Os ciberataques à cadeia de abastecimento duplicaram em 2025 e atingiram um custo anual global estimado de 53,2 mil milhões de dólares, segundo um relatório da Cipher, que alerta para o papel crescente de terceiros e fornecedores nas falhas de segurança.
Os ataques à cadeia de abastecimento consolidaram-se como uma das ameaças mais dispendiosas e difíceis de gerir para as empresas. De acordo com o relatório “Ataques à cadeia de abastecimento: análise 2025 e tendências 2026”, da Cipher, 22,5% das falhas de segurança registadas em 2025 envolveram terceiros ou fornecedores, o dobro do observado no ano anterior, refletindo uma mudança estrutural nas táticas dos cibercriminosos.
A análise, elaborada pela unidade de informação x63 Unit da Cipher e suportada por dados de fontes como IBM, Verizon DBIR, Sophos, KELA e Sonatype, indica que as organizações demoram, em média, 254 dias a detetar e conter uma falha originada na cadeia de abastecimento, ampliando o impacto operacional, económico e reputacional. O custo médio global por incidente ascendeu a 4,33 milhões de euros em 2025.
O setor industrial foi um dos mais afetados, com um aumento de 61% dos ataques face ao período homólogo, a par de tecnologia, retalho e outros setores críticos altamente interligados. O relatório destaca ainda a intensificação do ransomware, com 4.701 incidentes registados a nível global entre janeiro e setembro de 2025, bem como o uso crescente de repositórios de código aberto como vetor de ataque, onde foram identificados mais de 877 mil ficheiros maliciosos.
“A cadeia de abastecimento digital tornou-se um dos principais alvos dos ciberataques. Hoje, não é necessário atacar diretamente uma grande empresa; basta comprometer um parceiro ou fornecedor tecnológico para amplificar o impacto de forma silenciosa e massiva”, afirma Luís Martins, diretor-geral da Cipher em Portugal.
Para 2026, a Cipher antecipa uma intensificação dos ataques associados à inteligência artificial, identidades digitais e serviços geridos, bem como a evolução do ransomware para modelos de extorsão tripla, num contexto em que a gestão do risco de terceiros ganha centralidade na governação digital das organizações.
