Seus dados corporativos na dark web podem estar sendo negociados agora mesmo e, pior ainda, a sua empresa provavelmente ainda não sabe. Isso porque não se trata de exagero, mas sim do estado atual do mercado digital do crime.

Para se ter uma ideia, em 2024 foi identificado mais de 586 anúncios de dados vazados de organizações brasileiras em fóruns da dark web. Além disso, mais da metade teve origem em violações diretas de empresas privadas e entidades públicas do país. E o dado que mais preocupa é que, na maioria dos casos, as organizações afetadas só descobriram o vazamento meses depois que ele aconteceu.

Inclusive, a média global para identificar uma violação de dados corporativos ultrapassa os 200 dias. Ou seja, são mais de duzentos dias em que credenciais de acesso, contratos, dados de clientes e informações financeiras circulam em marketplaces ilegais, sendo compradas, combinadas e usadas para planejar o próximo ataque contra a sua empresa.

• Desenvolvermos um post sobre ransomware no Brasil, o que os ataques recentes podem ensinar.

O que Exatamente é Vendido na Dark Web?

Existe um equívoco comum: muita gente imagina que a dark web é um lugar obscuro onde apenas grandes vazamentos de bancos e operadoras aparecem. No entanto, a realidade é bem mais granular e, consequentemente, mais assustadora para empresas de qualquer porte. Isso porque os dados corporativos circulam em três formatos principais:

1. Logs de infostealers

Infostealers são malwares especializados em capturar informações de dispositivos infectados. Na prática, programas como RedLine e Lumma Stealer varreram silenciosamente milhares de computadores corporativos brasileiros em 2025, coletando senhas salvas em navegadores, cookies de sessão, chaves de acesso VPN e credenciais de sistemas internos. Como resultado, essas informações passam a circular no mercado ilegal, ampliando significativamente o risco de novos ataques contra as empresas afetadas.

Um único log de infostealer, vendido por alguns dólares, pode dar acesso a dezenas de sistemas ao mesmo tempo, incluindo e-mail corporativo, ERP, plataformas bancárias e painéis de infraestrutura. Ou seja, com um investimento mínimo, criminosos conseguem explorar múltiplas portas de entrada simultaneamente. Consequentemente, o impacto para a empresa pode ser exponencial tanto em termos financeiros quanto operacionais.

• O detalhe mais preocupante: infostealers roubam também os cookies de sessão ativos, permitindo ao criminoso contornar a autenticação multifator sem precisar da senha.

2. Dumps de Banco de Dados

São exportações completas de bancos de dados obtidas por invasão direta. Podem conter cadastros de clientes, históricos de transações, dados de RH, contratos e senhas criptografadas.

Esses pacotes são classificados por setor um dump do setor financeiro vale consideravelmente mais que um de varejo.

3 Listas Combinadas e de Alvos

São compilações criadas a partir de múltiplos vazamentos anteriores, que, além disso, são frequentemente enriquecidas com dados públicos de redes sociais e LinkedIn. Como resultado, é gerado um dossiê detalhado de funcionários específicos, no qual são reunidos nome, cargo, e-mail corporativo, telefone e até mesmo senhas já utilizadas em outros serviços. Dessa forma, o nível de exposição e risco para a empresa é significativamente ampliado.

Essas listas são o insumo perfeito para ataques de phishing direcionado e engenharia social cirúrgica.

Como Descobrir Se os Dados da Sua Empresa Foram Vazados

Essa é a pergunta que todo gestor deveria fazer, mas poucos fazem antes que seja tarde. Há ferramentas e práticas que permitem detectar exposições antes que elas virem ataques:

Have I Been Pwned (HIBP)

O site haveibeenpwned.com é o ponto de partida mais acessível para verificar credenciais corporativas vazadas. Desenvolvido pelo pesquisador Troy Hunt, ele cruza endereços de e-mail com bases públicas de vazamentos conhecidos. Qualquer gestor pode verificar os domínios corporativos da empresa, basta inserir o e-mail e o sistema retorna em quais incidentes aquele endereço apareceu. É uma triagem inicial, mas já revela problemas graves que muitas empresas desconhecem.

Monitoramento Profissional de Dark Web

Essas compilações reúnem dados a partir de múltiplos vazamentos anteriores e, além disso, integram informações públicas de redes sociais e LinkedIn. A partir desse processo, agentes maliciosos criam dossiês detalhados de funcionários específicos, nos quais incluem nome, cargo, e-mail corporativo, telefone e até mesmo senhas já utilizadas em outros serviços. Dessa forma, eles ampliam significativamente o nível de exposição e risco para a empresa.

Análise de Credenciais via SIEM/SOC

Empresas que operam um SOC (Security Operations Center) ou utilizam um serviço gerenciado de segurança podem integrar feeds de inteligência de ameaças que avisam automaticamente quando credenciais do domínio aparecem em bases de vazamento. Essa integração transforma uma informação passiva em ação imediata: invalidar a credencial, forçar redefinição de senha e investigar o endpoint comprometido.

Meus Dados Estão na Bark Web e Agora?

Descobrir que dados corporativos estão circulando na dark web provoca reação de pânico. Mas o pânico é o pior conselheiro nesse momento. Existe um protocolo claro a seguir:

1. Contenha antes de remediar. Não apague logs, não reinstale sistemas sem uma cópia forense. A evidência da origem do vazamento é crucial para entender o escopo e cumprir as obrigações legais.
2. Identifique e invalide as credenciais expostas. Force a redefinição de senha de todos os usuários afetados e revogue tokens de sessão e cookies ativos.
3. Mapeie o que foi exposto. Credenciais de e-mail? Acesso VPN? Dados de clientes? O escopo define a gravidade e determina a obrigatoriedade de notificação à ANPD.
4. Investigue o vetor de entrada. Como as credenciais foram obtidas? Phishing? Infostealer em endpoint? Reutilização de senha? Sem entender a origem, o problema se repete.
5. Implemente monitoramento contínuo. Um vazamento descoberto hoje não é o único. Com monitoramento automatizado, o próximo incidente é detectado em horas, não em meses.

• Notifique a ANPD, sempre que necessário. Afinal, a LGPD exige a comunicação à Autoridade Nacional de Proteção de Dados em casos de risco relevante aos titulares. Além disso, o prazo recomendado é de até 72 horas após a ciência do incidente. Caso contrário, a omissão pode agravar as penalidades, que podem chegar a 2% do faturamento anual ou até R$ 50 milhões por infração.

Como Proteger os Dados Corporativos Antes que Cheguem à Dark Web

Reagir a um vazamento de dados corporativos é caro e desgastante. Prevenir é estratégico e muito mais barato. Essas são as camadas de proteção essenciais:

Gestão de Identidade e Acesso (IAM)

Implemente o princípio do menor privilégio, no qual cada usuário acessa apenas o que precisa para exercer a sua função. Dessa forma, o impacto de qualquer credencial comprometida é significativamente reduzido. Além disso, quando essa prática é combinada a um cofre de senhas corporativo e a uma autenticação multifator robusta via aplicativo autenticador (e não apenas SMS), essa camada, por sua vez, fecha grande parte das vulnerabilidades relacionadas à identidade.

EDR com Detecção Comportamental de Infostealers

Antivírus tradicionais não detectam infostealers modernos, pois os próprios cibercriminosos os desenvolvem especificamente para burlar essas verificações. Por esse motivo, soluções de EDR (Endpoint Detection and Response) de nova geração monitoram o comportamento dos processos em tempo real e, além disso, identificam atividades suspeitas mesmo quando o malware ainda não possui uma assinatura conhecida.

Monitoramento Contínuo de Exposição Digital

O Dark Web Monitoring e o Digital Footprint Assessment rastreiam continuamente a surface web, deep web e dark web em busca de menções ao domínio e dados da empresa. A janela entre o vazamento e a detecção hoje é de mais de 200 dias para a maioria das empresas.

Política de Dispositivos e Software (MDM)

A maioria dos infostealers chega via download de software não autorizado. Políticas de controle de aplicações que permitem apenas softwares homologados pelo time de TI e soluções de gerenciamento de dispositivos (MDM) bloqueiam esse vetor antes que o malware tenha chance de se instalar.

Conclusão: Visibilidade É a Nova Linha de Defesa

A exposição de dados corporativos na dark web não é um risco futuro, é uma realidade presente para empresas de todos os portes no Brasil. Os números são claros: centenas de organizações brasileiras tiveram informações sigilosas anunciadas em fóruns clandestinos em 2024, e a grande maioria só descobriu o incidente meses depois, quando o estrago já estava feito.

Enquanto o cibercrime se organiza com velocidade e sofisticação crescentes, a maioria das empresas ainda opera no modelo reativo: age depois que o ataque acontece, e não antes.

Na Bitsafe, acreditamos que proteger uma empresa começa por enxergar o que os criminosos já enxergam.Se este conteúdo levantou dúvidas sobre a segurança dos dados da sua empresa, esse é exatamente o momento certo para agir antes que os dados cheguem a quem não deveria tê-los.