Phishing na América do Sul: o elo humano ainda é o maior risco corporativo

O elo mais vulnerável de qualquer estratégia de cibersegurança continua sendo o mesmo: o ser humano. 

E na América do Sul, essa vulnerabilidade é ainda mais evidente. Segundo o Relatório de Benchmark de Phishing 2025 da KnowBe4, nossa região registrou a maior propensão global a cliques em e-mails de phishing, com uma Phish-Prone Percentage (PPP) média de 39,1% antes de qualquer treinamento. Em outras palavras, quatro em cada dez funcionários clicariam em um link malicioso se recebessem uma simulação hoje. 

O dado não é isolado, ele reflete o resultado de mais de 67 milhões de simulações aplicadas em 62 mil organizações. E, embora o número inicial seja preocupante, o estudo traz um contraponto animador: após um ano de treinamento contínuo, a taxa cai para 4,5%, uma redução de quase 89%. 

Essa diferença brutal comprova que o problema não é a falta de tecnologia, mas sim a falta de cultura. 

A anatomia do risco humano 

Cada clique errado nasce de um conjunto de fatores previsíveis: pressa, excesso de confiança, falta de senso crítico e ausência de rotina de segurança. 

Enquanto soluções de firewall, EDR e MDR evoluem diariamente, o comportamento humano continua sujeito a distrações, à rotina operacional e a táticas cada vez mais sofisticadas de engenharia social. 

A PPP (Phish-Prone Percentage) mede exatamente isso: a porcentagem de colaboradores que provavelmente cairia em um golpe digital. 

O relatório da KnowBe4 divide a curva em três estágios: 

Linha de base: antes de qualquer treinamento. 

Após 90 dias: primeiros resultados do programa de conscientização. 

Após 12 meses: impacto do treinamento contínuo, com a cultura já incorporada ao ambiente. 

As reduções mais significativas acontecem apenas na terceira etapa, quando a conscientização passa a ser parte da rotina, e não apenas uma campanha pontual de compliance. 

Treinar é transformar cultura, não apenas corrigir erros 

Os dados provam que o awareness precisa deixar de ser um treinamento obrigatório e se tornar um mecanismo contínuo de gestão de risco humano. 

O modelo mais eficaz é o que combina simulações periódicas, microtreinamentos e coaching em tempo real, para que cada funcionário aprenda com seus próprios erros e reforce comportamentos seguros no momento em que a falha acontece. 

Chamamos isso de Human Risk Management (HRM): um ciclo permanente que mede, treina e ajusta o comportamento dos usuários. 

Ele é composto por quatro pilares: 

Medição: definição de indicadores como PPP, taxa de reporte e tempo médio de resposta. 

Treinamento contínuo: pequenos módulos mensais, em linguagem acessível e contextualizada. 

Coaching em tempo real: alertas automáticos e feedback imediato durante simulações e incidentes. 

Integração com o SOC/MDR: os dados de comportamento alimentam o monitoramento e a resposta a incidentes, fechando o ciclo entre pessoa e tecnologia. 

Em empresas maduras, o awareness não é responsabilidade apenas do time de TI, mas de toda a liderança. Segurança passa a ser tratada como valor organizacional, não como protocolo técnico. 

Por que a América do Sul lidera o índice de vulnerabilidade 

O relatório aponta um cenário particular: a digitalização acelerada e desigual na região criou uma “divisão digital”. 

Empresas e governos adotaram novas tecnologias em ritmo rápido, mas sem o mesmo investimento em capacitação e segurança. 

Enquanto países desenvolvidos aplicam padrões consolidados de governança e compliance, boa parte das empresas latino-americanas ainda lida com escassez de profissionais qualificados, baixa maturidade de processos e pouco orçamento dedicado à prevenção. 

Esse desequilíbrio explica por que setores como serviços ao consumidor (59,9%), seguros (48,6%) e energia (48,3%) apresentaram as PPPs iniciais mais altas. 

Mas também mostra o potencial de transformação: em todas essas áreas, o índice cai para menos de 6% após um ano de treinamento. 

Um novo indicador de maturidade 

Em 2025, o phishing deixou de ser apenas um golpe de e-mail: tornou-se um termômetro da maturidade organizacional. 

Medir e reduzir a PPP passou a ser um indicador direto de resiliência cibernética, tão importante quanto SLA de resposta ou tempo médio de patching. 

Empresas que dominam o fator humano não só reduzem incidentes, mas também melhoram a velocidade e a precisão da resposta quando algo acontece. 

No longo prazo, isso se traduz em menos brechas, menos downtime e menos custo. 

O próximo passo é tornar o HRM parte do ecossistema de segurança: integrado ao SOC, correlacionado ao XDR, e conectado aos fluxos de governança e compliance. 

Os números mostram com clareza: a vulnerabilidade humana é o primeiro vetor de ataque, mas também pode ser a primeira linha de defesa. 

Na América do Sul, onde a digitalização avança mais rápido do que a maturidade em segurança, investir em treinamento contínuo e cultura de segurança não é opcional, é vital. 

O combate ao phishing não começa com o firewall. 

Começa com pessoas preparadas para identificar, reportar e resistir às ameaças invisíveis. 

Veja como transformar o elo humano em sua primeira linha de defesa 

A Setrix estrutura programas completos de Human Risk Management, com simulações adaptativas, coaching em tempo real e integração com o SOC/MDR. 

Fortaleça a cultura de segurança da sua empresa e reduza o risco humano de forma mensurável. 

Fontes 

KnowBe4 – Relatório de Benchmark de Phishing 2025 (América do Sul) 

Banco Mundial – Cybersecurity Economics for Emerging Markets 

OCDE – Building a Skilled Cybersecurity Workforce in Latin America 

LatAm Cyber Summit 2024 Annual Report 

Verizon DBIR 2025 – Data Breach Investigations Report