O cenário de ameaças cibernéticas na América Latina passou por uma transformação significativa em 2026, com o roubo de credenciais corporativas consolidando-se como uma das principais portas de entrada para ataques cibernéticos. Um levantamento realizado pela Vision Cybersecurity, spin-off da ISH Tecnologia especializada em segurança digital, identificou um crescimento alarmante de 59% no volume de credenciais corporativas comprometidas entre janeiro e maio de 2026, na comparação com o mesmo período do ano anterior.
O que mudou no cenário de ameaças
O estudo da Vision Cybersecurity aponta um aumento de 56% no total de credenciais expostas e um crescimento de 54% nas detecções relacionadas a infostealers, malwares especializados no roubo de informações sensíveis. Ao todo, foram identificadas mais de 5 milhões de credenciais de usuários domésticos comprometidos na região. Segundo a empresa, os dados indicam uma mudança importante no cenário de ameaças, em que criminosos passaram a priorizar o roubo de identidades digitais como forma de obter acesso a sistemas corporativos, contas em nuvem e aplicações críticas.
"Hoje, grande parte dos ataques cibernéticos não começam com técnicas de hacking avançadas, mas sim com o uso ilegal de um acesso legítimo roubado", afirma Ismael Rocha, Especialista em Inteligência de Ameaças da Vision. "Por conta dessa facilitação de acesso, as credenciais rapidamente se tornam um dos ativos mais valiosos para o cibercrime."
Infostealers: a nova arma do cibercrime
Grande parte do crescimento detectado pela Vision está associado à disseminação dos chamados "infostealers", que são uma categoria de malware desenvolvida especificamente para capturar informações armazenadas nos dispositivos que infecta. Entre os dados que podem ser coletados estão, por exemplo, logins, senhas, cookies, sessões autenticadas, informações preenchidas automaticamente em navegadores e outros elementos capazes de facilitar invasões posteriores.
"Diferentemente de outras ameaças, os infostealers operam de uma forma silenciosa, passando muitas vezes despercebidos pelas vítimas. Uma vez obtidas, as credenciais podem ser utilizadas diretamente pelos criminosos ou revendidas em mercados clandestinos especializados. Trata-se de uma ferramenta que abastece todo o ecossistema do crime cibernético", aponta Rocha.
As famílias de malware em destaque
Os dados do levantamento mostram que algumas famílias de malware já atuam em escala industrial. O RedLine, atualmente o infostealer mais presente na América Latina, responde por cerca de 50% das detecções observadas pela empresa. A ferramenta é amplamente distribuída por meio de campanhas de phishing, softwares piratas, keygens e downloads falsos, sendo capaz de coletar credenciais, cookies, informações de preenchimento automático e até carteiras de criptomoedas.
Outra ameaça que ganha espaço é o Lumma, responsável por aproximadamente 15% das ocorrências registradas. Uma das famílias de malware que mais crescem na região, se destaca pela capacidade de evasão, pela distribuição por meio de loaders especializados e pelo foco em credenciais corporativas e sessões autenticadas.
Já o Raccoon, que representa cerca de 10% das detecções, exemplifica o amadurecimento do modelo MaaS. Comercializado em fóruns clandestinos, ele permite que criminosos sem grande conhecimento técnico realizem campanhas de roubo de credenciais em larga escala, ampliando significativamente o alcance desse tipo de operação.
O cibercrime industrializado
O avanço dos infostealers reflete uma transformação mais ampla no cenário digital. O material da Vision chama atenção para a operação cada vez mais estruturada e "profissional" dos grupos de roubo de informações. Por meio do modelo conhecido como "Malware-as-a-Service" (ou MaaS), ferramentas maliciosas podem ser comercializadas e/ou alugadas por outros criminosos, sem a necessidade do conhecimento técnico para produção das mesmas.
Rocha destaca como o cibercrime passa pela mesma transformação que o mercado legítimo de softwares passou nos últimos anos. "À medida em que os malwares tornam-se mais acessíveis e fáceis de serem compartilhados, observamos operações mais escaláveis, capazes de gerar milhões de credenciais comprometidas que alimentam desde fraudes financeiras até ataques de ransomware."
Impacto nas empresas e riscos operacionais
Para as organizações afetadas, o comprometimento de credenciais é um risco seríssimo pois dá aos invasores livre acesso dentro dos ambientes corporativos. A partir dos dados roubados, os criminosos podem realizar movimentação lateral na rede, acessar informações confidenciais, comprometer contas corporativas, executar fraudes financeiras e até implantar ataques de ransomware, com valores milionários de resgate.
O levantamento também destaca o Brasil como a maior superfície corporativa digital da América Latina, fator que aumenta a atratividade do país para campanhas voltadas ao roubo e comercialização de acessos empresariais.
Medidas de mitigação recomendadas
Diante desse cenário, a Vision Cybersecurity recomenda que empresas adotem autenticação multifator (MFA), monitoramento contínuo de credenciais expostas, soluções de detecção e resposta a ameaças (EDR/XDR), programas de conscientização contra phishing e estratégias de inteligência de ameaças voltadas à identificação precoce de comprometimentos.
Executivos de segurança devem priorizar a implementação de políticas de senha forte, a revisão de acessos privilegiados e a adoção de soluções que detectem comportamentos anômalos de usuários, como logins em horários incomuns ou de locais geograficamente improváveis.
Perguntas frequentes
Qual a diferença entre infostealer e ransomware?
O infostealer é focado em roubar dados (credenciais, senhas, cookies) de forma silenciosa, enquanto o ransomware foca em criptografar dados e exigir resgate. No entanto, credenciais roubadas por infostealers são frequentemente usadas para implantar ransomware.
Como saber se minha empresa foi afetada?
Monitoramento contínuo de credenciais expostas em dark web e análise de logs de acesso são essenciais. Ferramentas de EDR/XDR podem ajudar a identificar atividades suspeitas.
O que é MaaS?
Malware-as-a-Service é um modelo de negócio onde criminosos alugam ou vendem ferramentas maliciosas para outros criminosos, facilitando a execução de ataques sem necessidade de conhecimento técnico profundo.