PwC confirma o que muitos temiam: a IA virou ferramenta central do cibercrime
Durante anos, o debate sobre inteligência artificial e segurança cibernética girou em torno de um cenário hipotético: e se cibercriminosos começassem a usar IA de forma sistemática? O relatório Ameaças Dinâmicas Anuais 2026 da PwC encerra essa discussão com uma conclusão direta. O hipotético já é realidade, e a velocidade com que isso aconteceu surpreendeu até os especialistas mais preparados.
A PwC, que baseou o relatório no trabalho de sua equipe de resposta a incidentes, constata que agentes de ameaças não estão mais tratando a IA como um recurso adicional ou um aprimoramento pontual. Ela se tornou componente central das operações criminosas, usada para automatizar reconhecimento, acelerar o desenvolvimento de malware, gerar iscas de phishing convincentes e escalar campanhas de engenharia social em múltiplos idiomas e plataformas simultaneamente. O resultado é um aumento expressivo tanto no volume quanto na sofisticação dos ataques, vindo de um grupo muito mais amplo de atores do que o setor estava acostumado a enfrentar.
O que mudou: de aprimoramento a competência central
A distinção que a PwC faz entre IA como aprimoramento e IA como competência central não é semântica. Ela descreve uma mudança qualitativa na forma como ataques são planejados e executados. Quando a IA era apenas um recurso adicional, ela acelerava tarefas que humanos já faziam. Quando ela se torna central, ela muda o que é possível fazer, quem consegue fazer e em que escala.
Um dos exemplos mais reveladores citados no relatório é o caso do ReaperAI, um agente de prova de conceito projetado para funcionar como um testador de penetração autônomo, capaz de conduzir reconhecimento e executar exploits sem intervenção humana. Pouco tempo após seu lançamento público, um agente de ameaças com base na China lançou uma campanha de hacking usando uma ferramenta com capacidades muito similares. A janela entre uma nova capacidade de IA se tornar disponível e sua weaponização, segundo a PwC, está “diminuindo drasticamente”.
Esse encurtamento do ciclo de adoção é talvez o dado mais preocupante do relatório. Antes, havia um intervalo razoável entre o surgimento de uma nova tecnologia e sua incorporação em ataques sofisticados. Esse intervalo permitia que defensores se preparassem. Agora, ele praticamente não existe.
Phishing, engenharia social e a escala do problema
Entre as aplicações práticas mais documentadas, o phishing turbinado por IA representa uma mudança especialmente visível para qualquer pessoa com caixa de entrada de e-mail. Campanhas que antes exigiam redatores nativos para soar convincentes em diferentes idiomas agora são geradas automaticamente, personalizadas por contexto e escaladas para milhões de alvos com custo marginal próximo de zero.
A engenharia social avançou na mesma direção. Deepfakes habilitados por IA, falsificação de helpdesk de TI e campanhas de phishing em múltiplos estágios estão sendo usados para atacar não apenas usuários finais, mas equipes internas de suporte técnico, que muitas vezes têm acesso privilegiado a sistemas críticos. A sofisticação dessas abordagens torna a detecção por comportamento suspeito muito mais difícil do que era há dois anos.
Identidade como novo campo de batalha
Além da IA, o relatório da PwC identifica os ataques centrados em identidade como uma tendência dominante do cenário atual. A expressão usada para descrever essa mudança é precisa: adversários cada vez mais “fazem login em vez de invadir”. Em vez de explorar vulnerabilidades técnicas em sistemas, eles comprometem credenciais, tokens de sessão e acessos federados para entrar por onde qualquer usuário legítimo entraria.
Essa abordagem é mais eficiente porque contorna boa parte das defesas de perímetro que as empresas construíram ao longo dos últimos anos. Firewalls, sistemas de detecção de intrusão e monitoramento de tráfego anômalo são projetados para identificar comportamentos que se parecem com ataques. Quando o atacante usa credenciais legítimas, o comportamento inicial é indistinguível do de um funcionário real.
O problema se agrava quando se considera que identidades de máquinas, como tokens de API, certificados e credenciais de serviço, estão crescendo muito mais rápido do que as identidades humanas em ambientes corporativos modernos, e costumam receber menos atenção nos programas de gestão de identidade.
O lado da defesa: IA como maior oportunidade para quem protege
A PwC não apresenta apenas um diagnóstico sombrio. O relatório é explícito ao afirmar que a inteligência artificial representa também a maior oportunidade isolada para os defensores acompanharem o ritmo das ameaças, possibilitando detecção mais rápida, contenção automatizada e tomada de decisões baseada em inteligência em escala.
A lógica é simétrica: se a IA permite que atacantes operem em velocidade e volume que humanos não conseguem acompanhar manualmente, a defesa também precisa operar no mesmo registro. Analistas de segurança humanos processando alertas manualmente simplesmente não conseguem reagir na velocidade necessária quando o breakout time de um ataque, o tempo entre a entrada inicial e o movimento lateral dentro da rede, caiu para 27 segundos, conforme registrado no Relatório Global de Ameaças 2026 divulgado no início deste mês.
O que as empresas precisam fazer agora
As orientações práticas do relatório são diretas. As organizações precisam antecipar malwares que incorporam IA nativamente para evadir detecção, investir em defesas aprimoradas por IA, incorporar frameworks de IA na modelagem de ameaças e começar a se preparar para ameaças criptográficas pós-quânticas, que ainda não são prevalentes, mas representam um horizonte de risco que exige preparação antecipada.
A preparação para ameaças pós-quânticas merece atenção especial porque seu ciclo de implementação é longo. Substituir algoritmos criptográficos em sistemas legados e infraestrutura distribuída leva anos. Começar agora não é paranoia, é gestão de risco com horizonte adequado.
O cenário que o relatório desenha para os próximos meses
A conclusão central do relatório da PwC pode ser resumida em uma tensão: a mesma tecnologia que está amplificando as capacidades dos atacantes é a principal ferramenta disponível para quem defende. Não há caminho de volta para um cenário pré-IA, e esperar para ver como o mercado se ajusta não é uma estratégia viável quando o tempo de weaponização de novas capacidades se mede em semanas.
Empresas que trataram cibersegurança como custo de compliance estão operando com uma mentalidade que o relatório da PwC deixa clara: já não é suficiente. O cenário de ameaças de 2026 exige que segurança seja tratada como capacidade estratégica, com investimento proporcional ao risco real e não ao risco percebido dois anos atrás.
A IA virou arma. E a defesa que não souber usá-la com a mesma fluência está em desvantagem estrutural.
