Os ataques direcionados de 2026 não querem mais apenas trancar seus arquivos. Querem levá-los embora. E quando os dados vazam, o criminoso não é o único a bater à sua porta: a Autoridade Nacional de Proteção de Dados vem logo atrás.
Por anos, o ransomware foi sinônimo de tela bloqueada e pedido de resgate para devolver a chave. Esse roteiro envelheceu. Os ataques direcionados que vejo dominando 2026 mudaram o alvo: em vez de apenas criptografar, eles exfiltram. A lógica da dupla extorsão (roubar os dados antes de cifrá-los e ameaçar publicá-los) virou o modelo padrão dos principais grupos, e relatórios recentes já apontam uma fatia crescente de incidentes em que nenhuma criptografia chega a acontecer: é extorsão pura, sustentada pela ameaça de vazamento. A velocidade impressiona, com relatos de grupos que chegam à exfiltração em pouco mais de uma hora após o acesso inicial. O que isso significa na prática é que todo ataque direcionado bem-sucedido hoje é, antes de tudo, um incidente de dados pessoais. E aqui no Brasil, incidente de dados pessoais tem nome, prazo e destinatário: a ANPD.
Vale entender por que a exfiltração se tornou tão atraente para o atacante. Criptografar exige construir e manter um mecanismo confiável de recuperação, porque o criminoso precisa “entregar” a chave para preservar sua reputação e receber. Roubar dados não exige nada disso: basta copiar e ameaçar. O controle da negociação passa inteiro para as mãos de quem ataca, e o material exfiltrado vira munição reaproveitável: pode ser revendido, usado em nova chantagem ou despejado em fóruns mesmo após o pagamento. Já mostrei aqui no Café com Bytes, ao analisar o ransomware VECT 2.0, como esse abandono da criptografia em favor da exfiltração e da destruição reorganiza toda a equação de defesa. A consequência direta é que detectar a saída de dados passou a ser tão crítico quanto impedir a entrada. Isso eleva o papel de tecnologias que muita empresa ainda trata como secundárias: monitoramento de exfiltração e DLP, SIEM correlacionando volumes anômalos de transferência, EDR/XDR caçando movimentação lateral e criptografia dos dados em repouso, porque dado cifrado pela própria empresa, com a chave protegida, perde valor de chantagem quando roubado.
É no campo regulatório, porém, que mora o alerta que dá título a este artigo. A ANPD deixou de ser uma autoridade apenas normativa e entrou de vez no ciclo de fiscalização. O Regulamento de Comunicação de Incidente de Segurança, aprovado pela Resolução CD/ANPD nº 15 de abril de 2024, fixou o que muita empresa ainda ignora: a comunicação à Autoridade e aos titulares precisa ocorrer em até três dias úteis a partir do conhecimento do incidente, com possibilidade de complementação fundamentada em vinte dias úteis. Some a isso o Regulamento de Dosimetria, aprovado pela Resolução nº 4 de 2023, que estrutura o cálculo das sanções: multas que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração, além de multa diária. A ANPD adota um modelo de fiscalização responsiva, mira prioritariamente setores como telecomunicações, finanças, saúde e e-commerce, e os próprios números oficiais apontam um aumento expressivo de incidentes com vazamento de dados. O recado para quem está na trincheira é direto: a evolução das ações da ANPD não é uma tendência distante para acompanhar de longe, mas um risco que precisa estar mapeado hoje, para não sermos pegos de surpresa quando o incidente chegar.
A parte tranquilizadora é que preparar-se para a ANPD e defender-se da dupla extorsão são, em grande medida, o mesmo trabalho. Cumprir o prazo de três dias úteis só é viável para quem tem capacidade real de detecção e um plano de resposta a incidentes ensaiado, porque não se notifica com precisão um vazamento que levou semanas para ser percebido. Isso significa SIEM e EDR/XDR operando de forma integrada, com playbooks que incluam a etapa jurídica e de comunicação, não apenas a técnica. A minimização de dados reduz a superfície: o que não é coletado nem retido não pode ser exfiltrado, nem multado. Criptografia em repouso e segmentação Zero Trust limitam o que o atacante alcança em uma única lateralização. O Vulnerability Assessment contínuo e documentado trabalha em duas frentes: fecha portas antes do ataque e serve como evidência de diligência diante da Autoridade, já que a dosimetria pondera as medidas de segurança que estavam em vigor. E o backup imutável segue como base de continuidade, ainda que, contra a dupla extorsão, ele proteja a operação, não a confidencialidade do que vazou.
Se um grupo exfiltrasse hoje os dados pessoais que a sua empresa guarda, você conseguiria detectar, dimensionar e notificar a ANPD dentro dos três dias úteis, ou descobriria o prazo junto com o valor da multa? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
Análise das tendências de ataques de ransomware em 2026 | Securelist Brazil
Estudo revela aumento de extorsão sem encriptação em ataques de ransomware | PCGuia
Ransomware 2026: A Era da Multi-extorsão | Jovem Pan
O que é dupla extorsão em ransomware? | ESET
ANPD aprova o Regulamento de Comunicação de Incidente de Segurança | gov.br/ANPD
Entenda regras da ANPD para comunicação de incidente de segurança | Migalhas
ANPD publica regulamento de comunicação de incidente de segurança | Machado Meyer
Resolução da ANPD define o Regulamento de Dosimetria e Aplicação de Sanções à LGPD | CNseg
Multas da LGPD 2026: valores e critérios | Ribeiro Cavalcante Advocacia
