Cibersegurança no Brasil: por que reagir já não é suficiente na era da Shadow AI

Outubro é o Mês Internacional da Conscientização em Cibersegurança. A data existe porque os números continuam pedindo atenção, e os de 2024 e 2025 são particularmente difíceis de ignorar.

No primeiro trimestre de 2024, as organizações brasileiras registraram um aumento de aproximadamente 38% nos ciberataques em relação ao ano anterior. Em paralelo, 73% das empresas do país já foram vítimas de ransomware, o tipo de ataque que bloqueia sistemas, expõe dados confidenciais e exige resgate para liberar o acesso. O custo médio de uma violação de dados no Brasil chegou a R$ 7,2 milhões em 2025, alta de 6,5% sobre o ano anterior. E 32% dos gestores entrevistados em levantamentos recentes relataram violações associadas ao uso de inteligência artificial sem controle adequado.

Há um paradoxo nesse cenário. O Brasil é o segundo país das Américas em maturidade de cibersegurança, segundo o relatório da União Internacional de Telecomunicações. Mas a maturidade no ranking não tem impedido que o volume e a sofisticação dos ataques sigam crescendo. As defesas avançam. Os ataques avançam mais rápido.

O novo risco que vem de dentro: o que é Shadow AI

Muito se fala sobre ameaças externas. O vetor que preocupa cada vez mais os especialistas, porém, está dentro das próprias organizações.

Shadow AI é o uso de ferramentas de inteligência artificial por colaboradores ou áreas de negócio sem aprovação, sem supervisão e fora da governança de TI e segurança. Vai além do tradicional Shadow IT porque o risco potencial é proporcionalmente maior: modelos generativos processando dados sensíveis em servidores de terceiros, prompts com informações estratégicas alimentando sistemas sem auditoria, e decisões de negócio sendo tomadas com base em outputs que nenhuma área de segurança validou.

"Se eu, como CISO, estiver integrado ao uso de IA mas sem ter definido os limites, controles, governança e monitoramento, posso estar criando voluntariamente ou involuntariamente o ataque de amanhã dentro da minha própria organização", alerta Gabriel Loschi, CISO da Foursys.

O cenário é mais comum do que parece. Praticamente 75% das empresas brasileiras afirmam planejar aplicar IA e machine learning em segurança digital. Mas planejar o uso controlado e tolerar o uso não controlado são coisas completamente diferentes, e a segunda está acontecendo em escala silenciosa.

Três alertas para quem lidera segurança hoje

Visibilidade não é controle. Ter métricas mostrando aumento nos ataques não significa que a organização vê ou bloqueia tudo. Pode significar apenas que os ruídos crescem enquanto parte dos riscos permanece invisível. Se a governança de Shadow AI não estiver estruturada, há uma superfície de exposição que o dashboard simplesmente não mostra.

IA sem guardrails vira vulnerabilidade. Usar inteligência artificial para defesa é necessário. Não usar já é risco. Mas colocar IA em operação sem que os controles de segurança de dados, testes, privacidade e conformidade estejam ativos transforma a ferramenta no vetor do próximo incidente. Um exemplo concreto: uma equipe de marketing que usa ferramentas generativas sem curadoria para desenvolver campanhas pode estar expondo diferenciais competitivos que um concorrente acessa antes do lançamento.

Governança, cultura e terceiros são os pontos que mais falham. O relatório HLB 2024 indica que 37% das organizações sofreram violações por meio de terceiros, e 20% não têm certeza sobre o nível de segurança dos seus parceiros. No contexto de Shadow AI, esse risco externo se amplifica: plataformas e serviços de IA que não passaram por avaliação de segurança corporativa criam brechas que nem sempre aparecem nas auditorias convencionais.

O que fazer na prática: um guia objetivo para gestores de segurança

A transição de uma postura reativa para uma abordagem proativa exige ações concretas. Algumas das mais urgentes:

• Mapear o uso real de IA na organização. Isso inclui marketing, RH, vendas, produção e qualquer área que possa estar usando ferramentas sem aprovação formal de TI. O inventário precisa existir antes de qualquer política.
• Estabelecer políticas claras por tipo de dado e contexto. Dado sensível só pode ser processado em ambientes aprovados, com logs, auditoria e proprietário de dados definido. Modelos generativos precisam de segregação de ambiente. Controles de prompt injection e saída de dados precisam estar ativos.
• Integrar IA à arquitetura de segurança operacional. SIEM, XDR, logs e resposta a incidentes precisam conversar com as ferramentas de IA defensiva. Tratar IA apenas como projeto de negócio é um erro que eventualmente tem custo.
• Avaliar fornecedores que oferecem ou utilizam IA. Riscos de privacidade, transferência de dados, soberania e compliance precisam estar na matriz de avaliação de parceiros e fornecedores.
• Construir uma cultura de consciência sobre IA. Colaboradores precisam entender que usar ChatGPT ou qualquer ferramenta generativa com dados corporativos sem orientação não é modernização, é exposição ativa.

O verdadeiro indicador de maturidade

A cibersegurança eficaz hoje não se mede apenas pela capacidade de não ser atacada. Qualquer organização suficientemente exposta será alvo em algum momento. O indicador relevante é outro: a capacidade de se recuperar com velocidade, com governança estabelecida e com aprendizado incorporado ao processo.

O Brasil avança na maturidade de segurança. Mas avança num ritmo que ainda não acompanha a sofisticação das ameaças. E o próximo grande vetor de risco provavelmente já está operando dentro das organizações, silenciosamente, na forma de uma ferramenta de IA que ninguém aprovou.

Este post foi elaborado com base em artigo de opinião publicado no Crypto ID por Gabriel Loschi, CISO da Foursys, por ocasião do Mês Internacional da Conscientização em Cibersegurança.