT, que tem sido distribuído sob a forma de serviços de entrega, coleta dados de SMS e registros de chamadas, além de ocultar seu ícone para dificultar a remoção. Ambos os trojans representam uma ameaça significativa, especialmente para usuários de dispositivos Android no Brasil, onde a segurança de dados financeiros é uma preocupação crescente.

Os Centros de Operações de Segurança (SOC) estão sobrecarregados, com analistas lidando com milhares de alertas diariamente, muitos dos quais são falsos positivos. A falta de contexto ambiental e inteligência de ameaças relevantes dificulta a verificação rápida dos alertas realmente maliciosos. Embora as ferramentas tradicionais sejam precisas, elas falham em fornecer uma visão abrangente, permitindo que atacantes sofisticados explorem vulnerabilidades invisíveis. Para mitigar essa situação, as plataformas de gerenciamento de exposição podem transformar as operações dos SOCs, integrando inteligência de exposição diretamente nos fluxos de trabalho dos analistas. Isso melhora a visibilidade da superfície de ataque e permite uma priorização mais eficaz dos ativos críticos. A gestão contínua de exposições fornece contexto em tempo real sobre sistemas e vulnerabilidades, tornando a triagem de alertas mais eficiente. Além disso, a integração com ferramentas como EDRs e SIEMs permite que os analistas correlacionem exposições descobertas com técnicas específicas de ataque, criando uma inteligência acionável. Essa abordagem não apenas melhora a resposta a incidentes, mas também promove uma redução sistemática das exposições, contribuindo para um ambiente de segurança mais robusto.

Os ciberataques estão se tornando cada vez mais inteligentes e difíceis de prevenir. Recentemente, hackers utilizaram ferramentas discretas e exploraram falhas de segurança recém-descobertas, atacando sistemas confiáveis e aproveitando-se de vulnerabilidades em questão de horas. As ameaças incluem espionagem, fraudes em empregos, ransomware avançado e phishing complexo, colocando até mesmo backups criptografados em risco. Um dos principais incidentes desta semana foi a exploração de uma falha crítica no Motex Lanscope Endpoint Manager, atribuída a um ator de espionagem cibernética suspeito da China, que implantou uma backdoor chamada Gokcpdoor em redes-alvo. Além disso, ataques de hackers russos à Ucrânia destacaram o uso de ferramentas administrativas comuns para roubo de dados, enquanto um novo malware bancário para Android, chamado Herodotus, imita o comportamento humano para evitar detecções. O ransomware Qilin também se destacou por utilizar o Windows Subsystem for Linux para lançar ataques em sistemas Windows, aumentando sua eficácia. A rápida exploração de vulnerabilidades, como as listadas na lista de CVEs críticos da semana, ressalta a necessidade urgente de ações corretivas por parte das organizações.

Um novo conjunto de ataques cibernéticos tem como alvo empresas de transporte e logística, com o objetivo de instalar softwares de monitoramento remoto (RMM) para roubo de cargas. De acordo com a Proofpoint, esses ataques estão em andamento desde junho de 2025 e envolvem a colaboração com grupos de crime organizado. Os produtos mais visados incluem alimentos e bebidas, que são frequentemente vendidos online ou enviados para o exterior. Os atacantes utilizam técnicas como phishing direcionado e comprometimento de contas de e-mail para infiltrar-se nas empresas. Uma vez dentro, eles podem manipular sistemas, deletar reservas e coordenar o transporte de cargas sob nomes de transportadoras comprometidas. O uso de softwares RMM é vantajoso para os atacantes, pois permite que eles operem de forma discreta, já que essas ferramentas são comuns em ambientes corporativos e frequentemente não são sinalizadas como maliciosas. A situação representa um risco significativo para a segurança da cadeia de suprimentos, especialmente em um setor tão crítico quanto o de transporte e logística.

A empresa de tecnologia focada em privacidade, Proton, alertou sobre uma grave crise de vazamento de dados, revelando que centenas de milhões de credenciais de login roubadas estão circulando ativamente em mercados da dark web. Através de sua iniciativa de Vigilância da Dark Web, a Proton monitora fóruns cibernéticos para identificar e relatar vazamentos de dados em tempo real, ajudando empresas a se protegerem antes que incidentes de segurança se tornem públicos. O estudo da Proton destaca que quatro em cada cinco pequenas empresas sofreram vazamentos recentes, com custos que podem ultrapassar um milhão de dólares por incidente. Dados expostos incluem informações pessoais sensíveis, como nomes, endereços, números de telefone e senhas, além de dados críticos como números de segurança social e informações bancárias. Entre as empresas afetadas estão a companhia aérea australiana Qantas, a seguradora Allianz Life da Alemanha e a empresa de tecnologia Tracelo dos EUA, com milhões de registros comprometidos. Especialistas recomendam que as empresas implementem sistemas robustos de gerenciamento de senhas e autenticação multifatorial como primeira linha de defesa contra ataques baseados em credenciais.

A OpenAI apresentou o Aardvark, um agente de segurança baseado em inteligência artificial que utiliza a tecnologia GPT-5 para detectar e corrigir vulnerabilidades em softwares de forma autônoma. Este novo recurso, atualmente em beta privada, visa oferecer proteção contínua às equipes de desenvolvimento contra ameaças emergentes. O Aardvark opera em quatro etapas principais: análise, varredura de commits, validação e correção. Ele cria um modelo de ameaça abrangente e analisa mudanças no código para identificar potenciais vulnerabilidades, testando-as em um ambiente isolado antes de gerar correções. Em testes, o Aardvark alcançou uma taxa de detecção de 92% para vulnerabilidades conhecidas, demonstrando eficácia em cenários reais. A OpenAI também aplicou o Aardvark em projetos de código aberto, onde descobriu várias vulnerabilidades, algumas das quais receberam identificadores CVE. A empresa planeja oferecer varredura gratuita para repositórios de código aberto não comerciais, contribuindo para a segurança da cadeia de suprimentos de software. Apesar de suas capacidades, o Aardvark apresenta riscos, como a possibilidade de falsos positivos e a dependência da análise de linguagem natural, o que pode exigir a combinação com ferramentas tradicionais de segurança.

Um pesquisador de segurança lançou uma ferramenta de evasão aprimorada chamada EDR-Redir V2, que explora a tecnologia de links de vinculação do Windows para contornar soluções de Detecção e Resposta de Endpoint (EDR) no Windows 11. Esta nova versão adota uma abordagem diferente de seu antecessor, visando diretórios pai em vez de atacar diretamente as pastas do software de segurança. A técnica se baseia na manipulação inteligente das estruturas de pastas do Windows, que os softwares de segurança dependem. Ao instalar, esses softwares colocam seus arquivos em locais padrão, como Program Files e ProgramData, e não conseguem impedir modificações em diretórios pai sem comprometer outras instalações legítimas. O EDR-Redir V2 cria links de vinculação que redirecionam pastas inteiras, fazendo com que o software de segurança acredite que a pasta controlada pelo atacante é seu diretório pai legítimo. Isso permite que os atacantes realizem o sequestro de DLLs, colocando arquivos executáveis maliciosos na localização redirecionada, potencialmente obtendo privilégios de execução de código sem serem detectados. A ferramenta está disponível publicamente no GitHub, o que a torna acessível tanto para pesquisadores de segurança quanto para potenciais agentes de ameaça. As organizações que utilizam soluções EDR no Windows devem avaliar suas defesas contra essa técnica e implementar controles de monitoramento adequados.

Um evento falso de keynote da Nvidia, utilizando uma versão deepfake do CEO Jensen Huang, atraiu quase 100 mil espectadores no YouTube, que acreditavam que se tratava de uma transmissão oficial. O evento fraudulento, transmitido por um canal chamado Offxbeatz sob o título ‘Nvidia Live’, promovia um suposto ’evento de adoção em massa de criptomoedas’ e convidava os espectadores a escanear um QR code para participar de um esquema de distribuição de criptomoedas. Enquanto isso, a transmissão legítima da Nvidia contava com apenas 12 mil espectadores no mesmo momento. Apesar de alguns sinais de que a apresentação era falsa, como padrões de fala estranhos e alegações exageradas sobre criptomoedas, muitos usuários foram enganados. O YouTube removeu a transmissão após a descoberta, mas o incidente destaca como a manipulação digital pode se espalhar rapidamente e como as plataformas precisam melhorar seus métodos de verificação de identidade. A situação também serve como um alerta para os usuários, que devem ser mais céticos ao participar de eventos online, especialmente aqueles relacionados a transações financeiras. Até o momento, não há evidências de que alguém tenha perdido dinheiro com o golpe.

No último Fórum Latinoamericano de Segurança da ESET, realizado no Uruguai, especialistas discutiram as tendências em cibersegurança até 2026, destacando o uso crescente da inteligência artificial (IA) em crimes virtuais. Pesquisadores como Martina López e Mario Micucci alertaram para o aumento do uso de IA agêntica, que permite a execução de ataques cibernéticos com mínima intervenção humana, especialmente em phishing e spear-phishing. Além disso, a evolução dos ransomwares, incluindo o modelo ransomware-as-a-service (RaaS), foi enfatizada, com a introdução de ransomwares desenvolvidos com IA, como o LunaLock. A regulamentação da IA também foi um ponto central, com a necessidade de legislações que garantam transparência e proteção contra abusos, como deepfakes. O Ato de Inteligência Artificial da União Europeia foi citado como um exemplo positivo, exigindo que empresas informem sobre o uso de IA. O artigo conclui que a cibersegurança enfrentará desafios significativos, com a necessidade de auditorias eficazes e regulamentações que protejam a integridade dos dispositivos tecnológicos.