Ciberataques à cadeia de suprimentos dobram no último ano e geram prejuízo global de US$ 53,2 bilhões
Relatório da Cipher mostra que 22,5% das violações de segurança em 2025 envolveram fornecedores ou terceiros; ataques cresceram 61% no setor manufatureiro, um dos mais impactados ao lado de tecnologia e varejo. (Foto: ShutterStock)

Os ataques cibernéticos direcionados à cadeia de suprimentos digital dobraram em 2025 em relação ao ano anterior e já geram um custo global estimado em US$ 53,2 bilhões por ano, com impacto médio de 4,33 milhões de euros por incidente. Os dados fazem parte do relatório “Ataques à cadeia de suprimentos: análise 2025 e tendências 2026”, publicado pela Cipher, divisão de cibersegurança do Grupo Prosegur, com análise de sua unidade de inteligência x63 Unit.

A análise, que integra dados de fontes de referência como: IBM, Verizon DBIR, Sophos, KELA e Sonatype, mostra que 22,5% de todas as violações de segurança registradas em 2025 envolveram terceiros ou fornecedores, o dobro do observado no ano anterior. A tendência reflete uma mudança nas estratégias dos cibercriminosos, que cada vez mais exploram vulnerabilidades em parceiros tecnológicos, softwares de terceiros, serviços em nuvem e integrações SaaS para alcançar grandes organizações de forma indireta.

Segundo Catarina Viegas, CEO Latam da Cipher, esse movimento está diretamente relacionado ao aumento da complexidade dos ecossistemas digitais das empresas. “Hoje, organizações dependem de uma rede extensa de fornecedores, plataformas e serviços conectados. Isso amplia a superfície de ataque e cria oportunidades para que criminosos explorem vulnerabilidades em parceiros para alcançar empresas maiores e com mais dados sensíveis”, explica.

No Brasil, o cenário também reforça o avanço das ameaças digitais. Somente no primeiro semestre de 2025, o país concentrou 315 bilhões de tentativas de ataques cibernéticos — o equivalente a 84% de todo o volume registrado na América Latina, segundo dados apresentados durante o Fortinet Cybersecurity Summit Brasil.

Segundo a executiva, no Brasil cresce a consciência de que a proteção digital deve abranger não apenas o ambiente interno das empresas, mas também parceiros e fornecedores. Esse movimento se reflete no aumento dos investimentos: projeta-se que o país destine cerca de R$ 104,6 bilhões à cibersegurança entre 2025 e 2028, segundo a Brasscom (Associação das Empresas de Tecnologia da Informação e Comunicação e de Tecnologias Digitais), consolidando-a como uma prioridade estratégica.

Ao longo de 2025, com uma atividade especialmente elevada de ransomware, que se traduziu em 4.701 incidentes registrados em nível global entre janeiro e setembro. A essa pressão soma-se o uso crescente do ecossistema de código aberto como vetor de ataque, com 877.522 pacotes maliciosos detectados em repositórios open source, uma tendência que reflete o interesse dos atores maliciosos em explorar dependências amplamente utilizadas pelas organizações.

Este contexto teve um impacto especialmente significativo no setor manufatureiro, onde os ataques cresceram 61% interanual, situando-o entre os setores mais afetados juntamente com tecnologia, varejo e outros setores críticos altamente interconectados.

O relatório sublinha, ainda, que as organizações demoram em média 254 dias para detectar e conter uma violação originada na cadeia de suprimentos, o que amplifica seu impacto operacional, econômico e reputacional. Em escala global, o custo agregado desse tipo de ataque é estimado em mais de 53,2 bilhões de dólares anuais.

Segundo explica David Manzanero Iglesias, responsável pela x63 Unit da Cipher, a cadeia de suprimentos digital se tornou o novo perímetro de ataque. Os adversários já não precisam violar diretamente uma grande companhia, basta-lhes comprometer um de seus fornecedores tecnológicos para escalar o impacto de forma silenciosa e massiva”.

Casos recentes em grandes cadeias de distribuição e fabricantes industriais evidenciam que estes incidentes podem provocar interrupções operacionais, paralisações de produção e perdas milionárias em receita e valor de mercado.

Para 2026, a Cipher antecipa uma intensificação dos ataques à cadeia de suprimentos vinculada à inteligência artificial, identidades digitais e serviços gerenciados, bem como uma evolução do ransomware para modelos de tripla extorsão. Neste contexto, o relatório recomenda reforçar a gestão do risco de terceiros, auditar integrações críticas, adotar arquiteturas Zero Trust e reduzir drasticamente os tempos de detecção por meio de sistemas avançados de detecção e resposta gerenciada.

O relatório completo pode ser baixado gratuitamente neste link.