Em 2025, vulnerabilidades antigas ainda estão entre as mais exploradas em ataques no Brasil. ESET aponta falha crítica ignorada por empresas.
Mesmo em 2025, brechas de segurança conhecidas há anos ainda são amplamente exploradas por cibercriminosos no Brasil. O cenário, além de preocupante, expõe uma fragilidade estrutural: empresas e usuários continuam negligenciando atualizações básicas de sistemas, criando uma espécie de “convite aberto” a infecções por malware e outras ameaças digitais.
O alerta vem da ESET, referência global em cibersegurança, que analisou dados de sua base de telemetria nos primeiros quatro meses do ano. O levantamento revela que os chamados exploits antigos ainda estão entre os vetores de ataque mais detectados no país, indicando um atraso recorrente na mitigação de riscos que, em muitos casos, já são conhecidos há muito tempo.
Vulnerabilidades conhecidas
Não se trata de ameaças sofisticadas ou inéditas. O que mais chama atenção é justamente o oposto: brechas com correções disponíveis há anos seguem sendo portas de entrada comuns para ciberataques. Um exemplo gritante é a CVE-2017-11882, uma falha no Microsoft Office explorada há mais de sete anos e ainda usada em campanhas de e-mail malicioso voltadas a empresas.
"Em muitos casos, o ataque nem precisa de interação do usuário — basta que o sistema esteja vulnerável e exposto", explica Daniel Barbosa, pesquisador de segurança da ESET Brasil. Segundo ele, os criminosos continuam abusando de métodos antigos porque, infelizmente, ainda funcionam.
Esse tipo de exploração serve, muitas vezes, como ponto de partida para infostealers (malwares que roubam credenciais e dados sensíveis) e RATs (trojans de acesso remoto que permitem o controle indevido de dispositivos).
Números que preocupam
O Brasil não está sozinho nesse problema. De acordo com o Data Breach Investigations Report 2025, da Verizon, a exploração de falhas cresceu 34% como método inicial de invasão em sistemas, sendo responsável por 1 em cada 5 incidentes de acesso não autorizado. Já o M-Trends 2024, da Mandiant, mostra que 33% dos casos de comprometimento começam justamente com a exploração de vulnerabilidades — um dado estável por cinco anos consecutivos.
Barbosa ressalta que grupos sofisticados preferem investir em falhas zero-day, mas muitos continuam se aproveitando de brechas antigas justamente porque ainda encontram infraestrutura desatualizada e despreparada. “Enquanto houver sistemas vulneráveis, essas falhas continuarão sendo exploradas — e com sucesso.”
18 mil novas vulnerabilidades registradas em 2025
Além das brechas conhecidas, o volume de novas vulnerabilidades segue em alta. Só nos primeiros meses de 2025, mais de 18 mil registros foram adicionados ao banco de dados do CVE Details, fonte global de catalogação de falhas de segurança.
Entre os softwares com maior número de vulnerabilidades reportadas estão:
Navegadores web
Sistemas operacionais
Plataformas de colaboração remota
Soluções de VPN
A diversidade de alvos amplia ainda mais o desafio da proteção — tanto para empresas quanto para usuários comuns.
Como se proteger
A ESET reforça que a prevenção passa por um conjunto de ações contínuas — e não apenas por tecnologias. Confira algumas recomendações-chave:
Atualizações constantes
Aplique os patches de segurança assim que forem disponibilizados pelos fornecedores.
Gestão de privilégios
Limite o acesso de usuários e sistemas apenas ao necessário.
Conscientização dos colaboradores
Invista em treinamentos regulares sobre phishing, e-mails maliciosos e boas práticas digitais.
Soluções de segurança robustas
Mantenha o antivírus e as ferramentas de proteção de endpoint sempre atualizados e configurados com detecção proativa.
“A proteção eficaz vai além de adquirir uma solução de segurança, ela precisa estar integrada a processos contínuos de atualização, gestão de acessos e educação digital”, complementa Barbosa.
Seu sistema está atualizado? Os colaboradores da sua empresa sabem identificar um golpe? A cultura de segurança digital começa por pequenas atitudes. Vale revisar agora mesmo.
Em 2025, vulnerabilidades antigas ainda estão entre as mais exploradas em ataques no Brasil. ESET aponta falha crítica ignorada por empresas.
Mesmo em 2025, brechas de segurança conhecidas há anos ainda são amplamente exploradas por cibercriminosos no Brasil. O cenário, além de preocupante, expõe uma fragilidade estrutural: empresas e usuários continuam negligenciando atualizações básicas de sistemas, criando uma espécie de “convite aberto” a infecções por malware e outras ameaças digitais.
O alerta vem da ESET, referência global em cibersegurança, que analisou dados de sua base de telemetria nos primeiros quatro meses do ano. O levantamento revela que os chamados exploits antigos ainda estão entre os vetores de ataque mais detectados no país, indicando um atraso recorrente na mitigação de riscos que, em muitos casos, já são conhecidos há muito tempo.
Vulnerabilidades conhecidas
Não se trata de ameaças sofisticadas ou inéditas. O que mais chama atenção é justamente o oposto: brechas com correções disponíveis há anos seguem sendo portas de entrada comuns para ciberataques. Um exemplo gritante é a CVE-2017-11882, uma falha no Microsoft Office explorada há mais de sete anos e ainda usada em campanhas de e-mail malicioso voltadas a empresas.
"Em muitos casos, o ataque nem precisa de interação do usuário — basta que o sistema esteja vulnerável e exposto", explica Daniel Barbosa, pesquisador de segurança da ESET Brasil. Segundo ele, os criminosos continuam abusando de métodos antigos porque, infelizmente, ainda funcionam.
Esse tipo de exploração serve, muitas vezes, como ponto de partida para infostealers (malwares que roubam credenciais e dados sensíveis) e RATs (trojans de acesso remoto que permitem o controle indevido de dispositivos).
Números que preocupam
O Brasil não está sozinho nesse problema. De acordo com o Data Breach Investigations Report 2025, da Verizon, a exploração de falhas cresceu 34% como método inicial de invasão em sistemas, sendo responsável por 1 em cada 5 incidentes de acesso não autorizado. Já o M-Trends 2024, da Mandiant, mostra que 33% dos casos de comprometimento começam justamente com a exploração de vulnerabilidades — um dado estável por cinco anos consecutivos.
Barbosa ressalta que grupos sofisticados preferem investir em falhas zero-day, mas muitos continuam se aproveitando de brechas antigas justamente porque ainda encontram infraestrutura desatualizada e despreparada. “Enquanto houver sistemas vulneráveis, essas falhas continuarão sendo exploradas — e com sucesso.”
18 mil novas vulnerabilidades registradas em 2025
Além das brechas conhecidas, o volume de novas vulnerabilidades segue em alta. Só nos primeiros meses de 2025, mais de 18 mil registros foram adicionados ao banco de dados do CVE Details, fonte global de catalogação de falhas de segurança.
Entre os softwares com maior número de vulnerabilidades reportadas estão:
A diversidade de alvos amplia ainda mais o desafio da proteção — tanto para empresas quanto para usuários comuns.
Como se proteger
A ESET reforça que a prevenção passa por um conjunto de ações contínuas — e não apenas por tecnologias. Confira algumas recomendações-chave:
“A proteção eficaz vai além de adquirir uma solução de segurança, ela precisa estar integrada a processos contínuos de atualização, gestão de acessos e educação digital”, complementa Barbosa.
Seu sistema está atualizado? Os colaboradores da sua empresa sabem identificar um golpe? A cultura de segurança digital começa por pequenas atitudes. Vale revisar agora mesmo.