O Brasil se tornou o principal epicentro mundial de ataques DDoS, com 25 milhões de dispositivos residenciais brasileiros sendo usados regularmente como armas cibernéticas, segundo estudo da Nokia Deepfield apresentado durante a 15ª Semana de Infraestrutura da Internet no Brasil. Os vilões são TV boxes piratas, smartphones infectados e aparelhos com VPNs gratuitas instaladas, que transformaram lares em bases de ataques globais.
A revelação foi feita por Craig Labovitz, CTO da Nokia Deepfield, durante o IX Fórum 19 realizado na última quarta-feira em São Paulo. Os números são alarmantes e representam uma mudança drástica no perfil dos ciberataques no país. Antes concentrados em equipamentos corporativos, os ataques agora partem majoritariamente de dentro das residências brasileiras.
“Nos últimos seis meses, vimos uma mudança drástica na nossa preocupação: da segurança das empresas brasileiras, dos DVRs e das webcams, para a segurança em larga escala das residências”, explicou o executivo. Segundo ele, cerca de 70% desse ecossistema de proxies tem origem maliciosa, associada sobretudo a aplicativos de TV gratuita e dispositivos que já chegam infectados ao consumidor.
TV boxes piratas lideram infecções
Os dispositivos funcionam inicialmente como proxies e depois são utilizados em ações coordenadas de negação de serviço. Entre os aparelhos comprometidos estão TV boxes piratas, que lideram a lista, além de smartphones infectados por aplicativos maliciosos e computadores com softwares de VPN gratuitos. Muitos chegam ao consumidor com malware pré-instalado ou recebem atualizações remotas que instalam programas nocivos.
A escala dos ataques também mudou radicalmente de patamar. Antes de junho deste ano, ataques de um terabit eram considerados raros, ocorrendo apenas algumas vezes por semana. Nos últimos três meses, porém, os ataques ultrapassaram a barreira dos 45 a 50 terabits por segundo. Até empresas com investimentos robustos em segurança sofreram interrupções bem-sucedidas nesse período.
Papel da inteligência artificial
A indústria de inteligência artificial teria papel indireto na expansão dessa infraestrutura maliciosa. Segundo Labovitz, empresas de IA passaram a recorrer intensamente a proxies residenciais para contornar bloqueios ao treinamento de dados, investindo centenas de milhões de dólares. Esse fluxo de recursos teria industrializado o mercado de proxies e ampliado drasticamente a base de dispositivos disponíveis para ataques.
O executivo alertou ainda para a concentração de poder nas mãos de poucos. Embora pareça haver centenas de fornecedores no mercado, apenas seis empresas controlam entre 100 e 200 milhões de dispositivos conectados que formam redes de ataque, sendo 25 milhões deles localizados no Brasil. “Não é mais uma ameaça apenas para empresas. É uma ameaça para países”, afirmou Labovitz durante sua apresentação.
LEIA TAMBÉM:
Quer acompanhar tudo em primeira mão sobre o mundo das telecomunicações? Siga o Minha Operadora no Canal no WhatsApp, Instagram, Facebook, X e YouTube e não perca nenhuma atualização, alerta, promoção ou polêmica do setor!
Anatel intensifica combate
A Anatel tem tentado fechar o cerco contra TV boxes ilegais devido ao risco gerado às redes de telecomunicações e usuários. Em 2021, a agência já havia identificado botnets nesses aparelhos. No ano seguinte, foram detectadas falhas de segurança no processo de atualização por meio de lojas virtuais próprias. Em agosto deste ano, nova investigação identificou a infecção de ao menos 1,5 milhão de TV boxes não homologadas no país.
A autarquia identificou a atuação de organizações criminosas internacionais, como o grupo Bad Box 2.0. Mesmo em modo de espera, esses dispositivos geram tráfego de dados suspeito e servem como porta de entrada para atividades criminosas. O problema se agrava porque muitos aparelhos recebem atualizações remotas capazes de instalar malware sem qualquer aviso ao usuário.
Ataques rápidos e automatizados
O relatório Nokia Threat Intelligence Report 2025 revela ainda que 78% dos ataques terminam em menos de cinco minutos, sendo que 37% duram menos de dois minutos. Essa curta duração torna a intervenção humana impossível, exigindo defesas automatizadas baseadas em inteligência artificial para mitigação instantânea dos ataques.
Mais da metade das campanhas de DDoS, cerca de 52%, utilizam a técnica conhecida como carpet bombing. Essa estratégia ataca múltiplos alvos simultaneamente em vez de focar num único endereço IP, dificultando a detecção por sistemas tradicionais de segurança. A técnica se tornou padrão entre grupos que controlam grandes redes de dispositivos comprometidos.
Mudança na estratégia de defesa
Para Labovitz, a resposta exige mudança estrutural na abordagem de segurança dos provedores. “A ameaça não vem de fora da rede. A ameaça normalmente é a sua própria rede”, alertou. Ele defendeu a incorporação de mecanismos de mitigação diretamente nos roteadores das operadoras, além de maior coordenação entre provedores de internet e envolvimento das autoridades regulatórias.
O estudo aponta que cerca de 4% de todas as conexões residenciais do mundo, mais de 100 milhões de endpoints, estão comprometidas para uso em botnets. O Brasil figura entre os países com maior volume de dispositivos explorados, ao lado dos Estados Unidos. A capacidade potencial dessas redes chegaria entre 100 e 150 terabits por segundo, suficiente para congestionar enlaces de backbone nacionais e internacionais.