Criminosos digitais estão explorando cada vez mais as fragilidades das cadeias de suprimentos de grandes empresas, transformando fornecedores em pontos de entrada para ataques. O número de invasões por meio de terceiros dobrou em 2024, refletindo o crescimento do setor ilícito de ransomware, que movimenta bilhões de dólares.
Segundo o relatório de 2025 da Verizon, 30% dos 7.965 ataques cibernéticos no ano passado tiveram origem em parceiros externos, contra 14,9% em 2023. Esses incidentes incluem desde brechas em softwares até prestadores de serviços de TI, inteligência artificial e call centers. Em alguns casos, os hackers miram o “elo fraco” para alcançar empresas maiores, multiplicando os resultados de um único ataque.
Exemplos recentes incluem a varejista britânica Marks & Spencer, afetada após falha em um fornecedor, e o NHS inglês, atingido após ataque à Synnovis, empresa de serviços laboratoriais. Além de grupos criminosos, atores estatais, especialmente apoiados pela Coreia do Norte, têm ampliado o uso dessa tática, combinando volume com sofisticação.
Especialistas alertam que esse tipo de ameaça pode gerar vítimas colaterais, já que muitas vezes o alvo original está protegido, mas parceiros menos preparados tornam-se portas de acesso. A crescente onda de ataques já pressiona governos a reforçar legislações. A União Europeia, com a diretiva NIS2, exige que setores críticos gerenciem riscos de fornecedores. O Reino Unido prepara um projeto para incluir provedores de software, enquanto os EUA também exigem maiores salvaguardas de empresas que atendem ao governo federal.
