Radar Defender360 — 13 de julho de 2026
BC vai restringir Pix de instituições com segurança fraca, ANPD multa saúde por vazamento de 500 mil pacientes, e o primeiro ransomware operado por IA já está entre nós.
🛡️ Cyber
CASO DA SEMANA: BC prepara sanções duras para IFs com segurança cibernética fraca — mais de R$ 1,5 bilhão desviados em 12 meses
O Banco Central se prepara para restringir – e até suspender – o acesso ao Pix de bancos e fintechs que não comprovarem controles mínimos de segurança cibernética. A decisão vem após uma sequência de ataques que resultou em R$ 1,5 bilhão em desvios nos últimos 12 meses, segundo apuração de O Globo e Folha de S.Paulo.
O BC enviou um questionário detalhado a 1.745 instituições autorizadas para mapear o estado real de segurança de todo o sistema financeiro. Quem não passar no pente-fino poderá sofrer: limite de R$ 15 mil por transação no Pix, bloqueio de operações noturnas, proibição de captar novos clientes, multas e até suspensão temporária do meio de pagamento.
Os números contam a escalada: em 2024, fraudes eram só 15% dos incidentes cibernéticos reportados (9 de 59). Em 2025, pularam para 51% (39 de 76). Em 2026, até maio, 79% dos incidentes são fraudes (34 de 43).
O "roubo do ano" de junho de 2025 — R$ 800 milhões desviados via Pix por um ataque à provedora de tecnologia C&M Software — foi o divisor de águas. O BC descobriu que muitas IFs deixavam os certificados digitais que assinam transações com a autoridade monetária nas mãos de terceiros. "É como assinar cheque em branco", resumiu uma fonte do setor ao O Globo.
Cada ataque agora é tratado como "queda de avião": a instituição é obrigada a contratar perícia forense externa, entregar relatório de causa-raiz e plano de contenção ao regulador. A mensagem de Galípolo é clara: segurança cibernética deixou de ser compliance acessório — é condição para continuar operando.
📎 Fontes: O Globo (06/07), Folha (07/07)
🔍 Classe de risco: superfície de pagamento exposta (Pix/SPI), API abusável, credencial delegada a terceiro, controle de acesso sem dupla validação, conformidade contínua (BCB 538).
O que testar continuamente: - Seus certificados digitais e chaves de API do Pix/SPI estão sob seu controle ou delegados a terceiros? - O monitoramento de transações detecta padrão anômalo (volume, horário, destinatário) em tempo real? - Sua superfície de APIs de pagamento está mapeada e testada contra abuso de lógica de negócio?
ANPD abre processo contra ISAC por vazamento de dados de 500 mil pacientes
A ANPD instaurou processo administrativo sancionador contra o Instituto Saúde e Cidadania (ISAC), que gere unidades públicas de saúde em 7 estados, após um ataque de ransomware em 2025 expor dados de aproximadamente 500 mil pacientes — incluindo 78 mil crianças e adolescentes e 47 mil idosos.
Os dados vazados incluem nome, data de nascimento, histórico de exames, prontuários, prescrições, atendimentos ambulatoriais, internações e diagnósticos. A ANPD aponta que o ISAC: (1) não adotou medidas de segurança adequadas, (2) não comunicou individualmente os afetados e (3) não comprovou a alegação de que "não houve risco ou dano". As sanções previstas na LGPD vão de advertência a multa de 2% do faturamento.
O ISAC afirma que não houve vazamento, apenas indisponibilidade temporária — versão contestada pela investigação da ANPD.
📎 Fontes: CNN Brasil (08/07), Estadão (08/07), Convergência Digital (08/07)
🔍 Classe de risco: ransomware em organização com dados sensíveis (saúde), falha de comunicação de incidente (LGPD), backup e resposta.
Accenture confirma brecha — hacker vende 35 GB de código-fonte e chaves de acesso
A Accenture confirmou ao BleepingComputer que sofreu uma invasão. Um atacante identificado como "888" alega ter roubado 35 GB de dados, incluindo código-fonte, chaves RSA, chaves SSH, tokens de acesso ao Azure (PAT) e chaves de storage. O material foi colocado à venda em fórum de cibercrime com screenshot de repositório Azure DevOps clonado como prova.
A Accenture remediou a origem mas não comentou o escopo, o vetor de acesso ou se dados de clientes foram afetados. O mesmo atacante já havia tentado vender dados de funcionários da Accenture em 2024.
📎 Fonte: BleepingComputer (07/07)
🔍 Classe de risco: supply chain (consultoria com acesso a ambientes de clientes), segredos em repositório, superfície de DevOps exposta.
JadePuffer: o primeiro ransomware operado por IA — e o que ele nos ensina
Pesquisadores da Sysdig documentaram a operação JadePuffer: o primeiro caso de ransomware em que um agente de IA executou todo o ciclo técnico do ataque — invasão de servidor, roubo de credenciais, movimento lateral, criptografia de 1.300+ registros de configuração e geração da nota de resgate com endereço Bitcoin.
O agente explorou o CVE-2025-3248 no Langflow (ferramenta open source para construir apps com LLMs), moveu-se para um servidor MySQL de produção e corrigiu um erro de login em 31 segundos, narrando seu raciocínio em linguagem natural.
Mas: um humano escolheu o alvo, provisionou a infraestrutura de comando e controle e forneceu credenciais previamente roubadas. Não foi 100% autônomo — mas a execução técnica foi inteiramente do agente.
📎 Fontes: TechCrunch (06/07), Tecnoblog (07/07)
🔍 Classe de risco: superfície de IA/ML exposta (ferramentas como Langflow), ataque acelerado por agente, endpoint de desenvolvimento como vetor de entrada.
🤖 IA no Radar
Agentes de IA já estão pagando hackers — e você pode não saber
Pesquisadores de segurança demonstraram em duas frentes diferentes que agentes de IA em produção estão sendo enganados agora. No primeiro caso, instruções escondidas em páginas web fazem agentes autônomos transferirem valores para carteiras controladas por atacantes em campanhas ativas. No segundo, pesquisadores de Singapura (Sudipta Chattopadhyay e Murali Ediga) embutiram um prompt injection dentro de um arquivo PNG — a imagem parece inofensiva, mas quando um desenvolvedor pede ao assistente de código para revisar o PR, o agente absorve a instrução oculta e, dias depois, num contexto completamente diferente, exfiltra secrets do projeto disfarçados como valores comuns de código.
O que torna esse vetor especialmente perigoso: a maioria dos assistentes de código não inspeciona imagens como superfície de ataque — tratam PNGs como "decorativos". E o payload não executa na hora; fica latente até o momento certo.
📎 Fontes: Digital Trends (11/07), TechTimes (09/07)
O que muda para as empresas: Agentes de IA com acesso a sistemas (ler/escrever código, acessar repositórios, interagir com APIs) são o novo vetor de ataque. A superfície não é mais só o prompt do usuário — é qualquer artefato que o agente consome: página web, imagem, PDF, e-mail.
O olhar de segurança: Agentes autônomos são essencialmente usuários com privilégio de sistema que leem instruções de fontes não confiáveis. O risco é de governança: se o agente pode escrever código, acessar secrets e fazer deploy, ele precisa de sandbox, trilha de auditoria e validação de outputs — exatamente como um operador humano. A diferença é que ele executa em segundos o que um humano levaria horas para fazer. Prompt injection é o OWASP LLM01 por um motivo: é uma classe de vulnerabilidade sem patch definitivo.
A corrida dos modelos acelerou — e a adoção empresarial também
A semana passada foi uma das mais intensas do ano em lançamentos: OpenAI soltou o GPT-5.6 Sol + ChatGPT Work mirando diretamente o mercado enterprise da Anthropic; a Meta lançou o Muse Spark, seu modelo de código que compete com Claude Code em benchmarks; e o CEO do Google, Sundar Pichai, admitiu no podcast Hard Fork que a empresa está "perdendo a corrida de agentic coding" para OpenAI e Anthropic.
Paralelamente, a pesquisa Guggenheim com 150 executivos de TI de grandes empresas mostrou que 81% já implantaram chatbots de IA e a adoção está acelerando — com Anthropic e OpenAI num "two-pony race" pelo enterprise.
📎 Fontes: NYT — OpenAI Sol (09/07), CNBC — Meta Muse (09/07), ZeroHedge — Guggenheim Survey (12/07)
O que muda para as empresas: A barreira de entrada para agentes de código caiu para zero. Times que não tinham orçamento para Copilot Enterprise agora têm 3+ modelos competitivos com tier gratuito. A adoção vai acelerar — mas a governança, não.
O olhar de segurança: Quando 81% das grandes empresas já têm chatbots em produção e os modelos estão ganhando capacidade agentiva (ler, escrever, executar), o gap de governança vira o risco nº 1. Cada agente de código com acesso a repositório é um novo "funcionário" que precisa de: privilégio mínimo, revisão de output, log de ações e um kill switch. Sem isso, a adoção acelerada é shadow AI em escala Enterprise — e o incidente não vai ser "o modelo alucinou", vai ser "o agente commitou secrets num repo público".
Radar Defender360 — toda segunda-feira. Curadoria de incidentes reais e tendências de mercado, com o olhar de segurança que sua operação precisa.
Teste contínuo de intrusão com evidência técnica para o regulador.
Conhecer o Security IA