A fragmentação definiu o cenário de ameaças para 2025. Aqui está o que isso significa para 2026

A incerteza tornou-se o ambiente operacional dos negócios. E este ano, a fragmentação está a impulsionar isso.

O cenário de ameaças globais não se simplificou em 2025; ele quebrou. As alianças geopolíticas ficaram tensas. As empresas criminosas fragmentaram-se sob a pressão da aplicação da lei e depois reagruparam-se em operações mais pequenas, mais rápidas e mais difíceis de monitorizar. Os ciberatores patrocinados pelo Estado passaram de perturbações dramáticas para um pré-posicionamento silencioso, incorporando-se em redes e esperando. Grupos hacktivistas e redes de influência amplificaram os conflitos, confundindo a linha entre intrusões genuínas e guerra de percepção.

Mas eis o que torna este momento perigoso: à medida que normas há muito estabelecidas se dissolvem, a fragmentação está paradoxalmente a permitir uma maior interoperabilidade entre domínios que antes eram distintos. Os objectivos do Estado, a capacidade criminosa e a tecnologia do sector privado reforçam-se cada vez mais. Essa convergência cria incerteza, comprime o tempo de alerta e expande a negação plausível.

Hoje, o Insikt Group da Recorded Future lança o Estado de Segurança 2026 relatório, a nossa análise anual mais abrangente das forças que moldam a segurança global.

Baseando-se em inteligência proprietária, telemetria de rede e análise geopolítica profunda, este relatório examina como as fracturas de 2025 estão a remodelar o ambiente de ameaças — e para o que os líderes de segurança devem preparar-se no próximo ano.

O fim da estabilidade como suposição básica

Durante décadas, as organizações construíram modelos de risco em torno de uma premissa central: que a ordem internacional se manteria, os mecanismos diplomáticos restringiriam a escalada e as grandes potências evitariam o confronto direto.

Essa premissa não se aplica mais.

Em 2025, a ordem geopolítica internacional fragmentou-se à medida que a competição pelo poder duro, a diplomacia transaccional e o teste das linhas vermelhas se tornaram características definidoras do comportamento do Estado. A guerra Rússia-Ucrânia entrou no seu quarto ano, com Moscovo mantendo uma vantagem estratégica apesar dos ganhos territoriais mínimos. Israel e o Irão entraram em confronto directo num conflito de doze dias que remodelou a dinâmica do poder regional. A Índia e o Paquistão intensificaram as trocas de mísseis balísticos antes da intervenção de um cessar-fogo mediado pelos EUA. A Tailândia e o Camboja trocaram tiros ao longo das fronteiras disputadas, desencadeando os combates mais intensos em quase quinze anos.

O padrão é claro: os Estados estão cada vez mais dispostos a usar a força para promover objectivos quando os mecanismos diplomáticos parecem pouco fiáveis. À medida que as modernas lutas pelo poder ameaçam instituições como o direito internacional, o risco está a espalhar-se por domínios que historicamente tiveram fronteiras mais claras.

Para as organizações, isto significa que é cada vez mais provável que as crises geopolíticas se repercutam nas redes empresariais, nas cadeias de abastecimento, nos ambientes regulamentares e nas infraestruturas digitais com aviso limitado. A resiliência, e não a estabilidade, tornou-se o pressuposto operacional de base.

Embora os conflitos cinéticos dominassem as manchetes, algumas das atividades patrocinadas pelo Estado mais importantes de 2025 desenrolaram-se silenciosamente em ambientes digitais — nas extremidades das redes onde a supervisão é mais fraca.

China, Rússia, Irão e Coreia do Norte, também conhecidos como os quatro actores cibernéticos estatais hostis mais capazes e consistentemente activos que o Grupo Insikt rastreia, concentraram-se não em ataques dramáticos, mas na acumulação secreta de acesso. Eles visavam sistemas de identidade, ambientes de nuvem e infraestrutura de borda: dispositivos de rede mal monitorados, dispositivos VPN e sistemas de perímetro que as organizações lutam para corrigir e defender.

Relatórios do Insight Group sobre RedMike destacou o pré-posicionamento disciplinado na infraestrutura de telecomunicações: acesso construído seletivamente e mantido silenciosamente para obter valor de inteligência por atores de ameaças prontos para girar rapidamente quando o tempo e a pressão se alinharem. Os intervenientes patrocinados pelo Estado chinês visaram fornecedores de telecomunicações em todo o mundo, com uma campanha a explorar dispositivos Cisco não corrigidos em mais de 100 países. Grupos russos ligados ao GRU intensificaram as operações contra infraestruturas críticas na Ucrânia e nos estados membros da OTAN. Os operadores iranianos misturaram espionagem com campanhas de hack-and-leak. Os intervenientes norte-coreanos fundiram a geração de receitas com a espionagem, mobilizando trabalhadores fraudulentos de TI integrados em empresas estrangeiras como vector de acesso.

A mudança estratégica é profunda: o risco principal já não é um incidente cibernético único e em grande escala. É o pré-posicionamento sustentado que permite a espionagem persistente em tempos de paz e cria capacidade latente de perturbação durante crises. Os prazos de alerta estão se comprimindo, pois os adversários já estão lá dentro.

Hacktivistas e operadores de influência: convergência entre domínios

Todos os grandes conflitos em 2025 tiveram uma frente digital e, sem surpresa, os combatentes nem sempre foram quem afirmavam ser.

Grupos hacktivistas, voluntários patrióticos e redes de influência desempenharam papéis crescentes em conflitos envolvendo Israel-Irão, Índia-Paquistão, Tailândia-Camboja e Rússia-Ucrânia. Estes intervenientes operaram com vários graus de alinhamento estatal, mas contribuíram consistentemente para um cenário de ameaças onde intrusões genuínas, alegações exageradas e desinformação se reforçavam mutuamente.

A escalada regional envolvendo Israel e o Irão mostrou como as operações cibernéticas, as campanhas de influência e as ferramentas de vigilância comercial podem funcionar juntamente com a força militar, à medida que os domínios convergem de formas que teriam parecido implausíveis há apenas alguns anos. Durante a escalada Índia-Paquistão, ambos os lados implantaram redes de influência em grande escala que espalharam narrativas coordenadas, falsificaram documentos militares e amplificaram alegações hacktivistas de perturbações na rede. Os hacktivistas alinhados com a Rússia atacaram os países da NATO com campanhas DDoS, com investigações revelando que partes deste ecossistema “hacktivista” funcionam como frentes dirigidas pelo Estado.

A implicação para os defensores: a percepção é agora um terreno contestado. Mesmo os ataques de baixa sofisticação podem gerar um impacto psicológico e reputacional descomunal quando amplificados através de operações de informação coordenadas.

Crime Cibernético: Fragmentado, Modular, Resiliente

As autoridades policiais obtiveram vitórias significativas contra a infraestrutura cibercriminosa em 2025. As remoções, detenções e sanções do fórum perturbaram operações importantes. Ransomware os pagamentos diminuíram pelo segundo ano consecutivo.

Mas o ecossistema criminoso acabou de se adaptar a estas novas condições.

A pressão sustentada fracturou grandes empresas criminosas em operações mais pequenas e mais descentralizadas. O Grupo Insikt identificou 289 novas variantes de ransomware este ano (um aumento de 33% em relação a 2024), a maioria das quais derivada de código-fonte vazado. Os grupos adotaram modelos de assinatura, terceirizaram operações e contaram com serviços especializados de lavagem e negociação. O resultado: uma cadeia de abastecimento criminosa distribuída que é resiliente, descentralizada e cada vez mais difícil de rastrear.

Os grupos do cibercrime estão cada vez mais alinhados com os objectivos estratégicos nacionais, confundindo as fronteiras entre a actividade criminosa e a actividade estatal. Na Venezuela, a ação estatal corroeu as fronteiras jurídicas, políticas e cibernéticas, desafiando pressupostos sobre soberania e responsabilização. O spyware mercenário perseguia os mesmos objectivos de acesso persistente que os intervenientes estatais, infiltrando-se onde a supervisão era mais fraca e adaptando-se sob pressão.

Actores criminosos de língua inglesa, como o colectivo Scattered LAPSUS$ Hunters, demonstraram que as tácticas de engenharia social de baixa tecnologia – particularmente a representação do help desk – continuam a ser devastadoramente eficazes. Entretanto, o crime organizado no Sudeste Asiático industrializou a fraude numa escala sem precedentes, com organizações criminosas transnacionais de língua chinesa a gerir complexos de call centers utilizando trabalho coagido aumentado pela automatização impulsionada pela IA.

Para as organizações, a conclusão é clara: os atores das ameaças estão se adaptando mais rapidamente do que os defensores. Os ecossistemas criminais modulares que partilham ferramentas, infraestruturas e acesso podem reconstituir-se rapidamente, mesmo após perturbações.

Tecnologias emergentes: falha na verificação em escala

2025 não foi um ano inovador para operações cibernéticas orientadas por IA.

Para separar o hype do sinal, o Insikt Group desenvolveu o AIM3 — nossa estrutura para avaliar a maturidade do malware de IA. Isso mostra que a maior parte do uso observado permanece em um estágio inicial de desenvolvimento. Os atores da ameaça experimentaram modelos maliciosos de IA adaptados para operações cibernéticas, mas os resultados foram incrementais e não transformadores.

O risco imediato não são os ataques autônomos. É uma falha de verificação em escala, onde o engano se torna mais rápido, mais barato e mais convincente à medida que a IA é incorporada nos fluxos de trabalho de decisão.

A fraude habilitada para Deepfake aumentou mais de dez vezes desde o início de 2024. A fraude de identidade sintética aumentou 300% somente no primeiro trimestre de 2025. Os adversários começaram a testar ataques de injeção imediata e manipulação de “SEO gerado” para envenenar os resultados de pesquisa de IA. À medida que a IA se torna capacitada para realizar ações no mundo real através de agentes autónomos, a superfície de ataque à fraude e manipulação irá expandir-se dramaticamente.

A nível estratégico, a corrida entre os EUA e a China pelo domínio da IA ​​intensificou-se, com a China a prosseguir uma estratégia de difusão agressiva que está a incorporar os LLM chineses no ecossistema global de software. A concorrência pela computação quântica, pela robótica avançada e pelos sistemas espaciais está a estender-se para além dos mercados comerciais, rumo à rivalidade geopolítica sustentada.

As organizações que agem agora para estabelecer a governança da IA, inventariar dependências criptográficas e se preparar para a migração pós-quântica terão vantagens significativas à medida que essas tecnologias amadurecem.

O que 2025 nos ensina sobre 2026

Olhando para o futuro, a fricção diplomática, a aplicação selectiva de normas e a aceleração da adopção de tecnologia continuarão a aumentar o fosso entre a forma como se assume que o risco se comporta e como ele realmente se comporta.

Os padrões de 2025 apontam para um ambiente de ameaças em 2026 definido pela incerteza sustentada:

1. Crises regionais simultâneas tornar-se-ão a norma. À medida que a aplicação das normas estabelecidas se torna mais selectiva, as potências regionais e emergentes perseguirão objectivos de forma mais agressiva e a intervenção externa em conflitos internos irá expandir-se.
2. As interrupções na conectividade surgirão como a principal ferramenta de coerção. Cabos submarinos, sistemas de satélite e infraestruturas de posicionamento/navegação/temporização estão a tornar-se alvos estratégicos, com interferências ainda limitadas capazes de se propagarem em cascata através de setores críticos.
3. O ransomware irá se fragmentar ainda mais. A redução dos pagamentos levará os atores da ameaça a ciclos de ataque mais curtos, menores demandas e táticas focadas em interrupções, projetadas para obrigar o envolvimento.
4. A crise de identidade sintética irá aprofundar-se. Deepfakes habilitados para IA e sistemas de verificação de identidade comprometidos tornarão o comprometimento do e-mail comercial e a engenharia social mais convincentes e escaláveis.
5. A IA se tornará a próxima grande superfície de ataque. A manipulação baseada em prompts substituirá cada vez mais as explorações baseadas em código como o método preferido de intrusão contra sistemas de IA.
6. A prontidão quântica passará do planejamento para os gastos. As organizações começarão a alocar orçamentos dedicados para inventários criptográficos, transições de fornecedores e pilotos de migração pós-quântica.
7. Robôs e sistemas espaciais se tornarão terreno ciberfísico contestado. Em 2026, robôs humanóides e infraestrutura espacial passará da experimentação para a implantação operacional, aumentando a dependência económica e estratégica de sistemas ciberfísicos ligados em rede.

O caminho a seguir

A inteligência não elimina a incerteza; ter mais acesso a mais pontos de dados não significa nada sem contexto. Em vez disso, a inteligência torna a incerteza mais administrável.

A fragmentação cria complexidade. Mas a complexidade recompensa aqueles que conseguem ver ligações que outros não percebem, tais como a forma como os riscos na geopolítica, nas operações cibernéticas e nos ecossistemas criminosos convergem para moldar a exposição. É esse o objectivo do relatório sobre o estado da segurança de 2026: não apenas catalogar ameaças, mas ajudar os líderes a reduzir a surpresa, a definir prioridades de forma eficaz e a agir com confiança.

O relatório do Estado de Segurança de 2026 foi produzido pela Recorded Future's Grupo de insightsque compreende analistas e pesquisadores de segurança com profunda experiência em agências governamentais, policiais, militares e de inteligência.