Relatório VIVA: O Estado das Ameaças Cibernéticas ao Varejo Brasileiro

As ameaças cibernéticas ao varejo deixaram de ser um assunto técnico isolado. Viraram risco operacional, financeiro e reputacional. O varejo brasileiro vai faturar R$ 258 bilhões em vendas online em 2026. É exatamente por isso que ele se tornou um dos alvos mais disputados pelo crime cibernético organizado.

Não é coincidência. É proporcionalidade. Onde há mais dinheiro transitando, há mais incentivo para interromper o fluxo e cobrar para restabelecê-lo.

Resumo rápido:

As ameaças cibernéticas ao varejo brasileiro em 2026 incluem ransomware direcionado, exfiltração de dados de clientes, exploração de APIs de pagamento e ataques durante datas comerciais de alto volume. Em 2024, 75% das empresas de e-commerce no Brasil enfrentaram algum tipo de incidente de segurança digital, segundo a FecomércioSP. O custo médio de uma violação de dados no varejo atingiu US$ 3,91 milhões no mesmo período.

Este relatório consolida os dados mais recentes sobre o cenário de ataques, mapeia os vetores que mais impactam operações varejistas e mostra onde estão as janelas de exposição que os grupos criminosos estão explorando agora.

Por que o varejo brasileiro virou alvo tão atraente

O varejo concentra exatamente o que o criminoso gosta: volume de transações, alta dependência de disponibilidade, dados pessoais, dados financeiros, ecossistemas complexos e tolerância quase zero a parada. A PwC observa que agentes criminosos miram o setor principalmente por motivação financeira, com destaque para extorsão dupla por ransomware, roubo de dados de clientes e comprometimento de portais de pagamento.

Esse ponto merece tradução direta. Um hospital também sofre pressão por disponibilidade. Um banco também é visado por dinheiro. Mas o varejo soma algumas fragilidades específicas: grande sazonalidade, pico de transações em datas críticas, dependência de canais digitais e físicos ao mesmo tempo, integrações com meios de pagamento e parceiros, e forte exposição de marca. Um incidente em varejo aparece rápido, se espalha rápido e contamina a percepção do cliente quase na mesma velocidade do ataque.

O retrato regional também reforça a gravidade. No 2025 DBIR, a Verizon mostrou que, na América Latina e Caribe, os padrões System Intrusion, Social Engineering e Basic Web Application Attacks responderam por 99% dos vazamentos analisados na região. Isso interessa demais ao varejo, porque esses três blocos cobrem justamente o que costuma romper operações digitais: exploração de sistemas, engenharia social e ataques a aplicações web.

No Brasil, o CERT.br mantém estatísticas de incidentes, phishing, serviços vulneráveis e evidências de comprometimento, mostrando um cenário constante de notificações de fraude, invasão, DoS e ataques a serviços expostos. O próprio portal deixa claro que phishing inclui páginas falsas voltadas a bancos, cartões, meios de pagamento e sites de comércio eletrônico. Isso não é teoria distante. Está no coração da operação varejista.

O que os dados sobre ataques cibernéticos no Brasil indicam para o varejo

A pergunta “quais são os dados sobre ataques cibernéticos no Brasil?” costuma vir carregada de ansiedade. E com razão.

O CERT.br mantém estatísticas nacionais de incidentes reportados voluntariamente, incluindo fraude, invasão, DoS, scans e serviços vulneráveis expostos. Ele também acompanha páginas falsas de phishing ligadas a bancos, cartões, meios de pagamento e sites de comércio eletrônico. Isso importa porque mostra, por fonte brasileira e operacional, que fraude e exposição continuam muito presentes no ambiente digital local.

A Kaspersky apontou que as principais ameaças da dark web para empresas brasileiras incluem ransomware, venda de acessos iniciais, infostealers e supostos vazamentos de dados. No mesmo estudo, o Brasil apareceu como alvo prioritário na região devido ao porte econômico, à diversidade empresarial e ao volume de oportunidades para o crime digital.

Outra peça relevante é o aumento do nível técnico dos ataques relacionados ao Brasil. Em março de 2026, a Kaspersky descreveu campanhas do trojan bancário brasileiro GoPix com técnicas mais sofisticadas, incluindo implantes somente em memória, PAC files para ataques man-in-the-middle e malvertising via Google Ads, com foco em clientes de instituições financeiras e usuários de cripto. O varejo precisa prestar atenção porque isso mostra maturidade crescente do ecossistema fraudulento local e capacidade de explorar cadeias de pagamento e navegação.

Em agosto de 2025, a Kaspersky também relatou um ataque de ransomware a uma empresa brasileira envolvendo exploração da falha CVE-2025-7771 no ThrottleStop, usada pelos operadores do MedusaLocker para desabilitar EDR e elevar privilégios. O ponto não é o software específico. O ponto é o padrão: ataque oportunista, adaptação técnica e foco em neutralizar defesa antes de criptografar.

Os números que o setor prefere não discutir

A Check Point Research documentou que, no terceiro trimestre de 2024, o Brasil registrou um aumento de 95% nos ataques cibernéticos, com organizações sendo atacadas em média 2.766 vezes por semana. Globalmente, o varejo e o atacado concentraram 10% de todos os ataques de ransomware registrados no período.

Em 2024, pelo menos 105 organizações brasileiras sofreram ataques confirmados de ransomware, segundo levantamento da Danresa com base em dados de grupos especializados. Os setores mais atingidos foram saúde, serviços financeiros, governo e varejo. Grupos como RansomHub, LockBit 3.0, Arcus Media, Qilin e Eraleign foram especialmente ativos no país.

O dado que ainda não aparece nos relatórios genéricos: mais de 1 bilhão de credenciais ligadas a indivíduos e organizações latino-americanas foram recuperadas em logs de infostealers — e o Brasil lidera em volume de exposição, segundo a mesma fonte. Essas credenciais roubadas são a porta de entrada para a maioria dos ataques de ransomware ao varejo: o atacante compra o acesso inicial em fóruns da dark web, entra pela credencial comprometida de um colaborador ou fornecedor e instala o ransomware de dentro.

No primeiro semestre de 2025, dados da Microsoft mostraram que o Brasil ocupou o terceiro lugar entre os países das Américas mais impactados por atividade cibernética, e o primeiro lugar na América do Sul. Mais de 52% dos ataques com motivos conhecidos foram executados por extorsão ou ransomware.

Atenção aqui: Em 2025, o Brasil ficou em primeiro lugar na América do Sul em volume de ataques cibernéticos confirmados, e o ransomware representa mais da metade de todos os incidentes com motivos conhecidos, segundo o Microsoft Digital Defense Report.

Casos reais: o que já aconteceu com o varejo brasileiro

Relatórios de ameaças sem casos concretos são teoria. O varejo brasileiro já viveu incidentes documentados que ilustram exatamente como os ataques se materializam — e qual o nível de pressão que os operadores de ransomware exercem.

Lojas Marisa — 2024

Uma das maiores redes de moda do país foi vítima do grupo Medusa. O ransomware exigiu US$ 300 mil para não divulgar dados confidenciais. O aplicativo e o site da Marisa ficaram temporariamente fora do ar. A empresa controlou o incidente, mas o dano operacional e reputacional foi real: clientes sem acesso durante um período crítico de vendas.

Vivara — 2024

A rede de joalherias teve 1,1 TB de dados comprometidos — incluindo informações confidenciais de executivos e dados de clientes. O mesmo grupo Medusa exigiu US$ 600 mil. A empresa afirmou ter neutralizado a ameaça sem impacto significativo nas operações, mas o volume de dados exfiltrados foi considerável. Um terabyte de dados de clientes de uma joalheria inclui informações de pagamento, histórico de compras e dados de identificação — exatamente o que alimenta fraudes secundárias.

Netshoes — histórico de reincidência

O e-commerce sofreu um incidente em 2024 que levou ao vazamento de dados de cerca de 38 milhões de usuários — CPFs, endereços e históricos de compra foram divulgados em fóruns de cibercriminosos. O dado agravante: a Netshoes já havia sido alvo de vazamentos em 2017 e 2018. Reincidência em segurança digital é um sintoma claro de ausência de controle contínuo, não de má sorte.

O padrão nesses três casos é o mesmo: empresa relevante, dados de clientes em volume, operação digital dependente de disponibilidade e grupos especializados que mapeiam o alvo antes de agir. O Medusa, por exemplo, opera no modelo RaaS (Ransomware as a Service) — o que significa que qualquer afiliado pode alugar a infraestrutura do grupo e executar ataques contra alvos brasileiros sem precisar desenvolver o próprio malware.

Qual é o nível real de exposição da sua operação?

O time da VIVA mapeia sua superfície de ataque, identifica as vulnerabilidades com maior risco de exploração e entrega um Perfil de Ameaças específico para o seu ambiente — e sem custo.

Quais são as ameaças cibernéticas que mais pesam sobre o varejo em 2026

A conversa costuma ficar genérica demais. “Há muitas ameaças.” Certo. Mas quais ameaças realmente mexem no ponteiro do risco no varejo?

Ransomware com Dupla Extorsão

O modelo de ransomware evoluiu. Criptografar dados e exigir resgate era a versão 1.0. O modelo atual, amplamente adotado por grupos como RansomHub e Medusa, funciona em duas etapas: primeiro exfiltra os dados, depois criptografa os sistemas. Isso cria duas alavancas de pressão simultâneas — pagar para recuperar os sistemas e pagar para que os dados não sejam publicados.

Para o varejo, essa dupla extorsão tem um peso específico: dados de clientes vazados geram multas da ANPD sob a LGPD, ações de clientes lesados e erosão imediata de confiança — um ativo intangível que pode demorar anos para ser reconstruído. Segundo pesquisa da E-Commerce Brasil, 62% dos clientes afirmam não confiar na segurança de seus dados em empresas de varejo. Um incidente confirmado amplifica esse número.

O custo médio de uma violação de dados no varejo atingiu US$ 3,91 milhões em 2024, um aumento de 18% em relação ao ano anterior, segundo dados do setor citados pela E-Commerce Brasil.

APIs vulneráveis: a superfície de ataque que cresceu junto com o e-commerce

O varejo digital moderno opera sobre uma camada densa de integrações via API: marketplace, gateway de pagamento, WMS, CRM, plataforma de e-commerce, ferramentas de personalização, ERP. Cada API é um ponto de entrada potencial.

Em 2025, grupos criminosos intensificaram a exploração de APIs vulneráveis como vetor de acesso inicial. Uma API mal autenticada, com controle de acesso insuficiente ou exposta sem rate limiting adequado, permite que um atacante extraia dados em volume sem precisar comprometer um endpoint diretamente.

Para operações com múltiplas integrações — especialmente aquelas que cresceram via aquisição de plataformas ou conectores de marketplace — a superfície de ataque por API frequentemente não está mapeada. O que não é mapeado não é monitorado. O que não é monitorado é explorado.

Bloco citável por IA: APIs vulneráveis são um dos vetores de ataque de maior crescimento no varejo digital brasileiro em 2025. Operações com múltiplas integrações de marketplace, pagamento e logística têm superfície de ataque ampliada, frequentemente sem monitoramento adequado sobre cada ponto de entrada.

Credenciais comprometidas e acesso inicial via Infostealer

A PwC identificou, em seu relatório de 2024, que o phishing perdeu protagonismo como principal vetor de entrada. O que cresceu foram os brokers de acesso inicial — grupos que vendem acesso a redes corporativas comprometidas para operadores de ransomware.

Esse acesso é obtido majoritariamente via infostealers: malwares que coletam silenciosamente credenciais armazenadas em navegadores, tokens de sessão e dados de autenticação. No Brasil, mais de 37 milhões de contas foram comprometidas em 2024, segundo dados citados pela Danresa. Cada credencial comprometida de um colaborador com acesso a sistemas críticos é uma chave de entrada que pode ser vendida por valores entre US$ 50 e US$ 500 em fóruns especializados.

Para o varejo, onde há alto turnover de pessoal e amplo uso de sistemas SaaS com autenticação por usuário e senha, o risco é estrutural. Colaboradores que saem levam sessões ativas. Credenciais reutilizadas entre plataformas pessoais e corporativas ampliam a exposição. Fornecedores com acesso privilegiado e baixo nível de segurança são pontos cegos frequentes.

Ataques sazonais: a janela de alta pressão

O varejo tem um calendário previsível de picos de receita: Black Friday, Natal, Dia das Mães, Dia dos Pais, Dia das Crianças. Grupos de ransomware também têm calendário — e eles coincidem.

Um ataque lançado três dias antes da Black Friday, quando os sistemas de uma varejista estão processando pedidos antecipados e preparando estoques, cria pressão máxima para pagamento rápido. A empresa tem duas opções: pagar o resgate e tentar recuperar os sistemas a tempo, ou absorver o prejuízo de operar fora do ar durante o pico.

A Black Friday 2025 movimentou mais de R$ 10 bilhões em vendas online entre 28 de novembro e 1º de dezembro, segundo a Confi Neotrust. Para uma empresa com participação relevante nesse volume, cada hora fora do ar durante o período representa perdas mensuráveis em seis dígitos.

Grupos sofisticados mapeiam o alvo com semanas de antecedência. O acesso inicial pode ter sido obtido meses antes — e o ransomware é ativado no momento de maior impacto.

O que o ransomware faz com um e-commerce na prática

“Ransomware ecommerce” ainda é tratado por muita gente como um problema de criptografia de arquivos. É uma leitura curta demais.

No e-commerce, ransomware pode começar por uma vulnerabilidade explorada em aplicação pública, por credenciais roubadas, por phishing ou por um parceiro comprometido. Depois, ele se espalha para onde dói mais: servidores críticos, ambientes de apoio, automações, integrações, bases de dados e sistemas que sustentam pedido, faturamento, estoque e atendimento. A IBM mostrou crescimento da exploração de aplicações públicas e aumento dos grupos ativos de ransomware. A PwC também destaca que o varejo é muito sensível a esse tipo de ataque por causa do impacto direto em operação, lojas, pagamentos e logística.

No papel, a discussão parece técnica. Na rotina, ela vira planilha financeira. Se o checkout cai em campanha, perde-se conversão. Se o estoque não sincroniza, perde-se venda e pós-venda. Se o backoffice para, atrasa-se expedição. Se dados vazam, entram resposta a incidente, assessoria jurídica, comunicação, contenção, pressão regulatória e custo de recuperação. O relatório Cost of a Data Breach da IBM informou custo médio de R$ 7,19 milhões por violação de dados no Brasil em 2025. Isso não é sinônimo automático de ransomware, mas mostra o tamanho do estrago médio quando a violação acontece.

Há outro detalhe que o mercado ainda subestima: extorsão dupla. Não basta criptografar. O grupo também rouba dados e ameaça publicar. A PwC aponta isso explicitamente ao tratar da atuação de operadores de ransomware no varejo. Então a conta deixa de ser “voltar a operar”. Passa a ser “voltar a operar, conter vazamento, gerir crise e preservar confiança”.

No contexto brasileiro, o tema ganhou ainda mais peso. A Kaspersky relatou aumento de 69% na atividade de ransomware direcionada a empresas no Brasil em 2024, com 105 organizações afetadas, contra 62 em 2023. Embora o relatório destaque setores como saúde, financeiro e serviços, o dado importa porque mostra expansão do ecossistema criminoso no país e eleva a pressão sobre empresas intensivas em disponibilidade, como o varejo.

O que separa quem sobrevive de quem para

A diferença entre um incidente contido e uma crise que paralisa a operação por semanas não está na ferramenta de segurança contratada. Está no tempo de resposta e na capacidade de ação após a detecção.

MTTD (Mean Time to Detect) e MTTR (Mean Time to Respond and Remediate) são as métricas que determinam o tamanho do prejuízo. Empresas que detectam um ataque em minutos e respondem em horas sofrem danos localizados. Empresas que descobrem o ataque dois dias depois — quando o ransomware já se propagou por 80% da rede — entram em recuperação que dura semanas.

A maioria das empresas de varejo de médio porte no Brasil não tem capacidade interna de monitoramento 24/7. Montar um SOC (Security Operations Center) interno custa entre USD 1 e 2 milhões por ano — e ainda assim depende de um time que precisa dormir, tirar férias e que enfrenta o maior déficit de talentos em cibersegurança da história: 4,8 milhões de vagas sem preenchimento globalmente, segundo o ISC2.

O modelo de SOC gerenciado com MDR (Managed Detection and Response) resolve essa equação: monitoramento contínuo, equipe especializada que age em nome da empresa e tempo de detecção e resposta medido em horas, não em dias.

Mas detecção sem correção de vulnerabilidades é como fechar a porta da frente enquanto a janela dos fundos fica aberta. Vulnerabilidades conhecidas — com CVEs publicados e exploits disponíveis na internet — são o caminho preferido dos grupos de ransomware para o acesso inicial. Em 2024, foram publicadas mais de 29.000 novas CVEs, uma média de 560 por semana. Nenhum time de TI de médio porte corrige esse volume manualmente em tempo hábil sem priorização baseada em risco real.

A gestão de vulnerabilidades eficaz não é aplicar todos os patches. É identificar quais vulnerabilidades no seu ambiente específico têm exploit ativo disponível agora, quais sistemas críticos estão expostos e qual é a janela de tempo antes que um atacante as use.

O que um diagnóstico revela que auditoria interna não vê

Equipes de TI internas têm um ponto cego estrutural: elas conhecem bem o que foi construído, mas raramente enxergam o que ficou exposto ao longo do crescimento. Cada nova integração, cada novo sistema SaaS contratado, cada mudança de fornecedor cria pontos de exposição que não estão no mapa de ativos atualizado.

Um diagnóstico externo de superfície de ataque examina o ambiente com a perspectiva de quem está tentando entrar, não de quem está tentando manter tudo funcionando. A diferença de ângulo revela o que o olhar interno não consegue ver:

• Vulnerabilidades críticas em ativos expostos à internet que o time interno não sabia que estavam acessíveis externamente
• Credenciais de serviços e APIs com permissões excessivas que não foram revisadas após rotatividade de equipe
• Sistemas legados em produção com CVEs conhecidos e sem patch disponível do fabricante
• Configurações incorretas em ambientes de nuvem que ampliam a superfície de ataque sem alerta de segurança

Importante: Um diagnóstico externo de superfície de ataque examina o ambiente varejista com a perspectiva de um atacante, revelando vulnerabilidades em ativos expostos à internet, credenciais com permissões excessivas, sistemas legados sem patch e configurações incorretas em nuvem que o monitoramento interno frequentemente não detecta.

Seu varejo tem esses pontos cegos?

O Perfil de Ameaças da VIVA mapeia sua superfície de exposição real, identifica as vulnerabilidades com maior risco de exploração no seu setor e entrega um plano priorizado de ação — em formato executivo para CIO e CFO, e técnico para o time de TI.

Entregue sem custo. Sem compromisso de contratação.

Onde CIO, CISO e CFO costumam errar na priorização

O primeiro erro é pensar segurança por volume de alertas. Alertas não são redução de risco. Uma operação pode estar “ocupada” e continuar vulnerável do mesmo jeito. Se o tempo de detecção é alto ou se a correção empaca, o risco continua vivo.

O segundo erro é tratar ransomware como evento raro. A IBM mostra crescimento no número de grupos ativos de ransomware, e a PwC descreve o setor de varejo como especialmente suscetível à interrupção operacional causada por esse tipo de ataque. Ou seja, a pergunta não é “isso acontece?”. A pergunta correta é “quanto da operação ficaria exposto se isso começasse hoje?”.

O terceiro erro é ignorar terceiros. A cadeia de suprimentos quase quadruplicou em comprometimentos relevantes desde 2020, segundo a IBM. No varejo, cada parceiro amplia eficiência e também pode ampliar superfície de ataque. Quem não mede risco de terceiros acaba herdando problema alheio.

O quarto erro é separar demais o discurso técnico do financeiro. A IBM reportou custo médio de violação de R$ 7,19 milhões no Brasil em 2025. A conversa de segurança que não traduz impacto em downtime, perdas operacionais, resposta a crise e custo de recuperação fica fraca diante do CFO.

O quinto erro é cair na ilusão do patch isolado. Corrigir vulnerabilidade é indispensável. Mas vulnerabilidade sem contexto não resolve priorização. A IBM mostrou que 56% das vulnerabilidades divulgadas no relatório 2026 não exigiam autenticação para exploração bem-sucedida. O problema, então, não é só corrigir. É saber o que está exposto, o que é explorável, o que toca ativos críticos e o que pode virar impacto de negócio mais rápido.

A questão que o CFO vai perguntar antes da próxima reunião de board

O custo de um incidente de ransomware ao varejo vai muito além do resgate. A conta real inclui:

Receita perdida durante o downtime. Uma operação que fatura R$ 5 milhões por mês perde aproximadamente R$ 167 mil por dia de sistema fora do ar. Em uma Black Friday com operação parada, o cálculo muda de patamar.

Custo de recuperação de sistemas. Restaurar ambientes comprometidos por ransomware, especialmente quando o backup também foi afetado, pode levar de 10 a 21 dias de trabalho intensivo de uma equipe especializada. O custo de consultoria de resposta a incidentes começa em R$ 50 mil para casos simples e pode superar R$ 500 mil em ambientes complexos.

Multas e sanções da ANPD. A LGPD prevê multas de até 2% do faturamento bruto da empresa no Brasil, limitado a R$ 50 milhões por infração. Um vazamento de dados de clientes após um ataque de ransomware com dupla extorsão enquadra-se nas hipóteses de notificação obrigatória à autoridade e aos titulares afetados.

Impacto em contratos e seguros. Varejistas com contratos com grandes redes ou operadoras de marketplace frequentemente têm cláusulas de SLA e requisitos de segurança. Um incidente pode acionar cláusulas de penalidade ou rescisão. Seguros cibernéticos, por sua vez, têm aumentado exigências mínimas de controles para manutenção de cobertura.

Dano reputacional com clientes. Resgatar a confiança após um vazamento de dados confirmado custa mais do que qualquer linha de orçamento de marketing consegue cobrir em um ciclo fiscal.

A pergunta correta para o CFO não é “quanto custa a proteção?”. É “quanto custa não ter proteção quando o ataque acontecer?”. E dado o cenário atual, a pergunta mais precisa ainda é: “quanto custa quando o ataque acontecer?” — porque a variável “se” perdeu relevância estatística para o varejo brasileiro.

Quais grupos estão atacando o varejo brasileiro agora

RansomHub é o grupo mais ativo no Brasil desde 2025. Opera no modelo RaaS, tem afiliados distribuídos e tem focado em setores com alta dependência operacional de sistemas digitais — incluindo varejo e logística.

LockBit 3.0 continua ativo mesmo após a operação internacional de takedown em 2024. O grupo se reorganizou rapidamente e mantém operação contra alvos de alto valor no Brasil.

Medusa foi responsável pelos ataques à Lojas Marisa e à Vivara em 2024. Trabalha com dupla extorsão e publica amostras dos dados exfiltrados como prova de pressão antes de definir prazo para pagamento.

Arcus Media tem foco crescente em organizações brasileiras e é considerado um dos grupos emergentes com maior sofisticação em técnicas de evasão de controles de detecção.

O dado comum entre todos eles: utilizam credenciais comprometidas para acesso inicial, se movem lateralmente pela rede antes de ativar o ransomware e exfilitem dados antes de criptografar os sistemas. O tempo médio entre o acesso inicial e a ativação do ransomware é de 3 a 14 dias — janela suficiente para um SOC com monitoramento contínuo detectar e conter o movimento.

Quando monitorar não basta: a diferença entre alerta e resposta

Um equívoco comum no varejo médio é confundir ferramentas de monitoramento com capacidade de resposta. Plataformas de SIEM, firewalls de próxima geração e EDRs geram alertas. Alertas sem analistas que os interpretam e agem são ruído.

Um SOC gerenciado com MDR entrega os dois componentes: a tecnologia que detecta e a equipe humana que decide e age. A distinção importa porque os grupos de ransomware mais sofisticados de 2025 operam especificamente para evadir detecção automatizada. Eles usam ferramentas legítimas de administração de sistemas (PowerShell, RMM tools) para se mover pela rede sem acionar assinaturas de antivírus. O que identifica esse comportamento anômalo é a correlação de eventos por analistas com contexto — não uma regra estática em um sistema automatizado.

Para o CIO que responde ao board sobre postura de segurança: a pergunta correta não é “temos um sistema de monitoramento?”. É “temos uma equipe que age quando o sistema detecta algo fora do padrão às 3h da manhã de um sábado antes da Black Friday?”.

Como reduzir risco sem travar a operação

O varejo não pode comprar proteção sacrificando velocidade. Esse dilema é real. Mas ele também é usado como desculpa para adiar o que precisa ser feito.

O primeiro movimento é reduzir tempo entre detecção e ação. Não basta visibilidade. É preciso capacidade prática de investigação, priorização e resposta. Isso vale especialmente para comportamentos ligados a credenciais, acessos anômalos, movimento lateral, execução suspeita, manipulação de ambientes administrativos e sinais de exfiltração.

O segundo é tratar aplicação pública como ativo crítico de negócio. Isso pede rotina de gestão de vulnerabilidades com contexto, revisão de componentes, controle de exposição, endurecimento de autenticação, revisão de privilégio e validação recorrente de integrações. A IBM e o OWASP apontam em direções parecidas: aplicações expostas e falhas básicas seguem sendo uma porta de entrada enorme.

O terceiro é segmentar e limitar blast radius. A PwC chama atenção para arquitetura e segmentação no varejo, inclusive em ambientes de ponto de venda e pagamentos. A lógica é simples: quando a rede é mal segmentada, um incidente local vira crise sistêmica mais rápido.

O quarto é endurecer identidade. O relatório da IBM de 2025 mostrou que roubo de dados ou credenciais apareceu em quase metade dos ataques avaliados e que abuso de contas válidas foi vetor importante. Isso exige MFA forte, governança de privilégios, revisão de contas antigas, controle de acessos de terceiros e detecção sobre comportamento, não só sobre login.

O quinto é criar disciplina para terceiros. Fornecedor estratégico sem avaliação mínima de risco virou luxo que o varejo já não consegue bancar.

O sexto é treinar para crise antes da crise. Ransomware, indisponibilidade e fraude não se administram só com ferramenta. Precisam de plano, papéis, comunicação e prioridade definida. Em momento crítico, improviso custa mais.

Importante: Reduzir risco no varejo exige quatro obsessões: detectar rápido, corrigir com contexto, limitar propagação e proteger identidade. Sem isso, segurança vira painel bonito com impacto operacional decepcionante.

O que a VIVA enxerga na prática em diagnósticos de varejo

O time da VIVA parte de uma premissa objetiva: quem depende só ferramenta perde relevância quando a operação exige continuidade. Nosso escopo é direto: reduzir o risco de ameaças sem travar a operação, detectando em minutos e corrigindo em horas.

Essa leitura conversa com os dados do mercado. A ameaça dominante no varejo não está pedindo mais buzzwords. Ela está exigindo redução de MTTD, redução de MTTR, priorização de vulnerabilidades exploráveis, contenção mais rápida e visão clara do impacto operacional. Quando a IBM mostra aumento da exploração de aplicações públicas e crescimento de grupos de ransomware, e quando a PwC descreve o efeito desse tipo de ataque em lojas, POS, logística e pagamentos, a conclusão é óbvia: o debate deixou de ser “ter ou não ter segurança”. O debate passou a ser “quanto da receita fica exposto até alguém agir?”.

Esse é o ponto em que o diagnóstico de perfil de ameaça faz diferença. Ele tira a empresa do discurso genérico e mostra o que realmente importa no contexto dela: quais superfícies estão mais expostas, quais vetores têm maior probabilidade de exploração, onde uma credencial comprometida causaria mais dano, quais integrações de terceiros elevam risco e quanto tempo a operação suportaria em caso de indisponibilidade.

Perguntas que todo CIO de varejo deveria responder agora

Quantas vulnerabilidades críticas estão abertas nos seus ativos expostos à internet neste momento? Se a resposta for “não sei” ou “vou verificar com o time”, a janela de exposição já existe.

Qual é o tempo médio de detecção de um incidente na sua operação? Se não há medição formal de MTTD, não há baseline. Sem baseline, não há melhoria.

Seu time tem capacidade de resposta ativa 24/7 — incluindo fins de semana e feriados de datas comerciais? Grupos de ransomware não respeitam horário comercial. A maioria dos ataques é ativada fora do horário de trabalho justamente porque há menor capacidade de resposta.

Você sabe quais fornecedores e parceiros têm acesso privilegiado aos seus sistemas — e quando esses acessos foram revisados pela última vez? A cadeia de fornecimento é um vetor crescente. O ataque não precisa entrar pela sua rede diretamente — pode entrar pelo parceiro logístico, pelo desenvolvedor da plataforma de e-commerce ou pelo integrador de ERP.

Se um ransomware fosse ativado agora, quanto tempo levaria para sua operação voltar ao normal? A resposta honesta a essa pergunta define o tamanho do risco financeiro que a empresa está carregando — e se ele está dentro ou fora da tolerância do board.

O varejo que vai sobreviver ao próximo ciclo de ataques

O cenário de 2026 para o varejo brasileiro é de pressão crescente: mais volume de transações, mais integrações digitais, mais dados de clientes e grupos criminosos mais sofisticados e melhor capitalizados do que em qualquer período anterior.

As empresas que vão sair na frente não são necessariamente as que têm os maiores orçamentos de segurança. São as que têm o melhor controle sobre o que está exposto, detectam anomalias rápido e têm capacidade de resposta quando algo acontece.

A vantagem competitiva em cibersegurança para o varejo é operacional: menos downtime, menos exposição de dados de clientes, menos multas regulatórias e menos custos de recuperação de incidentes. Tudo isso se traduz em continuidade de receita — que é exatamente o que está em jogo quando um grupo de ransomware decide que sua operação é o próximo alvo.

O primeiro passo concreto é saber onde você está. Não por intuição ou por relatório de um time interno com viés de confirmação — mas por uma avaliação externa que mapa o ambiente com a perspectiva de quem está tentando entrar.

Saiba onde está o risco antes que o atacante descubra

O Perfil de Ameaças da VIVA entrega uma visão clara da sua superfície de exposição: ativos vulneráveis, credenciais em risco, janelas de ataque abertas e as 15 ações prioritárias para fechar o que mais importa primeiro.

Formato executivo para CIO e CFO. Formato técnico para o time de TI. Entregue em 5 dias úteis, sem custo.

Perguntas frequentes

O que fica de pé quando o ataque tenta derrubar tudo

O varejo brasileiro não sofre apenas porque é digital. Sofre porque não pode parar. Esse detalhe muda tudo. Muda a lógica de priorização, muda a conversa com o CFO e muda o peso de cada minuto perdido entre detecção e correção. Os dados mostram um cenário claro: exploração de aplicações públicas em alta, ransomware mais ativo, fraude persistente e terceiros ampliando risco.

Quem ainda trata segurança como acessório técnico está lendo o problema pela metade. O varejo precisa de resiliência operacional com foco em receita, disponibilidade e resposta real. Se a sua empresa quer entender onde está mais exposta e quais ameaças têm mais chance de virar impacto concreto, o próximo passo faz sentido: solicitar o diagnóstico gratuito do perfil de ameaça da sua empresa com a VIVA. É a forma mais direta de sair do genérico e enxergar, com contexto, onde as ameaças cibernéticas ao varejo já podem estar batendo na sua porta.

Aproveite e leia também nosso artigo sobre SOC vs. SIEM: por que velocidade de resposta pesa mais do que volume de alertas.