Terceira edição do Inside Pentesting da Vantico analisou centenas de testes conduzidos pela Vantico em 2025 e o cenário de ameaças que se constrói em 2026.
A discussão sobre segurança ofensiva costuma girar em torno de um único problema: identificar vulnerabilidades.
Mas os dados da terceira edição do Inside Pentesting, um estudo anual produzido pela Vantico com base em centenas de pentest realizados, revelam que o verdadeiro gap pode estar em outro lugar.
Das vulnerabilidades classificadas como altas, 27% permanecem abertas por mais de 70 dias após a entrega do relatório.
Ou seja, mesmo com o relatório em mãos, as falhas já identificadas, classificadas e documentadas, muitas vezes até com recomendações de correção, as empresas não estão conseguindo corrigir no ritmo que as ameaças exigem.
O dado é preocupante por si só. Mas, no contexto atual, em que campanhas de phishing geradas com IA cresceram 1.265% e atacantes começam a explorar falhas publicadas em questão de horas, ele se torna ainda mais crítico.
O que mudou no perfil dos testes em 2025
O estudo também analisou como as empresas estão testando e revelou uma preferência na metodologia escolhida para os testes.
O gray box, modalidade em que o tester recebe contexto parcial antes da execução, foi utilizado em 55,9% dos projetos, superando o black box pelo segundo ano consecutivo.
Esse movimento reflete uma escolha estratégica: o gray box é especialmente indicado para empresas que querem simular o perfil de um atacante com acesso parcial ao ambiente, como acontece quando um parceiro é comprometido.
Outro dado que chama atenção é o crescimento das APIs como superfície de ataque testada: de 5,6% dos projetos em 2024 para 11,2% em 2025, praticamente o dobro.
Isso reflete a expansão das arquiteturas de microsserviços e integrações digitais, que ampliam significativamente a superfície de ataque das empresas sem que as equipes de segurança acompanhem no mesmo ritmo.
Misconfiguration ainda domina, mas o número surpreende
Security Misconfiguration (A05:2021) respondeu por 43,2% de todas as vulnerabilidades identificadas. Esse número representa mais que o dobro da segunda colocada, Identification and Authentication Failures, com 10,9%.
Isso representa que quase metade de todas as falhas encontradas em 2025 derivam desta vulnerabilidade.
Muitos problemas de misconfiguration já são amplamente conhecidos, com soluções publicadas e, mesmo assim, continuam extremamente recorrentes.
Outro dado interessante apontado foi de que as vulnerabilidades críticas caíram de 7,8% para 5,08%, e as altas de 15,4% para 8,01%.
Em um primeiro momento, essa parece ser uma boa notícia. Mas este número exige cautela, uma vez que menos vulnerabilidades críticas podem significar mais maturidade das empresas ou indicar que os ambientes mais críticos não estão sendo testados com a frequência necessária.
A correção não acompanhou o diagnóstico em 2025
Enquanto os números de vulnerabilidades encontradas trazem algum otimismo, os dados de remediação vão na direção oposta.
16% das vulnerabilidades críticas permaneceram sem correção por mais de 70 dias após a entrega do relatório. Para as altas, esse percentual sobe para 27%.
O estudo aponta que esse atraso pode estar ligado a duas causas: a dificuldade de integrar correções ao cotidiano operacional e a dificuldade de priorização, mesmo quando o relatório já traz classificações por impacto e probabilidade de exploração.
A consequência disso é uma ampla janela entre a identificação da falha e sua correção, o que mantém o ambiente extremamente vulnerável por mais tempo.
O estudo também revelou que esse dado mostra diferenças consideráveis por setor: Jurídico (11%), Turismo (14,3%) e Energia (16,7%) registraram as menores taxas de correção de vulnerabilidades críticas e altas, enquanto Telecomunicações e Varejo atingiram 100% de remediação.
Os dados completos de remediação por setor, incluindo os SLAs médios por severidade, estão disponíveis no estudo.
O balanço da segurança ofensiva em 2025
Os dados internos da Vantico devem ser analisados ao lado do que aconteceu no cenário de ameaças em 2025.
Phishing e engenharia social foram o principal vetor de ataque externo do ano, com a IA impulsionando as campanhas maliciosas. Houve um crescimento de 1.265% em ataques de phishing gerados com inteligência artificial, com mensagens cada vez mais personalizadas e difíceis de identificar.
Em 2025, 16% das violações de dados envolveram uso de IA pelos invasores, sendo 37% para geração de phishing e 35% para deepfakes.
Além disso, um alerta: o fator humano esteve presente em 60% dos vazamentos de dados do ano.
Todos esses dados reforçam por que a janela de 70 dias de exposição é tão perigosa. Os atacantes estão cada vez mais rápidos e eficientes, e muitas organizações não conseguem acompanhar esse ritmo.
O cenário de ameaças que se constrói para 2026
Das cinco tendências de segurança mapeadas pelo estudo, duas merecem destaque nesta análise.
A primeira é a IA como sistema operacional dos atacantes. Ou seja, a tendência mais relevante não é o surgimento de novos tipos de ataques, mas a potencialização dos que já existem.
Grupos antes limitados por capacidade técnica agora têm acesso a ferramentas que personalizam as campanhas, automatizam o reconhecimento e geram conteúdo convincente em alto volume.
Isso muda o perfil de ameaça para empresas que antes se julgavam fora do radar dos grupos mais sofisticados.
A segunda é a gestão de identidades no centro. Com Identification and Authentication Failures em segundo lugar no ranking de falhas e o crescimento das APIs como superfície de ataque, o estudo aponta que a gestão de identidades exigirá atenção especial em 2026.
O estudo completo, com outras análises, mais previsões e recomendações, está disponível gratuitamente neste link.
