Quando as premissas de proteção não evoluem na velocidade das ameaças, o problema deixa de ser operacional e passa a ser estrutural.
Quando ferramentas, equipes e processos aparentemente estão em dia, mas os ataques não param de crescer, o problema é que boa parte dessas arquiteturas foi calibrada para um modelo de ataque que já mudou.
E os vetores que mais crescem em 2026 exploram exatamente as lacunas que esse descompasso deixa abertas.
Três deles merecem atenção imediata.
- Phishing AiTM: quando o MFA deixa de ser barreira suficiente
O phishing não é mais o que era.
Na sua forma mais sofisticada — conhecida como AiTM, Adversário no Meio — o atacante não tenta roubar a senha. Ele atua como um proxy reverso entre o usuário e o serviço legítimo de autenticação, posicionando-se no fluxo de comunicação para capturar a sessão já autenticada, incluindo o token gerado após a validação bem-sucedida do MFA.
O MFA funciona. A autenticação acontece normalmente. E ainda assim, o acesso é comprometido.
Para arquiteturas que tratam o MFA como controle terminal de identidade, esse é um ponto cego estrutural. Não há credencial comprometida de forma clássica. Não há falha de autenticação detectável. Sob a ótica dos controles tradicionais, o acesso parece completamente legítimo.
Isso muda o eixo do problema: não basta proteger a autenticação. É preciso monitorar o comportamento depois dela.
Onde esse token está sendo usado? Em que contexto? Com que padrão de acesso? A partir de qual origem?
Esse tipo de análise exige ferramentas com visibilidade comportamental e capacidade de correlacionar identidade, contexto e atividade em tempo real — não apenas registrar o evento de login.
- Movimentaçào lateral: a contenção já não pode operar em tempo humano
Em ataques bem conduzidos, o intervalo entre o acesso inicial e a expansão interna é curto. Muito curto. Em alguns casos registrados, a progressão acontece em minutos — não em horas.
Isso tem uma consequência direta: ferramentas e processos de resposta calibrados em ciclos humanos de triagem, validação e aprovação chegam tarde por design. Não por falha de execução — por limitação estrutural de velocidade.
O agravante é que essa movimentação lateral frequentemente não usa exploits visíveis. O atacante opera com credenciais legítimas, ferramentas nativas do ambiente, comportando-se como um usuário autorizado, muitas vezes com perfil administrativo, sem executar um único arquivo malicioso.
Cobrir esse vetor exige ferramentas com visibilidade de tráfego leste-oeste, correlação comportamental entre contas e ativos, e capacidade de resposta automatizada antes que a cadeia se complete.
- Identidades não humanas: a superfície que o mercado ainda subestima
Existe uma superfície de ataque que cresce em relevância enquanto recebe menos atenção do que deveria: as identidades não humanas.
Contas de serviço, tokens OAuth, chaves de API, service principals, credenciais de integração. Elementos que operam de forma contínua, concentram privilégios elevados e, na maioria dos ambientes, permanecem com visibilidade limitada e controles de proteção significativamente mais fracos do que as contas humanas equivalentes.
À medida que os ataques avançados migram de abordagens centradas em malware para modelos baseados em credenciais e abuso de acesso legítimo, essas identidades se tornam rotas silenciosas e persistentes de comprometimento. Comprometer um token ou uma credencial de serviço já é suficiente para enumerar o ambiente, acessar dados sensíveis e pavimentar o caminho para movimentos posteriores, sem disparar um único alerta de endpoint.
O padrão comum entre os três vetores
AiTM, movimentação lateral e exploração de identidades não humanas têm origens técnicas distintas. Mas expõem o mesmo problema: arquiteturas com ferramentas corretas para camadas isoladas, mas sem integração suficiente entre elas.
Endpoint, rede, identidade e nuvem monitorados de forma independente criam lacunas nos pontos de intersecção, e é exatamente nesses pontos que os vetores acima operam.
A resposta não é substituir o que existe. É garantir que as ferramentas certas estejam integradas onde o ataque realmente acontece: cobrindo comportamento pós-autenticação, tráfego lateral interno e identidades não humanas com a mesma profundidade aplicada ao endpoint tradicional
Como a Blockbit aborda esse cenário
O Blockbit XDR, integrado nativamente ao Blockbit NDR e ao Blockbit SIEM & SOAR, foi desenvolvido para cobrir exatamente essas lacunas, com visibilidade unificada entre endpoint, rede, identidade e nuvem, detecção comportamental, CTI nativo atualizado e resposta orquestrada antes que a cadeia de ataque avance.
Não são produtos conectados por integração. São camadas de uma mesma arquitetura, desenvolvidas para operar juntas
Se você está em dúvida se a sua abordagem de cibersegurança atual alcança esses vetores, fale com um especialista da Blockbit para uma avaliação do seu ambiente.
Com mais de 5.000 clientes corporativos protegendo mais de 2 milhões de usuários, a Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.
Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.