Segurança

Ataques cibernéticos à cadeia de suprimentos exigem novas estratégias de proteção 

À medida que empresas tornam suas operações cada vez mais conectadas, a cadeia de suprimentos deixou de ser apenas um elo estratégico para a produção e a logística e passou a figurar como uma das principais afetadas por ataques hackers. Essas invasões estão se tornando mais frequentes, sofisticadas e capazes de atingir centenas ou até milhares de empresas simultaneamente a partir de uma única vulnerabilidade. 

CONTEÚDO RELACIONADO – Ciberataques a cadeia de suprimentos sobem de 15% para 30% em um ano

Pesquisas recentes mostram que os ataques à cadeia de suprimentos dobraram desde 2024. Casos como os ataques ao varejo no Reino Unido em 2025, o incidente envolvendo a Salesforce e as campanhas do malware Shai-Hulud mostram uma mudança importante na estratégia dos criminosos, que passaram a explorar relações de confiança entre fornecedores, parceiros e clientes para ampliar o alcance de suas ações. 

“Ao invés de invadir empresas individualmente, os criminosos cibernéticos passaram a explorar fornecedores, bibliotecas de código e plataformas amplamente utilizadas para disseminar ataques em larga escala. A cadeia de suprimentos digital se tornou um dos principais alvos dos criminosos justamente porque conecta diversos negócios”, explica Luiza Dias, diretora-presidente da GMO GlobalSign, Inc. para o Brasil, Autoridade Certificadora (AC) mundial, provedora líder em segurança de identidades. 

A executiva detalha que o problema vai além da exploração de vulnerabilidades conhecidas. Em muitos desses ataques, o ponto de entrada está em processos de desenvolvimento pouco protegidos, especialmente quando a assinatura de código é realizada de forma inconsistente entre equipes e pipelines de desenvolvimento. Sem controles robustos, atualizações maliciosas e componentes comprometidos conseguem se apresentar como softwares legítimos, abrindo caminho para invasões em ambientes considerados seguros. 

Quando diferentes vulnerabilidades se transformam em um único ataque 

Relatórios recentes da Group-IB mostram que os ataques à cadeia de suprimentos estão se tornando cada vez mais sofisticados e coordenados. O que antes eram incidentes isolados evoluiu para campanhas estruturadas, que combinam diferentes técnicas para ampliar seu potencial de impacto. 

O processo normalmente começa pela exploração de pacotes de código aberto comprometidos, utilizados para distribuir malware ou roubar credenciais de acesso. Em seguida, entram em cena ataques de phishing e o ransomware, levando usuários a fornecerem, muitas vezes sem perceber, informações que permitem aos criminosos acessar ambientes SaaS e pipelines de desenvolvimento (CI/CD). 

Os invasores também aproveitam credenciais obtidas em vazamentos anteriores para se passar por usuários legítimos e aprofundar sua presença dentro das organizações. Uma vez comprometidos os pipelines de desenvolvimento, torna-se possível manipular artefatos de software, atualizações e componentes que serão distribuídos para clientes e parceiros, especialmente quando as chaves de assinatura de código não estão devidamente protegidas ou os processos de assinatura são falhos. 

“Na prática, isso significa que softwares aparentemente confiáveis podem carregar componentes maliciosos, permitindo que o ataque ultrapasse a organização inicialmente afetada e alcance toda a cadeia de fornecimento. Trata-se de um ciclo que combina roubo de credenciais, comprometimento de software, movimentação lateral e, frequentemente, ransomware”, afirma Luiza. 

O cenário tende a se tornar ainda mais desafiador. Segundo a Group-IB, ferramentas baseadas em inteligência artificial já estão sendo utilizadas para identificar vulnerabilidades em velocidade sem precedentes, reduzindo o tempo necessário para que novos ataques sejam planejados e executados. 

Como fortalecer a segurança da cadeia de suprimentos

Diante desse cenário, proteger a cadeia de suprimentos exige uma abordagem que combine tecnologia, processos e governança. Luiza explica que um dos pilares dessa estratégia é a adoção do modelo Zero Trust, que parte do princípio de que nenhuma aplicação, dispositivo ou usuário deve ser considerado confiável automaticamente. 

Segundo o relatório ThreatLabz 2025 VPN Risk Report, da Zscaler, cerca de 81% das organizações devem adotar essa arquitetura até o fim deste ano. A própria CISA recomenda o Zero Trust como forma de ampliar a visibilidade sobre os ambientes, acelerar a detecção de ameaças e permitir respostas mais rápidas e coordenadas a incidentes. 

Os mesmos princípios precisam ser aplicados ao desenvolvimento de software. Cada nova versão, atualização ou componente deve ser tratada como potencialmente não confiável até que sua integridade seja validada por meio de processos rigorosos de verificação e assinatura. Isso significa fortalecer os pipelines de CI/CD, proteger as chaves criptográficas utilizadas na assinatura de código com módulos de segurança de hardware (HSMs) e integrar práticas modernas de Code Signing ao ciclo completo de desenvolvimento, garantindo a integridade do software desde sua criação até sua distribuição. 

Nesse contexto, a Infraestrutura de Chaves Públicas (PKI) desempenha um papel central na construção da confiança digital. É a PKI que sustenta os certificados de assinatura de código, permitindo validar a autenticidade de aplicações, artefatos de compilação e imagens de contêiner, além de impedir alterações não autorizadas durante o desenvolvimento ou a distribuição do software.

Quando integrada aos pipelines de CI/CD, a PKI também estabelece controles sobre quem pode assinar códigos, em quais condições e em que etapa do processo isso pode ocorrer. Dessa forma, reduz significativamente a possibilidade de que componentes maliciosos sejam distribuídos como se fossem legítimos. 

Além da assinatura de código, a PKI protege a comunicação entre sistemas por meio de criptografia e autenticação baseada em certificados digitais, reduzindo riscos de acesso não autorizado e contribuindo para o atendimento de requisitos regulatórios e normas de segurança. 

Confiança: o principal ativo a ser protegido

Os ataques à cadeia de suprimentos deixaram de ser eventos isolados para se tornar uma estratégia recorrente dos cibercriminosos justamente porque exploram o ativo mais valioso das organizações: a confiança. 

“Em um ambiente em que fornecedores, parceiros, desenvolvedores e clientes compartilham aplicações, dados e serviços digitais, uma única vulnerabilidade pode desencadear impactos em toda a cadeia de negócios. Por isso, proteger a integridade do software deixou de ser apenas uma medida técnica e passou a representar um requisito para garantir continuidade operacional, conformidade regulatória e resiliência empresarial”, diz Luiza. 

Ao combinar princípios de Zero Trust, uma infraestrutura robusta de PKI e processos consistentes de assinatura de código, as organizações reduzem significativamente sua superfície de ataque e recuperam o controle sobre aquilo que distribuem aos seus clientes e parceiros.

Em um cenário em que a confiança é constantemente colocada à prova, garantir que apenas softwares íntegros e verificados circulem pela cadeia de suprimentos é uma das formas mais eficazes de impedir que os cibercriminosos encontrem sua próxima porta de entrada.

Participe das comunidades IPNews no InstagramFacebookLinkedIn, WhatsApp

Newsletter

Inscreva-se para receber nossa newsletter semanal
com as principais notícias em primeira mão.


    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *