Verizon DBIR 2026: terceiros já respondem por 30% das violações corporativas
Relatório analisou mais de 22 mil incidentes e registra dobramento do envolvimento de fornecedores e parceiros como vetor de comprometimento em um ano.
Fornecedores, parceiros e plataformas SaaS estavam por trás de quase um terço das violações de dados corporativas no período analisado pelo mais recente Data Breach Investigations Report da Verizon. O relatório, publicado em maio, é o maior da série histórica iniciada em 2008: 22.052 incidentes analisados, 12.195 violações confirmadas, dados coletados entre novembro de 2024 e outubro de 2025.
O número que define o DBIR 2026 é o salto do risco de terceiros. No relatório do ano anterior, fornecedores e parceiros apareciam em cerca de 15% dos casos. Na edição atual, esse número chegou a 30%. Em um ano, a cadeia de suprimento de software passou de risco periférico a vetor estrutural.
O relatório mostra também uma aceleração no uso de vulnerabilidades técnicas como porta de entrada. Esse vetor cresceu 34% em relação ao ciclo anterior, chegando a 20% das violações. O alvo preferido dos atacantes são os edge devices expostos à internet: VPNs, firewalls e roteadores de perímetro. Credenciais comprometidas seguem como a entrada mais comum (22% dos casos), mas o crescimento da exploração de falhas técnicas sinaliza uma mudança de tática nos principais grupos de ataque. Ransomware continua dominando o quadro geral, presente em 44% das violações, ante 32% no ciclo anterior. Sessenta por cento dos incidentes ainda envolvem algum componente humano: phishing, envio incorreto de informações ou má configuração de sistemas.
Para o mercado brasileiro, o efeito mais direto é regulatório. A LGPD atribui responsabilidade compartilhada entre controlador e operador, o que torna sanções da ANPD por falhas na cadeia de suprimento cada vez mais plausíveis para integradores, desenvolvedores de SaaS e MSPs que processam dados de clientes corporativos. Com terceiros respondendo por 30% das violações globais, a pergunta que CISOs e diretores jurídicos precisarão responder com mais frequência é: o que está nos contratos com esses fornecedores em caso de incidente?
Cláusulas de auditoria, SLAs de notificação e direito de inspeção ainda são heterogêneos em contratos B2B no Brasil. A tendência documentada em RFPs de bancos e varejistas de grande porte é de endurecimento dessas exigências, e o DBIR 2026 vai reforçar essa direção. O CERT.br participa da composição da base de dados do relatório com incidentes do contexto LATAM.