As cinco ferramentas mais usadas em pentest corporativo em 2026 são Nmap, Metasploit, Burp Suite, Nessus e Wireshark. Cada uma cobre uma fase distinta — do reconhecimento à exploração e análise de pacotes — e juntas formam o arsenal padrão de equipes de segurança ofensiva no Brasil, dentro de limites éticos e legais bem definidos.
O arsenal do pentester em 2026
O mercado brasileiro de segurança da informação amadureceu. Bancos, fintechs, operadoras de saúde e plataformas de e-commerce contratam testes de intrusão como prática regular, não mais como exceção pontual de compliance. A Resolução BACEN nº 4.893/2021 obriga instituições financeiras a manter políticas formais de cibersegurança, e a fiscalização da ANPD sobre a LGPD ampliou a pressão sobre empresas que processam dados pessoais em larga escala. Nesse cenário, cinco ferramentas dominam os laboratórios e os contratos de red team: Nmap, Metasploit, Burp Suite, Nessus e Wireshark.
Elas não competem entre si. Cada uma opera em uma fase distinta do fluxo de trabalho — reconhecimento, validação de vulnerabilidade, exploração, varredura de compliance e análise de pacotes. A escolha correta depende do objetivo do teste, do ambiente avaliado e, sobretudo, da autorização contratual que delimita o que pode e o que não pode ser feito. Quem domina o Kali Linux 2026.1 costuma encontrar todas elas pré-instaladas e prontas para execução.
Nmap: mapeamento da superfície
O Nmap continua sendo o ponto de partida de praticamente todo pentest. Mantido por Gordon “Fyodor” Lyon em atualização constante — a série 7.95 trouxe melhorias no motor de detecção de serviços e novos scripts de enumeração —, o scanner identifica hosts ativos, portas abertas, versões de serviços e sistemas operacionais em poucos segundos. Sua Nmap Scripting Engine (NSE) executa centenas de scripts que vão da detecção de vulnerabilidades conhecidas à enumeração de Active Directory.
Em um caso real, uma operadora de telecomunicações brasileira usou o Nmap durante um red team interno para mapear mais de 4.000 ativos de rede corporativa distribuídos em filiais regionais. O resultado expôs serviços legados — Telnet, SMBv1 e portas de gerenciamento expostas — que os firewalls internos não bloqueavam. A correção desses achados reduziu a superfície de ataque antes mesmo de a fase de exploração começar. Para aprofundar a metodologia de priorização desses achados, vale a leitura do material sobre análise de vulnerabilidades e priorização.
Metasploit: do scanner à exploração
O Metasploit Framework, mantido pela Rapid7, é a ferramenta que separa um relatório teórico de uma demonstração de impacto. Com mais de 2.300 exploits e atualizações semanais — como os módulos para FreeScout e Grav CMS adicionados em 2026 —, o framework confirma se uma vulnerabilidade detectada pelo scanner pode realmente ser explorada. É a diferença entre dizer “este servidor está vulnerável” e mostrar que o comprometimento leva a acesso administrativo completo.
Em corporações brasileiras, o Metasploit aparece com frequência em simulações de phishing executivo. Uma consultoria de segurança contratada por um banco de médio porte enviou cargas customizadas via Meterpreter para terminais de estações de trabalho de alta hierarquia, provando que um ataque bem-sucedido abriria caminho para movimentação lateral dentro do domínio corporativo. A evidência — capturas de tela, arquivos acessados, caminhos de escalonamento de privilégios — foi apresentada à diretoria para justificar investimento em EDR. O repositório oficial no GitHub documenta cada módulo com referência à fonte original da falha.
Burp Suite: dissecando aplicações web
A Burp Suite Professional, da PortSwigger, domina o segmento de testes em aplicações web. Seu proxy intercepta cada requisição HTTP e permite manipular parâmetros, cabeçalhos e corpos de requisição em tempo real. O motor Intruder automatiza ataques direcionados, e o active scanner percorre a aplicação em busca de SQL injection, XSS, falhas de autenticação e quebras de controle de acesso — categorias que lideram as falhas mais exploradas em 2026, segundo o panorama levantado por especialistas em ferramentas de pentest da CloudSEK.
No ecossistema de fintechs brasileiras, onde APIs REST movem milhões de transações por dia, a Burp Suite é empregada para testar endpoints de open banking. Um caso documentado em uma plataforma de pagamentos revelou uma falha de IDOR (Insecure Direct Object Reference) que permitiria a um cliente consultar saldos de terceiros apenas alterando um parâmetro numérico na requisição. A descoberta — feita manualmente durante o replay de tráfego autenticado — jamais apareceria em um scanner automático, porque dependia inteiramente da lógica de negócio.
Nessus e Wireshark em escala
O Nessus, da Tenable, opera em outra escala. É um scanner de vulnerabilidades focado em cobertura ampla: sistemas operacionais, aplicações, dispositivos de rede e configurações de hardening. Suas varreduras autenticadas entram nos servidores com credenciais válidas e listam patches ausentes, configurações inseguras e software desatualizado. Empresas brasileiras usam o Nessus para gerar relatórios de compliance alinhados a PCI-DSS, ISO 27001 e às exigências do BACEN — documentos que alimentam auditorias e a governança de TI.
Já o Wireshark cumpre papel complementar: captura e decodifica pacotes para comprovar comportamentos suspeitos na rede. Quando o Metasploit demonstra a exploração e o Nessus aponta onde ela é possível, o Wireshark registra o tráfego que confirma a comunicação maliciosa. Em um incidente respondido por uma equipe SOC de uma operadora logística, a análise de um arquivo .pcap revelou exfiltração de dados via DNS tunneling — um canal de vazamento que nenhum scanner convencional teria detectado. A captura tornou-se prova técnica pericial encaminhada às autoridades.
Ética, LGPD e a fronteira legal
A diferença entre hacking ético e crime cibernético não está na ferramenta, mas na autorização. Nmap, Metasploit, Burp Suite, Nessus e Wireshark são neutras por design. O que define o uso ético é o conjunto de três elementos fundamentais:
- Contrato formal de prestação de serviços, com escopo técnico aprovado pelo cliente e janela de execução definida.
- Tratamento cuidadoso de dados pessoais, com uso de ambientes de homologação, dados sintéticos e relatórios anonimizados.
- Acordo de confidencialidade assinado, que protege o cliente e responsabiliza o executante por qualquer descumprimento.
Sem esses elementos, a mesma varredura de portas pode configurar o crime previsto no artigo 154-A do Código Penal brasileiro — invasão de dispositivo informático —, com pena de detenção de três meses a um ano, ampliada se houver obtenção de conteúdo sigiloso. A Lei Carolina Dieckmann (Lei nº 12.737/2012) e o Marco Civil da Internet (Lei nº 12.965/2014) completam o arcabouço que regula o acesso não autorizado a sistemas.
A LGPD (Lei nº 13.709/2018) reforça essa fronteira de outro ângulo. O artigo 46 exige que empresas adotem medidas de segurança técnicas e organizacionais proporcionais aos dados tratados, e a ANPD já aplica sanções administrativas — incluindo advertências e multas de até 2% do faturamento — a quem negligencia controles básicos. Um pentest que acessa, copia ou expõe dados pessoais sem base legal pode transformar o contratado em corresponsável por incidente de segurança. Por isso, profissionais sérios operam com dados sintéticos em homologação e documentam cada ação executada.
O uso malicioso segue lógica oposta. Ataques de ransomware contra o setor de saúde brasileiro em 2025 e 2026 usaram as mesmas técnicas de descoberta e exploração que um pentester ético aplicaria — mas sem contrato, sem consentimento e com objetivo de extorsão financeira. A ferramenta é a mesma; a intenção, o oposto. Entender essa distinção é o que separa um profissional de segurança de um criminoso, e é também o que sustenta a credibilidade do mercado brasileiro de pentest.