A segurança da informação deixou de ser um repto restrito aos ambientes internos das empresas e passou a abranger toda a rede de fornecedores, parceiros e prestadores de serviço. Dados do relatório IBM X-Force Threat Intelligence indicam que 62% dos incidentes de segurança registrados em 2025 tiveram conexão direta com terceiros. Ao mesmo tempo, a superfície de ataque associada à calabouço de suprimentos quadruplicou na última dezena, conforme aponta o ENISA Supply Chain Threat Landscape 2025.
Esse cenário, portanto, evidencia uma mudança estrutural no padrão de risco cibernético corporativo. Para Jardel Torres, Sócio e Diretor Mercantil (CCO) da OSTEC, empresa especializada em cibersegurança, a abordagem tradicional já não é suficiente. “Se antes bastava proteger as muralhas da própria vivenda, hoje o risco está distribuído por toda a rede de parceiros. A calabouço de suprimentos se tornou a novidade superfície de ataque, e muitas empresas ainda não perceberam isso”, afirma.
Casos globais e o efeito cascata na calabouço de suprimentos
Ataques emblemáticos dos últimos anos ajudaram a solidificar essa percepção. O caso SolarWinds, em 2020, demonstrou porquê um ataque à calabouço de desenvolvimento de software pode comprometer atualizações legítimas, afetando milhares de organizações em todo o mundo. Na sequência, incidentes envolvendo Kaseya e MOVEit evidenciaram o efeito cascata gerado por vulnerabilidades em Managed Service Providers (MSPs) e ferramentas de transferência de arquivos, com roubo de dados em larga graduação e paralisação de operações críticas.
Mais recentemente, episódios porquê o comprometimento do CodeIntegrity SDK, amplamente utilizado por aplicativos de fintechs, a exploração de vulnerabilidade sátira no ConnectWise ScreenConnect e o ataque à fornecedora Cloud-Ops-Pro reforçaram que o problema é estrutural e recorrente. Nessas situações, bibliotecas, ferramentas e fornecedores tornaram-se vetores para ataques de ransomware e exfiltração de dados em ambientes AWS e Azure.
Segundo Cassio Brodbeck, CEO do Grupo OSTEC, a tendência é de ininterrupção e maior sofisticação. “Esses incidentes mostram que o atacante não precisa mais combater diretamente a empresa-alvo. Ele explora o gavinha mais frágil da calabouço e graduação o ataque. É um padrão que veio para permanecer”, explica.
No Brasil e na América Latina, o impacto também é relevante. Casos de fraudes associadas ao PIX e o ataque a um grande hospital em São Paulo resultaram em cancelamento de consultas, cirurgias e comprometimento de serviços essenciais. Outrossim, um incidente no varejo latino-americano expôs dados de clientes por meses devido a uma API mal configurada em um integrador de pagamentos. “A proximidade cultural e o padrão de negócios fundamentado em crédito acabam mascarando riscos reais”, alerta Jardel Torres.
Para empresas que desejam agir rapidamente, o executivo sugere um projecto inicial simples e prático:
– Listar os 10 fornecedores mais críticos e mapear exatamente quais sistemas e dados eles acessam;
– Revisar os contratos desses fornecedores, com foco em cláusulas de segurança e resposta a incidentes;
– Revisar acessos de terceiros, ativando MFA, logs, controle de horários e privilégios;
– Discutir internamente: “O que acontece se um fornecedor for atacado?” — e quais impactos isso teria no negócio.
De harmonia com a OSTEC, a maioria dos incidentes segue ligada a falhas nos pilares de pessoas, processos e tecnologia, incluindo pouquidade de cultura de segurança, auditorias superficiais, contratos frágeis e conexões remotas inseguras. Diante disso, os especialistas recomendam estratégias integradas de governança, due diligence, adoção de Zero Trust, gestão de acessos privilegiados (PAM) e monitoramento contínuo da superfície de ataque externa.
No cenário atual, a calabouço de suprimentos deixou de ser um gavinha invisível e passou a ocupar posição médio entre os principais vetores de risco cibernético corporativo.
