A segurança da informação deixou de ser um desafio restrito aos ambientes internos das empresas e passou a abranger toda a rede de fornecedores, parceiros e prestadores de serviço. Dados do relatório IBM X-Force Threat Intelligence indicam que 62% dos incidentes de segurança registrados em 2025 tiveram conexão direta com terceiros. Ao mesmo tempo, a superfície de ataque associada à cadeia de suprimentos quadruplicou na última década, conforme aponta o ENISA Supply Chain Threat Landscape 2025.

Esse cenário, portanto, evidencia uma mudança estrutural no modelo de risco cibernético corporativo. Para Jardel Torres, Sócio e Diretor Comercial (CCO) da OSTEC, empresa especializada em cibersegurança, a abordagem tradicional já não é suficiente. “Se antes bastava proteger as muralhas da própria casa, hoje o risco está distribuído por toda a rede de parceiros. A cadeia de suprimentos se tornou a nova superfície de ataque, e muitas empresas ainda não perceberam isso”, afirma.

Casos globais e o efeito cascata na cadeia de suprimentos
Ataques emblemáticos dos últimos anos ajudaram a consolidar essa percepção. O caso SolarWinds, em 2020, demonstrou como um ataque à cadeia de desenvolvimento de software pode comprometer atualizações legítimas, afetando milhares de organizações em todo o mundo. Na sequência, incidentes envolvendo Kaseya e MOVEit evidenciaram o efeito cascata gerado por vulnerabilidades em Managed Service Providers (MSPs) e ferramentas de transferência de arquivos, com roubo de dados em larga escala e paralisação de operações críticas.

Mais recentemente, episódios como o comprometimento do CodeIntegrity SDK, amplamente utilizado por aplicativos de fintechs, a exploração de vulnerabilidade crítica no ConnectWise ScreenConnect e o ataque à fornecedora Cloud-Ops-Pro reforçaram que o problema é estrutural e recorrente. Nessas situações, bibliotecas, ferramentas e fornecedores tornaram-se vetores para ataques de ransomware e exfiltração de dados em ambientes AWS e Azure.

Segundo Cassio Brodbeck, CEO do Grupo OSTEC, a tendência é de continuidade e maior sofisticação. “Esses incidentes mostram que o atacante não precisa mais atacar diretamente a empresa-alvo. Ele explora o elo mais frágil da cadeia e escala o ataque. É um modelo que veio para ficar”, explica.

No Brasil e na América Latina, o impacto também é relevante. Casos de fraudes associadas ao PIX e o ataque a um grande hospital em São Paulo resultaram em cancelamento de consultas, cirurgias e comprometimento de serviços essenciais. Além disso, um incidente no varejo latino-americano expôs dados de clientes por meses devido a uma API mal configurada em um integrador de pagamentos. “A proximidade cultural e o modelo de negócios baseado em confiança acabam mascarando riscos reais”, alerta Jardel Torres.

Para empresas que desejam agir rapidamente, o executivo sugere um plano inicial simples e prático:

– Listar os 10 fornecedores mais críticos e mapear exatamente quais sistemas e dados eles acessam;

– Revisar os contratos desses fornecedores, com foco em cláusulas de segurança e resposta a incidentes;

– Revisar acessos de terceiros, ativando MFA, logs, controle de horários e privilégios;

– Discutir internamente: “O que acontece se um fornecedor for atacado?” — e quais impactos isso teria no negócio.

De acordo com a OSTEC, a maioria dos incidentes segue ligada a falhas nos pilares de pessoas, processos e tecnologia, incluindo ausência de cultura de segurança, auditorias superficiais, contratos frágeis e conexões remotas inseguras. Diante disso, os especialistas recomendam estratégias integradas de governança, due diligence, adoção de Zero Trust, gestão de acessos privilegiados (PAM) e monitoramento contínuo da superfície de ataque externa.

No cenário atual, a cadeia de suprimentos deixou de ser um elo invisível e passou a ocupar posição central entre os principais vetores de risco cibernético corporativo.