O período entre dezembro e janeiro segue sendo um dos mais críticos para a segurança digital no Brasil e no mundo. Afinal, o recesso corporativo e o aumento na movimentação comercial de final de ano elevam os riscos.
Vulnerabilidade no fim de ano
“O ambiente corporativo fica mais vulnerável justamente quando equipes reduzidas operam em regime de plantão e funcionários temporários ou remanejados assumem tarefas sensíveis sem o devido preparo”, explica o especialista em segurança cibernética, CEO e fundador da Security First, Fernando Corrêa.
Um estudo da Verizon Data Breach Investigations Report revelou que 68% das violações globais envolvem o fator humano, incluindo phishing, erro operacional e uso inadequado de credenciais. A engenharia social continua sendo um dos vetores mais explorados, especialmente em períodos de maior estresse operacional como festas de fim de ano e férias coletivas.
Além disso, informações divulgadas pelo Ministério Público do Mato Grosso, com dados da Fortinet, identificaram 314,8 bilhões de atividades maliciosas direcionadas ao Brasil no primeiro semestre de 2025.
Treinamento é fundamental
Esse cenário cria um ambiente propício para golpes direcionados a colaboradores que assumem plantões sem preparo, lidam com processos críticos e nem sempre têm autonomia ou conhecimento técnico suficiente para identificar comportamentos suspeitos. Fernando Correa explica que o problema não é apenas a falta de monitoramento, mas a ausência de uma cultura preventiva.
“O criminoso digital age de forma estratégica: ele sabe que dezembro e janeiro são meses em que as empresas funcionam com equipes reduzidas, grande volume de demandas e menor supervisão. A combinação de pressa, cansaço e falta de treinamento cria exatamente as brechas que eles procuram”
— Fernando Corrêa, CEO da Security First
Corrêa complementa: “Muitas vezes o risco começa com um colaborador que abre um e-mail de phishing, aprova um acesso suspeito ou executa um procedimento de rotina de maneira insegura porque nunca foi treinado para reconhecer ameaças”.
Sendo assim, é fundamental que o treinamento de segurança não seja sazonal, e sim parte da rotina. “Empresas que deixam para instruir funcionários somente quando se aproxima o final do ano acabam reagindo tarde demais. A conscientização contínua é o melhor antivírus”, destaca o especialista.
Aumento do tráfego de dados eleva os riscos
Em empresas de varejo, logística e serviços, o risco é ainda maior, já que o tráfego de dados aumenta significativamente nas semanas que antecedem o Natal. De acordo com o Relatório Setores E-commerce no Brasil, da Conversion, sites e aplicativos de e-commerce, somados, tiveram 32 bilhões de acessos no período de 12 meses até dezembro de 2024. Entre os dias 1º e 25 de dezembro de 2024, as compras online movimentaram R$ 26 bilhões, um crescimento de 20,6% em relação ao mesmo período do ano anterior, segundo estudo da Neotrust Confi, e a tendência é que esses números cresçam ainda mais em 2025.
Os ambientes sobrecarregados são alvo preferencial de ataques automatizados que testam credenciais vazadas, executam tentativas de força bruta ou buscam vulnerabilidades já conhecidas.
Fernando Corrêa reforça que, nesse período, o aumento do volume de acessos também afeta serviços como reservas de hotéis, companhias aéreas, transportadoras e plataformas de viagens, que vivenciam picos de tráfego semelhantes aos do varejo. “Qualquer sistema que opera com alta demanda tende a sofrer lentidão, falhas de autenticação e sobrecarga de consultas. Os criminosos exploram exatamente esse momento de instabilidade para se disfarçar em meio ao fluxo legítimo”, afirma.
Como as empresas podem se proteger?
Para o especialista, a principal defesa é a antecipação. “As organizações precisam se preparar para dezembro e janeiro com a mesma seriedade com que planejam suas metas comerciais. Segurança é planejamento”, orienta Corrêa.
A seguir, ele destaca as medidas essenciais:
- Reforçar o treinamento e criar protocolos para equipes de plantão: o treinamento prévio, mesmo para colaboradores que não atuam diretamente na área de tecnologia, faz diferença na redução de incidentes.
- Implementar autenticação multifator (MFA) em todos os acessos críticos: esse é um dos mecanismos mais eficazes e menos onerosos.
- Monitoramento contínuo e respostas automatizadas: as empresas não precisam esperar até janeiro para identificar atividades suspeitas.
- Revisão de acessos temporários e privilégios elevados: auditar permissões, desabilitar acessos antigos e garantir que ninguém tenha privilégios acima do necessário para a função.
- Testes de segurança e simulações antes do início do recesso: realizar testes de estresse, varredura de vulnerabilidades e simulações de ataques antes do recesso.
Preparação contínua evita prejuízos
Mesmo com a sazonalidade dos ataques, Corrêa aponta que a solução não está apenas em reforçar a segurança no final do ano, mas em adotar uma cultura de proteção permanente. “Investir em prevenção evita paradas críticas, perdas financeiras e danos à reputação. Segurança não deve ser vista como custo, e sim como continuidade dos negócios”, conclui.
