Em três anos, registros de invasões aos sistemas do governo aumentaram quase 190%

De janeiro a agosto de 2025, os sistemas do governo federal foram atacados pelo menos 7.300 vezes. Desse total, quase 5.000 ocorrências foram de vazamento de dados, quando informações são expostas indevidamente na internet.

Os números são do CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo), gerenciado pelo GSI (Gabinete de Segurança Institucional).

Em três anos, as invasões aumentaram quase 190%. Em 2022, foram registrados 3.402 incidentes, e em 2023, 4.908. No ano passado, o número quase dobrou, indo para 9.806. O GSI não disponibiliza informações sobre os órgãos afetados.

Um dos casos de maior repercussão foi o ataque registrado em julho que desviou pelo menos R$ 800 milhões após o uso indevido de credenciais de clientes da C&M Software. A plataforma não é do governo, mas conecta instituições financeiras ao SPB (Sistema de Pagamentos Brasileiro), incluindo o Pix.

Em 2024, também no mês de julho, nove ministérios foram afetados — entre eles, o Ministério da Fazenda, do Planejamento e do Desenvolvimento —, o Coaf (Conselho de Controle de Atividades Financeiras) e a Casa da Moeda.

Segundo o COO da empresa de cibersegurança BugHunt, Bruno Telles, as principais vulnerabilidades estão relacionadas a sistemas legados — tecnologia desatualizada ainda em uso —, falta de atualização constante e carência de políticas integradas de segurança.

“Muitos órgãos públicos ainda operam com estruturas antigas, com baixo investimento em cibersegurança e pouca integração entre áreas de TI. Além disso, há fragilidades na gestão de acessos e na proteção de dados sensíveis, o que abre brechas para ataques direcionados e exploração de vulnerabilidades conhecidas”, avalia o especialista.

Em contrapartida, os hackers estão cada vez mais avançados nas práticas criminosas, com novas tecnologias e uso da inteligência artificial.

Características dos ataques

Phishing e exploração de vulnerabilidades em sistemas desatualizados são os ataques mais comuns atualmente.

Esse tipo de ação visa geralmente o vazamento ou roubo de informações e paralisação de sistemas, para obter ganhos financeiros, seja por extorsão direta, venda de dados ou uso político das informações.

Há ainda casos de sabotagem e ataques com motivação ideológica. “A visibilidade que um ataque ao setor público proporciona faz com que ele se torne um alvo atrativo para diferentes perfis de cibercriminosos”, diz Telles.

Além disso, os ataques constantes fragilizam a confiança da população no Estado e nas suas estruturas. Na opinião do especialista, essa perda é um dos danos mais difíceis de reparar.

“Quando um cidadão vê seus dados expostos ou um serviço essencial fora do ar, ele passa a duvidar da capacidade do governo de protegê-lo”, comenta.

Outros prejuízos são a interrupção temporária de serviços essenciais, vazamento de dados pessoais de cidadãos e perdas financeiras.

“Além dos custos diretos com mitigação, investigação e restauração dos sistemas, também pode haver impactos indiretos em políticas públicas, como atrasos em programas sociais e paralisação de serviços”, pontua.

Para a invasão, os criminosos exploram desde falhas técnicas, como servidores expostos e sistemas sem patch (correção) de segurança, até falhas humanas, como o uso de senhas fracas e falta de treinamento dos servidores/colaboradores.

“Em muitos casos, a segurança ainda é tratada como um custo e não como um investimento estratégico. O resultado é uma infraestrutura vulnerável e desatualizada que se torna um alvo fácil para ataques cada vez mais automatizados”, sinaliza Telles.

Medidas necessárias

O decreto 11.856 de 2023 instituiu a Política Nacional de Cibersegurança, determinando que no Plano Nacional de Cibersegurança sejam detalhadas suas ações e seus prazos. Estas ações, por exemplo, já estão em andamento.

O diretor de operações da Apura Cyber Intelligence, Nilson de Oliveira, ressalta que a administração pública tem buscado medidas para aumentar a segurança, mas os desafios são muitos.

“As dificuldades normalmente são provenientes da carência de recursos, sejam eles materiais, tecnológicos, de pessoal ou outros”, analisa.

Para ele, os controles dos riscos de exposição dos sistemas é uma tarefa árdua e constante, que requer investimentos adequados em curto, médio e longo prazo.

“Nenhum sistema conectado à internet está totalmente imune a tentativas executadas manualmente ou de forma automatizada. Não é possível dizer que são falhas de governança ou investimento, apenas, que contribuem para a exposição, e sim, muitas vezes, as próprias características dos sistemas”, completa Nilson de Oliveira.

No que tange à legislação para punir crimes cibernéticos, o Brasil tem avançado, atualizando as leis e tipificando como crime condutas como:

- Invasão de dispositivo informático (Lei 12.737/2012, apelidada de Carolina Dieckmann);

- Fraude eletrônica e furto mediante fraude (Lei 14.155/2021); e

- Interrupção ou perturbação de serviço informático/telemático (art. 266 do Código Penal de 2022).

Fonte: R7 Notícias.