No artigo anterior, comparei o ambiente digital de uma organização a uma casa que emite sinais antes de desabar: barulhos, estalos, pequenos tremores. Defendi que o monitoramento contínuo — SIEM, EDR, NDR — é o que permite ouvir esses sinais antes que a estrutura ceda.
Mas há uma pergunta que fica em aberto quando se trata só de monitoramento: e se o invasor souber exatamente onde os sensores estão, e simplesmente evitá-los?
É essa lacuna que me leva a escrever esta continuação. Porque ouvir os sinais é necessário, mas não é suficiente quando o adversário aprendeu a se mover em silêncio. A resposta que o mercado global já está adotando — e que o Brasil ainda conhece pouco — chama-se cyber deception: em vez de apenas escutar a casa, você espalha tábuas falsas pelo telhado, sabendo que só quem não deveria estar lá vai pisar nelas.
Por que o monitoramento tradicional já não é suficiente
O cenário mudou de forma mensurável. Segundo o relatório Cenário Global de Ameaças, da Fortinet, o Brasil registrou 753,8 bilhões de tentativas de ataque cibernético em 2025 — o equivalente a 84% de todas as tentativas identificadas na América Latina e no Canadá no mesmo período. No mesmo
levantamento, o tempo médio para exploração de uma falha caiu de mais de 4 dias para um intervalo de 24 a 48 horas, com casos de exploração poucas horas após a divulgação de uma vulnerabilidade.
Esse dado tem uma implicação direta para qualquer profissional de segurança que já implementou SIEM e EDR: a velocidade de ataque cresceu mais rápido do que a velocidade de resposta da maioria das equipes. Monitorar é necessário, mas monitorar sozinho assume que o invasor vai cometer um erro visível — gerar um log anômalo, disparar uma regra de correlação. Um atacante que usa credenciais legítimas, no entanto, não comete esse erro. Ele se parece exatamente com um usuário autorizado, porque, tecnicamente, ele é um.
Os números brasileiros confirmam que esse não é um cenário hipotético. Um terço das empresas brasileiras entrevistadas pela PwC já perdeu pelo menos US$ 1 milhão com ciberataques nos últimos três anos, segundo a pesquisa Digital Trust Insights 2025, da PwC. E o episódio mais grave do tipo no país — segundo classificação da Polícia Federal, o maior golpe cibernético da história nacional — não veio de uma falha de perímetro: veio de credenciais internas legítimas de um fornecedor terceirizado, a C&M Software, dando acesso indevido a contas de reserva de pelo menos seis instituições financeiras junto ao Banco Central.
O que é cyber deception, em termos simples
Cyber deception parte de uma premissa diferente: em vez de tentar diferenciar comportamento legítimo de comportamento malicioso — tarefa cada vez mais difícil quando o atacante usa credenciais válidas —, a tecnologia distribui ativos falsos pela rede: credenciais que não pertencem a ninguém, compartilhamentos de arquivo que não existem de verdade, servidores que são apenas fachada.
Nenhum funcionário, processo ou sistema legítimo tem motivo para interagir com esses ativos. Eles não aparecem em nenhum manual de uso, não fazem parte de nenhum fluxo de trabalho real. Por isso, qualquer interação com eles é, por definição, evidência de comportamento indevido — seja de um atacante externo, seja de um insider. Não é uma suposição estatística como nos modelos de detecção por anomalia: é uma certeza binária. Alguém tocou em algo que só existe como armadilha.
Essa característica resolve diretamente o problema que descrevi na seção anterior: a taxa de falso positivo praticamente desaparece, porque não existe contexto legítimo em que o alerta deveria ter sido ignorado.
A conta que todo executivo de finanças vai pedir
Quem já apresentou um orçamento de segurança para um conselho conhece a pergunta inevitável: qual é o retorno sobre esse investimento? Cyber deception tem uma resposta mais direta do que a maioria das tecnologias de defesa, porque a equação de risco no Brasil já está documentada:
- 73% das empresas brasileiras não têm seguro contra incidentes cibernéticos, segundo o ESET Security Report 2025 — ou seja, a maioria não tem absorção de risco transferida para terceiros.
- Pela LGPD (art. 52), a multa simples por infração pode chegar a 2% do faturamento da empresa no Brasil no último exercício, com teto de R$ 50 milhões — um número que qualquer CFO calcula em minutos sobre a própria receita.
- Segundo pesquisa da Grant Thornton Brasil em parceria com o Opice Blum Advogados, 58% das empresas que sofreram incidente no país não notificaram o regulador dentro do prazo de até 3 dias úteis previsto na Resolução CD/ANPD nº 15/2024 — o que amplia, em vez de reduzir,
a exposição regulatória.
Contra esse cenário, uma plataforma de cyber deception custa, em geral, uma fração do que uma única multa regulatória representaria — e opera como despesa operacional (OPEX), sem necessidade de investimento em hardware ou ampliação de equipe. O cálculo de ROI deixa de ser uma estimativa abstrata de “quanto vale a segurança” passa a ser uma comparação direta entre um custo anual previsível e um teto de exposição que já está escrito em lei.
Para a liderança executiva, a pergunta certa não é “quanto custa implementar deception”. É: quanto custaria não ter como provar, em caso de incidente, que a empresa fez a devida diligência técnica?
Da escuta à armadilha: completando o ciclo
Se o artigo anterior tratou da importância de ouvir os sinais que precedem um incidente, este completa o raciocínio: ouvir é necessário, mas a defesa madura também precisa colocar o invasor em uma posição onde ele não tem escolha a não ser se revelar. Monitoramento contínuo e cyber deception não competem entre si — se complementam. Um observa o ambiente; o outro cria, dentro
desse mesmo ambiente, pontos onde qualquer movimento ilegítimo deixa de ser hipótese e se torna certeza.
A “casa digital” que descrevi no artigo anterior não precisa apenas de sensores que escutem os tremores. Ela também pode ser construída com tábuas que, se alguém não autorizado pisar nelas, soam um alarme que nenhum morador legítimo jamais acionaria.
Fontes: Fortinet, Cenário Global de Ameaças 2025 · PwC Brasil, Digital Trust
Insights 2025 · ESET, Security Report 2025 · Grant Thornton Brasil & Opice
Blum Advogados, Pesquisa Riscos Cibernéticos 2025 · Lei nº 13.709/2018
(LGPD), art. 52 · Resolução CD/ANPD nº 15/2024
