Dados antigos e sistemas legados sem governança respondem por 41% das invasões, aponta relatório da Sophos
Credenciais comprometidas foram a causa raiz de 41% dos ataques cibernéticos pelo segundo ano consecutivo, segundo a Sophos. Backups antigos, sistemas legados e acessos nunca desativados formam uma superfície de ataque silenciosa, que cresce justamente onde as equipes de segurança não estão olhando.
Em um cenário corporativo cada vez mais orientado por dados, um dos maiores riscos de segurança pode estar nas informações que a empresa esqueceu que existem. Arquivos antigos, bancos de dados desatualizados, backups armazenados sem monitoramento, sistemas legados e credenciais sem uso ativo compõem um patrimônio digital invisível que permanece conectado, acessível e, na maioria dos casos, fora de qualquer política de governança.

“Existe uma falsa percepção de que apenas os ambientes críticos e ativos representam risco. Hoje, muitos ataques começam justamente em estruturas esquecidas pela operação, como backups antigos, sistemas legados ou acessos que nunca foram desativados. O dado sem gestão também se torna vulnerabilidade”, afirma Augusto Eduardo Fernandes Saraiva, Engineering Sales Specialist da Adistec, distribuidora de tecnologia da informação de valor agregado com atuação em 17 países da América Latina.
Os números confirmam o alerta do especialista. De acordo com o relatório Sophos Active Adversary Report 2025, credenciais comprometidas foram a principal causa raiz dos ataques cibernéticos pelo segundo ano consecutivo, presentes em 41% dos casos analisados.
O mesmo levantamento aponta que 56% dos invasores conseguiram acesso aos ambientes corporativos utilizando contas válidas e serviços remotos expostos, muitas vezes ligados a acessos antigos, permissões sem revisão e ativos pouco monitorados. Em outras palavras, mais da metade das invasões não arromba porta alguma: entra com a chave que a empresa esqueceu de recolher.
A dívida silenciosa da digitalização
A expansão acelerada da transformação digital fez com que as organizações acumulassem, ao longo de duas décadas, volumes gigantescos de informação, frequentemente sem políticas claras de classificação, retenção, descarte ou monitoramento contínuo.
Cada migração de sistema deixa para trás um ambiente antigo “temporariamente” ativo. Cada projeto encerrado abandona repositórios, contas de serviço e integrações. Cada desligamento mal processado preserva uma credencial válida. Mesmo sem uso operacional, tudo isso continua acessível em servidores, nuvens, dispositivos e ambientes híbridos.
O tema ganhou relevância à medida que os ataques passaram a explorar exatamente esses ambientes considerados secundários. Credenciais antigas, aplicações sem atualização e repositórios esquecidos viraram pontos de entrada preferenciais dos criminosos digitais por uma razão simples: recebem menos atenção dos controles tradicionais de segurança.
Quem acompanhou nossa recente série de artigos sobre Governança e Administração de Identidades (IGA, do inglês Identity Governance and Administration) reconhecerá o padrão de imediato: são as contas órfãs e os privilégios excessivos que a ausência de governança torna invisíveis para a própria organização, mas perfeitamente visíveis para o atacante.
A inteligência artificial agravou o desequilíbrio. Segundo Saraiva, o avanço da automação ampliou a capacidade dos criminosos de localizar falhas ocultas dentro das infraestruturas corporativas. “Os ataques estão cada vez mais rápidos e automatizados. Muitas vezes, sistemas esquecidos acabam sendo os alvos mais fáceis justamente porque ficaram anos sem revisão, atualização ou monitoramento adequado”, explica o executivo. Ferramentas de varredura automatizada não se cansam, não priorizam e não esquecem: percorrem a superfície exposta da empresa por inteiro, e encontram o que a operação deixou para trás.
O risco não é só invasão, é conformidade
Além do impacto operacional, a permanência de dados sem governança envolve exposição regulatória direta. Informações antigas podem conter registros financeiros, documentos internos, credenciais de acesso e dados pessoais protegidos pela Lei Geral de Proteção de Dados Pessoais (LGPD).
E a legislação brasileira é explícita: o tratamento de dados pessoais deve se encerrar quando a finalidade for alcançada, com eliminação dos dados ao término do tratamento, ressalvadas as hipóteses legais de conservação.
Um backup de dez anos atrás com cadastros de clientes não é apenas um risco de vazamento; é, em muitos casos, um tratamento de dados que já deveria ter sido encerrado. Nesse cenário, o problema não está somente em um incidente ativo, mas na simples existência de dados que ninguém governa, ninguém revisa e ninguém consegue justificar.
Como reduzir os riscos
Para o especialista da Adistec, o primeiro passo é entender que segurança digital não se resume a proteger os ambientes críticos, mas a manter controle sobre todo o ciclo de vida da informação. Isso significa mapear os ativos digitais, revisar continuamente as permissões de acesso, eliminar credenciais obsoletas e estabelecer políticas claras de retenção e descarte de dados.
É o mesmo princípio que sustenta a governança de identidades: acesso justificado, revisado e comprovável, valendo tanto para o sistema estratégico quanto para o servidor de arquivos que ninguém abre desde 2019.
A adoção de ferramentas de monitoramento contínuo, inventário automatizado de ativos e gestão integrada de ambientes híbridos também ganha importância diante da complexidade crescente das operações. Sistemas antigos e aplicações legadas precisam entrar na estratégia de segurança com o mesmo nível de atenção dedicado às infraestruturas modernas, inclusive porque, como mostram os dados da Sophos, é por eles que o invasor prefere começar.
“Muitas empresas ainda possuem ambientes criados há anos que continuam conectados à operação sem qualquer revisão de risco. O problema é que o criminoso não diferencia o que é antigo ou novo: ele procura o caminho mais vulnerável. E, hoje, esse caminho muitas vezes está nos dados esquecidos”, finaliza Saraiva.
O recado para gestores é direto. A superfície de ataque de uma organização não é o que ela usa; é tudo o que permanece armazenado, conectado e acessível, inclusive o que já saiu da memória da operação. Com a LGPD em plena fiscalização, as normas setoriais de segurança cibernética do sistema financeiro em vigor e os atacantes equipados com automação e inteligência artificial, a tendência é que a distância entre o dado esquecido e o incidente anunciado fique cada vez menor. Inventariar, governar e descartar deixou de ser higiene de TI para se tornar condição de sobrevivência digital.
Sobre a Adistec
A Adistec é uma das maiores distribuidoras de TI de valor agregado da América Latina, com presença em 17 países. Com sede em Miami (EUA), atua com quatro áreas distintas de negócios: Distribuição, Educação, Serviços Profissionais e Cloud Services. Mantém em seu portfólio parceiros estratégicos globais das principais marcas líderes focadas em soluções para infraestrutura de data center e segurança da informação, além de uma ampla rede de revendas com cobertura nacional.
Da coleta à decisão: como os dados estão redefinindo a Experiência do Cliente
A importância da organização de documentos digitais para adequação à LGPD
Data + AI Summit 2026 marca nova fase da IA corporativa, aponta Act Digital
Proteger dados é proteger pessoas, negócios e reputação de empresas e governos. Acesse a coluna sobre dados e conheça as melhores práticas e soluções disponíveis no mercado brasileiro e global.

Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!








