Infraestrutura Crítica sob Ataque: Energia, Água e Saúde como Novos Fronts da Guerra Cibernética
Em 2025, 50% de todos os ataques de ransomware globais atingiram setores críticos. O segmento de energia e utilities registrou aumento de 80% nos ataques em relação ao ano anterior. Em março de 2026, ataque patrocinado por estado comprometeu 200.000 sistemas da fabricante de dispositivos médicos Stryker. A CISA emitiu alerta formal pedindo que organizações críticas se preparem para interrupções cibernéticas.
Os números de 2025 removem qualquer ambiguidade sobre a direção da ameaça: 2.332 dos 4.701 incidentes de ransomware registrados no ano, ou 50% do total, atingiram setores críticos como manufatura, saúde, energia, transporte e serviços financeiros. O setor de energia e utilities registrou aumento de 80% nos ataques em relação a 2024. Utilities americanas sofreram 1.162 ataques cibernéticos em 2024, salto de quase 70% em relação aos 689 de 2023.
Os incidentes de 2026 confirmam a trajetória. Em março, atores patrocinados por estado comprometeram a Stryker, fabricante de dispositivos médicos, destruindo ou interrompendo mais de 200.000 sistemas, servidores e dispositivos móveis. Em fevereiro, ataque de ransomware ao University of Mississippi Medical Center forçou o fechamento de todos os 35 locais de clínicas do estado e o cancelamento de cirurgias eletivas. Em dezembro de 2025, ataque coordenado atingiu aproximadamente 30 instalações conectadas à rede de energia da Polônia.
A Mudança no Vetor de Ataque
O padrão mais alarmante não é o volume, é a sofisticação. O FBI identificou o FSB russo utilizando ferramentas customizadas contra infraestrutura Cisco em agosto de 2025. A CISA documentou grupos chineses como Volt Typhoon e Salt Typhoon empregando táticas "living-off-the-land", usando ferramentas legítimas do sistema operacional para se mover lateralmente sem acionar alertas tradicionais de segurança.
Em infraestrutura hídrica, o relatório do Drinking Water Inspectorate britânico revelou 15 notificações de ataques de fornecedores de água entre janeiro de 2024 e outubro de 2025. Em abril de 2025, hackers pró-russos assumiram o controle do sistema de uma pequena represa na Noruega e abriram uma válvula por quatro horas, explorando credenciais fracas em um painel de controle conectado à internet.
A Superfície de Ataque se Expandiu
Em abril de 2026, cada incidente grave rastreado por pesquisadores foi atribuído a um terceiro comprometido: fornecedor, prestador de BPO ou aplicação conectada via OAuth. A superfície de ataque deixou de ser o perímetro da organização para ser a cadeia de fornecedores digitais. Organizações de infraestrutura crítica frequentemente operam com redes de tecnologia operacional (OT) que foram projetadas décadas atrás sem consideração de conectividade com internet.
O que a CISA está Pedindo
Em maio de 2026, a CISA formalizou a orientação para que organizações de infraestrutura crítica preparem planos explícitos para operar sob interrupção cibernética, incluindo procedimentos manuais de fallback para sistemas de controle, comunicações alternativas quando redes primárias estiverem comprometidas, e exercícios regulares de simulação de ataque de largo espectro.
Para conselhos de administração, a questão não é mais se um ataque vai ocorrer. É se a organização consegue operar quando ele ocorrer.