A cibersegurança deixou de ser um seguro: agora é um custo de produção em uma Internet armada
A Cloudflare acaba de traduzir em números uma sensação que muitas equipes técnicas vivenciam diariamente, mas que na sala de diretoria ainda é tratada como uma contingência: os ataques cibernéticos tornaram-se industriais. Não é apenas uma questão de aumento no número de incidentes; ocorreu uma mudança na unidade econômica do crime digital. Segundo seu Relatório de Ameaças 2026, a companhia bloqueia 230 bilhões de ameaças por dia, observa um “piso” de 31,4 Tbps em ataques DDoS e registra que 94% dos tentativas de login vêm de bots. Paralelamente, 63% dos logins nos últimos três meses envolveram credenciais comprometidas em outro lugar.
Essa combinação explica por que a conversa correta agora não é “como prevenimos o próximo grande ataque”, mas sim como projetamos uma operação digital que funcione sob um cerco permanente. A Internet, em termos práticos, está se “armando”: utiliza sua escala, automação e velocidade como armas. E quando o custo marginal de tentar um ataque se aproxima de zero, o defensor deixa de competir com talento individual e começa a competir com engenharia de processos.
A industrialização do ataque muda a economia do risco
No mundo corporativo, uma ameaça controlável costuma ser episódica: aparece, é tratada e é resolvida. O que a Cloudflare mostra é outra coisa: um sistema de produção. 230 bilhões de ameaças bloqueadas por dia não descrevem uma onda; descrevem uma linha de montagem onde o volume é equivalente ao trabalho.
Esse salto de escala é evidente nos ataques DDoS. Um “baseline” de 31,4 Tbps normaliza um tipo de agressão que antes era considerado extremo. A consequência para os negócios é direta: o tempo de inatividade e a degradação do serviço deixam de ser raridades e se tornam uma variável operacional que deve ser modelada como demanda ou fraude.
O acesso também se industrializa. Se 94% dos tentativas de login são bots, o login deixa de ser um gesto de confiança e se transforma em uma área de fricção inevitável. E se 63% dos logins se baseiam em credenciais já comprometidas, a identidade do cliente se torna um dado “reutilizado” por terceiros em escala. A interpretação relevante para um CFO não é técnica; é contábil: os custos associados a fraudes, suporte, contracargos, reputação e conformidade tendem a aumentar se a empresa insistir em tratar a autenticação como uma tela e não como um sistema.
O detalhe mais revelador do relatório é o tempo. A Cloudflare documenta um caso em que uma vulnerabilidade foi explorada 22 minutos após a sua prova de conceito ser publicada. Esse dado destrói uma suposição comum em organizações médias: a ideia de que “temos margem” para descobrir, priorizar e então corrigir. Com janelas de minutos, a vantagem já não é a intenção, mas a automação defensiva e a preparação prévia.
A IA não apenas acelera: barateia a delinquência digital
O relatório sustenta que atores maliciosos utilizam IA generativa para tarefas como mapeamento de redes, desenvolvimento de exploits e deepfakes, permitindo operações de alta velocidade com menos habilidade requerida. A implicação no mercado é desconfortável: ao baixar a barreira de entrada, o número de atacantes potenciais aumenta e os “tentativas” se multiplicam, embora a taxa de sucesso individual seja baixa.
Além disso, a Cloudflare afirma ter registrado o “primeiro ataque baseado em IA” observado pela companhia, onde um agente utilizou IA para localizar dados de alto valor e comprometeu centenas de “tenants” corporativos, caracterizando-o como um ataque de cadeia de suprimento de grande impacto. Mais do que o caso isolado, o padrão é o que importa para a estratégia: a IA funciona como um compresso de custos. Reduz o custo de exploração, reduz o custo de personalização e reduz o custo de iteração.
Em negócios digitais, quase toda melhoria de conversão vem da redução da fricção. A IA aplicada ao crime faz o mesmo, mas do outro lado: reduz a fricção para tentar e repetir. Essa assimetria obriga as empresas a abandonarem defesas artesanais e a se moverem em direção a defesas por padrão.
Aqui surge um erro típico de gestão: tratar a segurança como “tecnologia a ser comprada” em vez de “comportamento a ser redesenhado”. Com bots dominando o acesso, qualquer KPI de crescimento baseado em registros, logins ou tráfego se contamina. Se a empresa monetiza anúncios, suas métricas de audiência se degradam; se monetiza assinaturas, seu pipeline fica cheio de ruído; se monetiza transações, aumentam os custos de verificação e de fraude. A IA não apenas cria um novo atacante; cria um novo ambiente onde os indicadores tradicionais deixam de ser confiáveis se não estão instrumentados contra automação maliciosa.
Quando o login é o produto: o consumidor contrata continuidade e controle
Minha obsessão profissional é entender que “avanço” o usuário compra quando paga por um serviço. E nesta notícia, o avanço é claro: o cliente não está comprando “segurança” como um atributo abstrato, está contratando continuidade, controle e ausência de fricção.
Os dados da Cloudflare sobre credenciais comprometidas e bots transformam a identidade em um campo de batalha cotidiano. A consequência para a experiência do cliente é paradoxal: para se defender, adiciona-se fricção; mas essa fricção penaliza o usuário legítimo. Esse é o dilema que separa empresas que escalam de empresas que se tornam caras e lentas.
As melhores respostas empresariais não são baseadas em “adicionar mais etapas” de autenticação de forma cega, mas em projetar defesas que sejam agressivas com bots e suaves com humanos. Se a empresa não conseguir essa distinção, o consumidor começa a vivenciar o serviço como instável ou hostil. E quando a confiança se erode, o cliente não analisa a arquitetura: migra.
Essa industrialização também muda o mapa competitivo. Setores apontados pela Cloudflare como especialmente alvo de DDoS — Jogos e Apostas, TI e Internet, Criptomoedas, Software, Marketing e Publicidade — costumam operar com picos de tráfego, alta exposição e sensibilidade à latência. Se o ataque se torna “normal”, a resiliência se torna um diferencial comercial. Não é marketing; é sobrevivência. Na ponta, a disponibilidade é parte da proposta de valor.
Para startups e PMEs digitais, o risco é duplo. Primeiro, porque não conseguem absorver a complexidade de um programa de segurança tradicional. Segundo, porque ao crescer atraem automação maliciosa antes de construir musculatura interna. Isso abre espaço para vencedores que empacotem a defesa como serviço, com implementação simples e custo variável. Não por moda, mas porque o mercado está forçando uma mudança de arquitetura financeira: passando de custos fixos com especialistas para custos variáveis de plataformas e automação.
O cenário geopolítico entra na infraestrutura: a segurança como condição de operação
O relatório também menciona a atividade de atores estatais chineses, incluindo grupos como Salt Typhoon e Linen Typhoon, com prioridade em telecomunicações americanas e setores comerciais, governamentais e de serviços de TI, com presença “anclada” para vantagem geopolítica de longo prazo. A forma prudente de ler isso em termos de negócios é que a ameaça não é apenas criminal e transacional; também pode ser estratégica e persistente.
Quando há “pré-posicionamento” em infraestrutura crítica, o custo de uma interrupção não é apenas o tempo de inatividade. É incerteza operacional. Para indústrias reguladas ou com infraestrutura essencial, isso força a elevação do padrão mínimo de resiliência e monitoramento.
A Cloudflare descreve uma transição da exploração furtiva para tentativas de cenários de apagão, com DDoS como potencial precursor de operações mais prejudiciais. Em termos de governança corporativa, isso empurra a cibersegurança de um relatório de TI para uma capacidade transversal: continuidade de negócios, gestão de fornecedores e preparo para resposta.
A lição dura é que o elo mais fraco costuma ser o terceiro. O caso citado pela Cloudflare sobre um ataque de cadeia de suprimento que afeta múltiplos “tenants” corporativos ilustra o risco sistêmico: um fornecedor comprometido torna-se um multiplicador de danos. Em nível contratual, isso empurra a revisão de exigências mínimas, monitoramento compartilhado e planos de contingência. Em nível de produto, isso força a redução da dependência de integrações frágeis e o design de segmentação para que a falha não se propague.
O que o C-level deve assumir: defesa contínua, não “projeto de segurança”
O padrão que emerge do relatório é operacional: ataques automatizados, tentativas massivas, janelas de exploração comprimidas e tráfego contaminado por bots. Nesse contexto, tratar a cibersegurança como um projeto com início e fim produz o mesmo resultado que tratar a contabilidade como um projeto.
Para um CEO, a decisão importante é priorizar que parte do negócio deve se tornar “infraestrutura de confiança”. Se a empresa vive de contas, o login e a sessão são ativos. Se vive de transações, a verificação é um ativo. Se vive de disponibilidade, a mitigação DDoS é um ativo. O investimento não se justifica apenas pelo medo; se justifica pela proteção de receitas, redução de fraudes, menor carga operacional de suporte e preservação de marca.
Para um CFO, a linguagem útil não é “mais ferramentas”, mas custos evitados e custos convertidos: automatizar detecção e mitigação para reduzir as horas humanas; padronizar controles para reduzir incidentes repetidos; e, acima de tudo, fazer da segurança um componente do custo de atender a um cliente digital.
O relatório da Cloudflare não descreve um futuro hipotético. Descreve o presente de uma Internet onde os ataques já possuem processos, escala e automação. O negócio que sobreviver será aquele que converter essa realidade em design.
O sucesso dos próximos vencedores dependerá de uma verdade simples sobre o comportamento do consumidor: o usuário está contratando continuidade e controle de sua identidade digital, e castigará qualquer serviço que lhe transfira o custo invisível de uma Internet armada.
