Ranking aponta que falhas de comportamento e higiene digital continuam sendo exploradas por criminosos, elevando o risco operacional para empresas em 2026
Ameaças digitais – Um estudo da ESET, construído a partir de dados de telemetria de 2025, revela que trojans bancários e campanhas de phishing foram as ameaças mais identificadas no Brasil. O levantamento evidencia a força de famílias de malware e técnicas que exploram engenharia social e práticas digitais frágeis, servindo de alerta para líderes de TI e Segurança que iniciam 2026 pressionados por continuidade operacional e redução de prejuízos.
Ao longo de 2025, o cenário brasileiro de cibercrime não apresentou exatamente uma surpresa, mas sim a confirmação estatística de uma realidade já conhecida por equipes de SOC e prevenção a fraudes.
LEIA: China cria máquina que gera 1.900 vezes a gravidade da Terra para simular desastres
Trojans bancários continuaram dominando as detecções, enquanto o phishing permaneceu como o método mais eficiente de acesso inicial, justamente por depender menos de vulnerabilidades técnicas e mais do comportamento humano. Quando a engenharia social funciona, o atacante ganha tração para avançar rapidamente.
O ranking divulgado pela ESET reúne as cinco ameaças mais detectadas no país durante o ano. Para executivos, o recorte é relevante por dois aspectos centrais: ele expõe onde usuários e colaboradores seguem mais suscetíveis e reforça que o primeiro estágio do ataque — a isca, o clique, o download e a instalação — continua sendo o ponto de menor custo para o criminoso e de maior impacto para a empresa quando falha.
O top 5 de detecções no Brasil em 2025
O levantamento apresenta as ameaças e sua participação relativa no total de detecções ao longo do período:
1. Trojans bancários (Bankers): 11,47%
2. Phishing.Agent: 7,49%
3. Downloader Rugmi: 6,48%
4. Guildma: 5,8%
5. Kryptik: 5,08%
A análise do ranking aponta dois eixos principais. De um lado, ameaças claramente voltadas ao roubo financeiro, como os bankers e o Guildma. De outro, malwares associados à cadeia de infecção, como downloaders e trojans usados para entregar cargas adicionais.
Mesmo quando o objetivo final não é diretamente financeiro, o caminho costuma passar por campanhas que simulam golpes monetários, com mensagens persuasivas, senso de urgência e ações rápidas exigidas da vítima.
Trojans bancários: por que seguem no topo
Os trojans bancários lideram as detecções porque exploram um ecossistema digital extremamente movimentado. A ampla adoção de bancos digitais, carteiras eletrônicas, corretoras e meios de pagamento instantâneo cria um ambiente com alto volume de transações e oportunidades constantes para o crime.
Além disso, há um fator de repetição: técnicas que funcionam uma vez tendem a funcionar em escala, com ajustes mínimos. Outro ponto-chave é a capacidade de adaptação. Mesmo sem vínculo com um único grupo, essas ameaças são reaproveitadas, modificadas e redistribuídas rapidamente. Isso dificulta a aprendizagem do usuário e acelera o ciclo de infecção.
Para empresas, o risco vai além do erro individual: fraudes podem atingir áreas financeiras, acessos remotos podem comprometer endpoints corporativos e credenciais roubadas podem ser reutilizadas em outros sistemas internos.
Phishing.Agent: o primeiro passo do ataque
O phishing aparece como a segunda maior ameaça porque segue sendo a forma mais barata e eficiente de iniciar um ataque. Em 2025, o cenário se agravou com iscas cada vez mais convincentes e personalizadas, impulsionadas por automação e, em muitos casos, por conteúdo gerado com apoio de IA.
O resultado foi a proliferação de mensagens aparentemente legítimas, distribuídas por diferentes canais e focadas em temas que pressionam decisões rápidas, como cobranças, bloqueios de conta e supostos benefícios temporários.
Para líderes de TI e Segurança, o ponto crítico é entender que phishing não se limita ao e-mail. Ele se espalha por SMS, aplicativos de mensagens e até ligações telefônicas. Em ambientes corporativos, isso exige uma estratégia contínua, que combine controles técnicos — como filtros, autenticação forte e bloqueios — com programas frequentes de conscientização.
Downloader Rugmi: preparando o ambiente para o ataque
O Rugmi ilustra uma fase frequentemente subestimada pelas organizações: a preparação do sistema para a carga final. Como downloader, ele avalia o ambiente, identifica brechas e verifica a presença de mecanismos de defesa. Quando encontra condições favoráveis, viabiliza a instalação do malware principal.
Esse tipo de ameaça está diretamente ligado ao nível de maturidade em endpoints e à gestão de vulnerabilidades. Se um downloader consegue executar, analisar e persistir no ambiente, o problema já não é apenas o clique inicial, mas o conjunto de permissões e falhas que a organização permite após esse ponto.
Guildma: o banker com foco no mercado brasileiro
O Guildma se destaca como um exemplo de especialização regional. Geralmente disfarçado como algo legítimo, ele opera com funcionalidades típicas de trojans bancários, como captura de tela, registro de teclas digitadas e até emulação de mouse e teclado.
No contexto corporativo, o risco é elevado porque o malware vai além da simples coleta de credenciais, buscando acompanhar e interferir na jornada de acesso do usuário.
Quando combinado com phishing, o Guildma se encaixa como o segundo estágio ideal do ataque: o usuário fornece o acesso inicial e, sem perceber, entrega também contexto e controle.
Kryptik: evasão e distribuição de outras ameaças
Encerrando o ranking, o Kryptik surge como uma ameaça voltada à evasão e à entrega de outros malwares. Com perfil semelhante ao do Rugmi, ele prioriza driblar defesas e manter persistência no ambiente.
Para as empresas, o alerta é claro: muitas infecções não representam o fim do ataque, mas apenas o começo. A intrusão inicial pode servir para instalar módulos adicionais, roubar informações, escalar privilégios ou preparar o terreno para ransomware.
O que muda para empresas em 2026: encurtar o “tempo de clique”
Os dados de 2025 indicam uma direção objetiva para 2026: o sucesso de um ataque ainda é definido nos estágios iniciais. Em termos práticos, as organizações precisam reduzir o chamado “tempo de clique”, o intervalo entre a chegada da isca e a detecção e contenção do incidente. Quanto maior esse tempo, maior a capacidade de expansão do criminoso dentro do ambiente.
Há um ponto que merece atenção especial de conselhos e diretorias. Pesquisas setoriais já mostraram que uma parcela significativa das empresas brasileiras enfrentou incidentes recentes, com impactos que extrapolam perdas financeiras, incluindo litígios, rompimento de contratos e paralisações operacionais. O tema, portanto, é de risco operacional, não apenas de TI.
No curto prazo, a diferença entre organizações que apenas reagiram e aquelas que evitaram incidentes costuma estar na disciplina básica: proteção de endpoints e e-mail, MFA bem configurado, sistemas atualizados, aplicação do princípio do menor privilégio e programas contínuos de conscientização alinhados à linguagem do negócio, com simulações e métricas.
Em 2025, o Brasil assistiu novamente ao mesmo roteiro: a engenharia social abre a porta e o malware entra. Para 2026, a questão central para executivos não é se a tentativa de golpe vai acontecer, mas se a empresa será capaz de reconhecê-la cedo o suficiente para impedir que se transforme em um incidente de grandes proporções.
(Com informações de It Show)
(Foto: Reprodução/Freepik)
