Estudo da Vantico mostra que 27% das vulnerabilidades altas seguem sem correção por mais de 70 dias, escancarando um problema estrutural na segurança ofensiva das empresas. Durante muito tempo, a discussão em torno de pentests e avaliações técnicas se concentrou quase exclusivamente em “achar falhas”. A nova edição do Inside Pentesting, porém, indica que o gargalo real está em outra etapa do processo: fazer com que essas falhas sejam, de fato, corrigidas dentro de um prazo compatível com a velocidade dos ataques atuais.
A pesquisa, baseada em centenas de testes realizados em 2025, revela que mais de um quarto das vulnerabilidades classificadas como altas continua aberto por pelo menos 70 dias após a entrega do relatório ao cliente. Ou seja, mesmo depois de receber um documento detalhado, com vulnerabilidades identificadas, categorizadas, documentadas e, em muitos casos, acompanhadas de orientações claras de correção, muitas organizações não conseguem implementar os ajustes necessários no tempo adequado.
Esse atraso é preocupante isoladamente, mas torna-se ainda mais grave quando colocado em perspectiva com o cenário de ameaças recente. Em 2025, campanhas de phishing geradas com auxílio de inteligência artificial cresceram 1.265%, e a janela entre a divulgação de uma nova vulnerabilidade e sua exploração ativa por grupos maliciosos encolheu para poucas horas. Em um ambiente em que os atacantes automatizam varreduras e exploram brechas quase em tempo real, manter falhas de alta severidade abertas por mais de dois meses é praticamente um convite ao incidente.
O estudo também investigou como as empresas estão conduzindo seus testes de intrusão e apontou uma tendência clara na escolha de metodologia. O modelo gray box, no qual o time de teste recebe informações parciais sobre o ambiente antes de iniciar as atividades, respondeu por 55,9% dos projetos, ultrapassando a abordagem black box pelo segundo ano consecutivo. Essa preferência não é aleatória: ao simular um atacante com algum nível de acesso ou conhecimento prévio – como acontece em casos de comprometimento de fornecedores ou contas internas -, o gray box tende a revelar vulnerabilidades mais alinhadas ao risco real de negócio.
Outro movimento importante capturado pela pesquisa é o aumento da relevância das APIs como superfície de ataque. Em 2024, apenas 5,6% dos projetos tinham foco em APIs; em 2025, essa fatia subiu para 11,2%, praticamente o dobro. O salto acompanha a expansão das arquiteturas de microsserviços e das integrações digitais entre sistemas, parceiros e aplicações de terceiros. Cada nova API exposta amplia a área de ataque disponível para adversários, muitas vezes em um ritmo que as equipes de segurança e desenvolvimento não conseguem acompanhar com o mesmo nível de atenção e governança.
No recorte por tipos de vulnerabilidade, Security Misconfiguration (A05:2021) continua liderando com folga. Essa categoria responde por 43,2% de todas as falhas identificadas, mais do que o dobro da segunda colocada, falhas de identificação e autenticação (Identification and Authentication Failures), que somaram 10,9%. Em outras palavras, quase metade dos problemas encontrados em 2025 poderia ser atribuída a configurações inadequadas ou inseguras de serviços, servidores, bancos de dados, componentes de nuvem, permissões e outros elementos de infraestrutura.
O dado chama ainda mais atenção porque boa parte dessas más configurações já é amplamente conhecida e documentada, com recomendações consolidadas de correção. Mesmo assim, continuam aparecendo de forma recorrente nos testes, o que indica lacunas de governança, automação de checagens básicas e, em muitos casos, falta de revisão sistemática das configurações após mudanças de ambiente ou migrações para cloud.
Em paralelo, a pesquisa registrou uma redução nas taxas de vulnerabilidades críticas e altas encontradas: as críticas caíram de 7,8% para 5,08%, e as altas, de 15,4% para 8,01%. À primeira vista, esse resultado parece indicar uma evolução da maturidade em segurança das organizações. No entanto, o estudo recomenda cautela ao interpretar essa melhora: a queda pode refletir tanto um fortalecimento dos controles quanto uma possível diminuição da frequência de testes nos ambientes mais sensíveis, como sistemas core de negócio ou infraestruturas legadas estratégicas.
Se, por um lado, o volume de vulnerabilidades descobertas traz algum otimismo, por outro, os dados sobre remediação seguem em direção oposta. Cerca de 16% das falhas críticas permanecem sem correção por mais de 70 dias após a emissão do relatório. No caso das vulnerabilidades altas, o cenário é ainda pior: 27% seguem abertas após esse mesmo período. Isso significa que, mesmo quando a empresa investe em testes, monitora seus sistemas e recebe insumos técnicos qualificados, a etapa de priorização e correção ainda não acompanha a urgência do risco.
O estudo aponta dois fatores centrais para explicar esse atraso. Primeiro, a dificuldade de integrar o processo de correção ao dia a dia operacional, especialmente em ambientes que já operam no limite de recursos e prazos, como times de desenvolvimento pressionados por roadmaps agressivos. Segundo, a própria priorização interna: mesmo com relatórios que classificam as vulnerabilidades por severidade, impacto e probabilidade de exploração, muitas organizações não conseguem alinhar a agenda de correções com o apetite de risco real do negócio.
O resultado é uma janela extensa entre a identificação de uma falha e sua remediação efetiva. Durante esse intervalo, a organização mantém serviços e dados expostos a ataques que, em muitos casos, poderiam ser evitados com ajustes relativamente simples. Em um contexto de ataques altamente automatizados, essa janela de exposição se torna o elo mais frágil da cadeia de defesa.
A análise setorial também traz diferenças relevantes. Segmentos como Jurídico (11%), Turismo (14,3%) e Energia (16,7%) aparecem entre aqueles com menores índices de correção de vulnerabilidades críticas e altas dentro de prazos adequados. Já setores como Telecomunicações e Varejo conseguiram atingir 100% de remediação desses tipos de vulnerabilidades, demonstrando que é possível alinhar pressão por disponibilidade, experiência do cliente e segurança sem deixar de corrigir falhas graves.
Os dados da Vantico ganham ainda mais peso quando colocados lado a lado com o panorama geral de ameaças observado em 2025. Phishing e engenharia social se consolidaram como os principais vetores externos de ataque, impulsionados pelo uso intensivo de IA para criação de campanhas maliciosas. Houve um aumento de 1.265% em ataques de phishing gerados com inteligência artificial, com mensagens cada vez mais personalizadas, contextuais e difíceis de distinguir de comunicações legítimas.
No mesmo ano, 16% das violações de dados registradas envolveram uso de IA por parte dos invasores. Entre esses casos, 37% foram associados à geração de campanhas de phishing e 35% ao uso de deepfakes para enganar colaboradores, clientes ou parceiros, explorando voz, imagem e vídeos manipulados. Em paralelo, o fator humano apareceu em 60% dos incidentes de vazamento de dados, reforçando que tecnologia sem processos e treinamento contínuo dificilmente é suficiente.
Esse conjunto de informações ajuda a explicar por que a “janela de 70 dias” é tão perigosa. Enquanto muitas empresas demoram semanas para corrigir uma falha já conhecida, com relatório em mãos, atacantes utilizam IA e automação para localizar e explorar brechas em horas ou até minutos, varrendo grandes blocos de endereços e serviços expostos na internet. A assimetria entre o tempo de ataque e o tempo de resposta é o ponto central do problema.
Para reduzir esse abismo, é fundamental que as organizações tratem a remediação como parte integrante – e não como etapa opcional – da estratégia de segurança ofensiva. Isso envolve, primeiro, integrar os resultados de pentests e varreduras de vulnerabilidade aos fluxos de trabalho existentes de desenvolvimento e operações, como pipelines de DevSecOps, sistemas de gestão de tickets e rotinas de change management. Quanto mais automática for a passagem da vulnerabilidade identificada para a fila de correção, menor a chance de o problema “se perder” no meio de outras demandas.
Outro passo crítico é rever a forma de priorizar correções. Em vez de olhar apenas para a severidade técnica (crítica, alta, média, baixa), é essencial considerar o contexto de negócio: que dados aquela aplicação processa, qual o impacto de uma indisponibilidade, há obrigações regulatórias envolvidas, o ativo está ou não exposto à internet. Uma vulnerabilidade classificada como “alta” em um sistema periférico interno pode ter menos urgência que uma “média” em um portal público que autentica milhares de usuários diariamente.
A capacitação de times internos também desempenha papel decisivo. Muitas falhas de misconfiguration, que representam mais de 40% do total encontrado, poderiam ser evitadas se desenvolvedores, administradores de sistemas e equipes de nuvem tivessem acesso a guias práticos, checklists de configuração segura e ferramentas de validação automática em ambiente de testes. Pequenas mudanças, como padrões mínimos de endurecimento de servidores, políticas claras de permissão em cloud e revisões periódicas de configurações, já reduzem consideravelmente a superfície de ataque.
Outro ponto muitas vezes negligenciado é a frequência dos testes. Em ambientes altamente dinâmicos, com deploys constantes e uso intenso de APIs, executar pentests apenas uma vez ao ano pode ser insuficiente. Combinar avaliações manuais profundas com testes de intrusão recorrentes em componentes críticos, além de scanners automatizados de vulnerabilidades, ajuda a capturar falhas introduzidas em ciclos de desenvolvimento mais curtos.
O fator humano, apontado em 60% dos vazamentos, exige uma abordagem contínua de conscientização. Não basta fazer um treinamento isolado; é necessário criar uma cultura de segurança em que colaboradores se sintam parte da proteção da empresa, reconheçam sinais de tentativas de phishing, saibam como reportar comportamentos suspeitos e entendam o impacto de suas ações no risco global da organização.
Por fim, governança e patrocínio executivo são elementos-chave para transformar diagnósticos em ação. Sem metas claras de SLAs de correção, indicadores acompanhados pela alta gestão e responsabilidade definida por área ou produto, a tendência é que a remediação concorra com outras prioridades de negócio e, muitas vezes, perca espaço. Empresas que aparecem entre os destaques de remediação rápida, como Telecom e Varejo, tendem a ter essa cultura de responsabilidade e métricas bem estabelecida.
O retrato que emerge do Inside Pentesting de 2025 é ambivalente: por um lado, avanços em metodologias de teste, foco crescente em APIs e redução relativa de vulnerabilidades críticas; por outro, uma incapacidade persistente de corrigir rapidamente aquilo que já se sabe que está errado. Em um cenário em que atacantes se movem cada vez mais rápido e contam com IA como multiplicador de capacidade, encurtar o tempo entre o diagnóstico e a correção deixou de ser apenas uma boa prática – tornou-se requisito básico de sobrevivência digital para 2026 e além.