Golpes com inteligência artificial cresceram 1.210% em 2025, segundo a Vectra AI. Deepfakes de voz e vídeo custaram mais de US$ 893 milhões a empresas no ano passado. Em 2026, criminosos utilizam LLMs maliciosos, clonagem de voz em tempo real e automação de exploração para atacar organizações em escala industrial.

A nova ofensiva cibernética

A inteligência artificial deixou de ser uma ferramenta exclusiva de defensores. Em 2025, mais de 51% de todo o spam global já era gerado por modelos de linguagem, e a fraude com IA ultrapassou o crescimento da fraude tradicional em mais de seis vezes. O que era empolgação tecnológica virou arsenal operacional de grupos criminosos.

A transição foi rápida. Em 2023, ferramentas como WormGPT surgiram como curiosidades no underground digital. Dois anos depois, modelos criminosos formam um ecossistema completo: geram e-mails de phishing, criam deepfakes, automatizam reconhecimento de alvos e até exploram vulnerabilidades sem intervenção humana direta. A barreira técnica para ataques sofisticados caiu a quase zero.

Há também um movimento de adaptação das ameaças já conhecidas — o panorama de ameaças digitais de 2026 reflete como técnicas consolidadas foram turbinadas por IA em velocidade e sofisticação. Phishing, BEC e vishing ganharam uma camada de automatização que multiplica seu alcance.

Deepfakes enganam executivos globais

O caso mais emblemático ocorreu em fevereiro de 2024, quando a multinacional de engenharia Arup perdeu US$ 25 milhões após um funcionário do setor financeiro participar de uma videochamada com deepfakes de todo o conselho de administração — incluindo o CFO. A vítima só percebeu o golpe após concluir as transferências, conforme reportou a CNN.

Em 2025, deepfakes com figuras de autoridade causaram mais de US$ 200 milhões em perdas corporativas globais. O FBI registrou US$ 893 milhões em fraudes com IA somente naquele ano. As tentativas de fraude por deepfake cresceram 2.137% em três anos, com um novo ataque tentado a cada cinco minutos.

A clonagem de voz é particularmente eficaz no vishing (voice phishing). Bastam três segundos de áudio público — extraído de um podcast, palestra ou postagem em rede social — para replicar a voz de um executivo com fidelidade indistinguível. Funcionários recebem ligações urgentes de “superiores” solicitando transferências, códigos de acesso ou aprovação de pagamentos.

O problema se agrava com a limitação das soluções de detecção em sistemas operacionais, que ainda não são suficientes para barrar ataques direcionados a telefones corporativos. Funcionários precisam de ceticismo ativo, não apenas de software.

Phishing hiperpersonalizado em escala

O phishing tradicional dependia de e-mails genéricos com erros ortográficos. Em 2026, um modelo de linguagem pode analisar o perfil completo de um funcionário no LinkedIn, cruzar com dados de vazamentos públicos e gerar uma mensagem personalizada em segundos — na língua, no tom e no estilo corporativo da vítima.

Segundo a Rapid7, os atacantes de 2025 não estão apenas escrevendo e-mails de phishing melhores: estão automatizando engenharia social em escala, segmentando campanhas por cargo, setor e empresa com precisão cirúrgica. Uma operação que antes exigia dias de trabalho manual agora é executada em minutos.

LLMs criminosos na dark web

WormGPT, FraudGPT, Evil-GPT e um arsenal crescente de modelos maliciosos circulam em fóruns criminosos. Esses LLMs são treinados ou ajustados para ignorar restrições éticas e produzir conteúdo fraudulento: e-mails de BEC (Business Email Compromise), scripts de malware, textos para páginas de phishing e até estratégias de manipulação psicológica.

O modelo de negócios é por assinatura. FraudGPT era comercializado por planos mensais em fóruns underground, oferecendo uma interface similar à do ChatGPT, mas sem qualquer filtro de segurança. Em 2026, surgiram modelos ainda mais sofisticados, capazes de escrever código de exploração funcional e gerar campanhas de phishing multilíngues, incluindo português do Brasil.

Prompt injection contra agentes IA

À medida que empresas integram assistentes de IA em fluxos de trabalho — copilotos, chatbots, agentes autônomos —, surge um novo vetor de ataque: o prompt injection. Um atacante insere instruções maliciosas em conteúdo aparentemente inofensivo (um PDF, um e-mail, uma página web) que o modelo processa. O agente executa comandos não autorizados: vaza dados, acessa sistemas internos ou modifica respostas.

O prompt injection é classificado como o risco número 1 no OWASP LLM Top 10. Variações incluem jailbreaks (técnicas como o infame “DAN” — Do Anything Now — que induz o modelo a ignorar salvaguardas) e ataques indiretos, onde instruções escondidas em documentos contaminam o contexto da IA.

Um malware descoberto recentemente já demonstra como atacantes manipulam ferramentas de análise com IA para evadir detecção. É um sinal do que está por vir: criminosos projetando ataques especificamente para confundir sistemas defensivos baseados em IA.

Empresas brasileiras no alvo

No Brasil, a Polícia Federal registrou um crescimento de 830% no uso de deepfakes entre 2024 e 2025, segundo dados compilados pela Exame. O golpe da “ligação muda” — em que criminosos gravam a voz da vítima em uma chamada curta e a clonam para aplicar fraudes — foi tema de alerta da Polícia Civil de São Paulo em outubro de 2025, conforme reportou a Folha de S.Paulo.

Empresas brasileiras combinam fatores de risco preocupantes:

  • Instantaneidade financeira: o Pix permite transferências imediatas, reduzindo a janela de detecção de fraude a segundos.
  • Cultura hierárquica: funcionários relutam em questionar ordens de superiores, exatamente o que ataques de vishing exploram.
  • Volume de vazamentos: o Brasil está entre os países com mais credenciais expostas, fornecendo material abundante para enriquecer campanhas com IA.
  • Adoção acelerada de IA: empresas implementam copilotos e agentes sem maturidade suficiente em governança e segurança.

Como se defender agora

A defesa contra IA ofensiva exige uma combinação de processos, tecnologia e cultura:

  • Verificação bidirecional: qualquer instrução financeira por voz, vídeo ou e-mail exige confirmação em canal secundário pré-acordado. Deepfakes não sobrevivem a um callback em número conhecido.
  • Treinamento com simulação realista: expor funcionários a deepfakes e phishing com IA dentro de exercícios controlados familiariza as equipes com táticas reais antes do golpe.
  • Detecção de deepfake: ferramentas defensivas analisam artefatos de geração (piscar inconsistente, frequências de áudio sintético, padrões de compressão) e sinalizam comunicações suspeitas.
  • Proteção de agentes IA: implementar filtros de prompt, isolamento de contexto e validação de saídas. O agente nunca deve ter acesso irrestrito a dados sensíveis.
  • Higiene de dados públicos: restringir a exposição de áudio e vídeo de executivos em plataformas públicas diminui o material disponível para clonagem.
  • Autenticação multifator em transações: MFA para Pix corporativo e transferências adiciona uma camada que a IA não consegue replicar remotamente.

A IA ofensiva evolui em dias. As defesas tradicionais levam meses para se adaptar. A diferença entre ser vítima e resistir em 2026 depende menos de tecnologia de ponta e mais de processos sólidos: verificação rigorosa, cultura de ceticismo ativo e defesa em camadas projetada para um mundo onde a voz, o rosto e o e-mail do seu CEO podem ser fabricados em segundos.