Pesquisa · INV-06

Resiliência cibernética no setor financeiro: apenas 22% das entidades passam em um teste de estresse de ransomware

Fernando Arrieta·11 de dezembro de 2025

ResiliênciaSetor FinanceiroRansomwareTeste de estresse

Resumo

Sobre esta pesquisa

A simulação de ataque de ransomware (teste de estresse de ciber-resiliência) realizada em 18 entidades financeiras médias (Fintechs, Carteiras Digitais e Bancos de nicho) na Argentina, Brasil e Colômbia demonstrou que apenas 22% conseguiram recuperar seus serviços críticos em menos de 4 horas sem perda de dados transacionais. Os 78% restantes falharam em ao menos um dos critérios de sucesso: 45% tinham backups imutáveis que resultaram estar comprometidos ou inacessíveis durante a simulação; 33% não conseguiram restaurar o core bancário no tempo objetivo de recuperação (RTO) definido em seu BIA; e 50% careciam de procedimentos de comunicação de crise efetivos, o que derivou em vazamento da notícia antes da contenção. A análise post-mortem revelou que a dependência de provedores de TI externos para a resposta a incidentes é o fator de falha mais crítico: as entidades que geriram a resposta com equipe interna tiveram uma taxa de sucesso de 60%, frente a 10% das que dependiam totalmente de terceiros. Foi desenvolvido um quadro de testes de estresse de resiliência específico para o setor financeiro regional.

Achados-chave

O que a pesquisa encontrou

Perguntas centrais respondidas com dados verificáveis do estudo.

Quantas entidades passam no stress test?

Apenas 22% recuperam em <4 horas sem perda de dados.

Qual é a falha mais comum?

Contenção e comunicação (50%), backups comprometidos (45%), falha na restauração do core no RTO (33%).

Que fator influencia mais no sucesso?

A capacidade interna de resposta. 60% de sucesso com equipe interna vs. 10% com dependência externa.

Metodologia

Como a pesquisa foi realizada

Passos executados, fontes consultadas e evidência coletada durante o estudo.

Marco normativo e teórico: DORA (Digital Operational Resilience Act - princípios); ISO 22301:2019 (Continuidade de Negócios); NIST SP 800-160 Vol 2 (Cyber Resilient Systems); Normativas locais (BCRA A7724, CMF 454, SFC 007).

01Simulação de ataque de ransomware (tabletop + técnico) em 18 entidades financeiras

02Teste de restauração de backups imutáveis sob pressão (tempo limite)

03Avaliação do processo de tomada de decisões e comunicação em crise

04Medição de tempos reais de recuperação (RTO real vs. RTO teórico)

Entregáveis

Entregáveis disponíveis

Documentos com os resultados completos desta pesquisa, adaptáveis ao contexto de cada organização.

Relatório de Resiliência Financeira LATAM — resultados de 18 testes de estresse

Framework de Teste de Estresse de Ciber-resiliência para setor financeiro

Baixar Material de Auditoria

Solicite o envio do pacote metodológico completo da pesquisa [INV-06]. Uso exclusivo institucional.

Tratamiento de datos confidencial según ISO/IEC 27001

Pesquisas relacionadas

Estudos complementares

Pesquisas que ampliam ou contrastam os achados deste estudo.

Cibersegurança em ambientes industriais (OT): 82% das redes críticas carecem de segmentação efetivaINV-04 Shadow AI na LATAM: 73% das organizações certificadas operam IA sem controleINV-01 Cibersegurança FinanceiraSistema Continuidade de NegóciosSistema Auditoria de IASistema Governança de IASistema Segurança da informaçãoSistema

Divulgação

Compartilhar pesquisa

Ajude a circular evidências verificáveis.

Compartilhar no LinkedIn Compartilhar no X Compartilhar por e-mail

Esta pesquisa se aplica à sua organização?

Se a consulta é institucional e tem contexto, podemos orientar sobre os próximos passos.

Iniciar conversa Ver todas as pesquisas

Cargando

Preparando la información solicitada…