O período entre dezembro e janeiro, marcado por recesso corporativo e alta na movimentação comercial de final de ano, segue sendo um dos momentos mais críticos para a segurança digital no Brasil e no mundo. “O ambiente corporativo fica mais vulnerável justamente quando equipes reduzidas operam em regime de plantão e funcionários temporários ou remanejados assumem tarefas sensíveis sem o devido preparo”, explica o especialista em segurança cibernética, CEO e fundador da Security First, Fernando Corrêa.
Conforme o estudo Verizon Data Breach Investigations Report, 68% das violações globais envolvem o fator humano, incluindo phishing, erro operacional e uso inadequado de credenciais. O levantamento mostra que a engenharia social continua sendo um dos vetores mais explorados, especialmente em períodos de maior estresse operacional como festas de fim de ano e férias coletivas.
Segundo informações divulgadas pelo Ministério Público do Mato Grosso, dados da Fortinet identificaram 314,8 bilhões de atividades maliciosas direcionadas ao Brasil, no primeiro semestre de 2025.
Treinar os colaboradores é parte fundamental da segurança no período
Esse cenário cria terreno fértil para golpes direcionados a colaboradores que assumem plantões sem preparo, lidam com processos críticos e nem sempre têm autonomia ou conhecimento técnico suficiente para identificar comportamentos suspeitos. Fernando Correa explica que o problema não é apenas a falta de monitoramento, mas a ausência de uma cultura preventiva.
“O criminoso digital age de forma estratégica: ele sabe que dezembro e janeiro são meses em que as empresas funcionam com equipes reduzidas, grande volume de demandas e menor supervisão. A combinação de pressa, cansaço e falta de treinamento cria exatamente as brechas que eles procuram”, afirma Corrêa. “Muitas vezes o risco começa com um colaborador que abre um e-mail de phishing, aprova um acesso suspeito ou executa um procedimento de rotina de maneira insegura porque nunca foi treinado para reconhecer ameaças.”.
É fundamental que o treinamento de segurança não seja sazonal, e sim parte da rotina. “Empresas que deixam para instruir funcionários somente quando se aproxima o final do ano acabam reagindo tarde demais. A conscientização contínua é o melhor antivírus”, destaca o especialista.
Aumento do tráfego de dados no final do ano eleva os riscos
Em empresas de varejo, logística e serviços, o risco é ainda maior, já que o tráfego de dados aumenta significativamente nas semanas que antecedem o Natal. De acordo com o Relatório Setores E-commerce no Brasil, da Conversion, sites e aplicativos de e-commerce,
somados, tiveram 32 bilhões de acessos no período de 12 meses até dezembro de 2024. Entre os dias 1º e 25 de dezembro de 2024, as compras online movimentaram R$ 26 bilhões, um crescimento de 20,6% em relação ao mesmo período do ano anterior, segundo estudo da Neotrust Confi, e a tendência é que esses números cresçam ainda mais em 2025.
Os ambientes sobrecarregados são alvo preferencial de ataques automatizados que testam credenciais vazadas, executam tentativas de força bruta ou buscam vulnerabilidades já conhecidas.
Fernando Corrêa reforça que, nesse período, o aumento do volume de acessos também afeta serviços como reservas de hotéis, companhias aéreas, transportadoras e plataformas de viagens, que vivenciam picos de tráfego semelhantes aos do varejo. “Qualquer sistema que opera com alta demanda tende a sofrer lentidão, falhas de autenticação e sobrecarga de consultas. Os criminosos exploram exatamente esse momento de instabilidade para se disfarçar em meio ao fluxo legítimo”, afirma.
Como as empresas podem se proteger no período de festas
Para o especialista, a principal defesa é a antecipação. “As organizações precisam se preparar para dezembro e janeiro com a mesma seriedade com que planejam suas metas comerciais. Segurança é planejamento”, orienta Corrêa. A seguir, ele destaca as medidas essenciais:
1. Reforçar o treinamento e criar protocolos para equipes de plantão
Segundo Corrêa, o treinamento prévio, mesmo para colaboradores que não atuam diretamente na área de tecnologia, faz diferença na redução de incidentes. “É indispensável treinar quem vai ficar de plantão, mesmo que por poucos dias. Esses profissionais devem saber identificar phishing, revisar solicitações atípicas e reportar alertas com rapidez. Sem isso, a equipe vira alvo fácil”, explica.
2. Implementar autenticação multifator (MFA) em todos os acessos críticos
O especialista ressalta que esse é um dos mecanismos mais eficazes e menos onerosos. “Grande parte das invasões ainda ocorre por abuso de credenciais vazadas. Com MFA, o criminoso precisa de uma segunda barreira, o que reduz drasticamente a chance de acesso indevido, mesmo em períodos de maior pressão operacional”.
3. Monitoramento contínuo e respostas automatizadas
O CEO da Security First destaca que as empresas não precisam esperar até janeiro para identificar atividades suspeitas. “Soluções de monitoramento contínuo, aliadas a respostas automatizadas, ajudam a detectar anomalias antes que elas escalem. Isso é essencial quando a equipe está reduzida.”
4. Revisão de acessos temporários e privilégios elevados
O especialista lembra que dezembro também é um mês comum para contratações temporárias e remanejamentos internos. “É fundamental auditar permissões, desabilitar acessos antigos e garantir que ninguém tenha privilégios acima do necessário para a função. Esse tipo de higiene digital evita danos significativos.”
5. Testes de segurança e simulações antes do início do recesso
Por fim, o especialista em segurança digital recomenda que empresas realizem testes de estresse, varredura de vulnerabilidades e simulações de ataques antes do recesso. “Esses exercícios revelam fragilidades que passariam despercebidas. Empresas que fazem isso conseguem entrar no período de festas com muito mais tranquilidade.”
Preparação contínua evita prejuízos
Mesmo com a sazonalidade dos ataques, Corrêa aponta que a solução não está apenas em reforçar a segurança no final do ano, mas em adotar uma cultura de proteção permanente. “Investir em prevenção evita paradas críticas, perdas financeiras e danos à reputação. Segurança não deve ser vista como custo, e sim como continuidade dos negócios”, conclui.
