Deixa eu começar com uma pergunta incômoda: você sabe quem está, neste exato momento, testando as fragilidades dos sistemas que controlam sua energia elétrica, sua água tratada, do seu computador com os seus dados ou os registros do seu prontuário médico?
Provavelmente não. E este é exatamente o problema.
A guerra cibernética não chega com tanques na rua ou sirenes tocando. Ela não pede passagem. Entra em silêncio, por uma brecha que ninguém quis enxergar, por um e-mail que alguém não deveria ter aberto, por um sistema que deveria ter sido atualizado há meses. E quando o estrago aparece se é que aparece antes que seja tarde demais, o dano já está feito.
O Brasil aprendeu isso da forma mais dura possível. Nos últimos anos, ataques a órgãos públicos, vazamentos de dados de dezenas de milhões de cidadãos e investidas sobre infraestruturas críticas colocaram nosso país diante de uma realidade que alguns ainda insistem em tratar como exagero de especialista: estamos na mira. E os adversários que nos miram não são hackers adolescentes em quartos escuros são grupos organizados, financiados e, em alguns casos, patrocinados por Estados soberanos.
É nesse cenário que uma figura pouco conhecida do grande público se torna absolutamente central: o Red Team.
O inimigo que trabalha para você
Pense assim: se você quer saber se sua casa está segura contra ladrões, a melhor forma é contratar alguém que pensa como ladrão para tentar entrar. Não para roubar, claro mas para encontrar o que você não viu, a janela que você esqueceu de travar, a câmera com ângulo morto, a rotina que virou um padrão previsível.
É exatamente isso que faz um Red Team no universo da segurança digital. Não um teste pontual, daqueles que verificam se a porta da frente está fechada. Uma operação completa, às vezes de semanas, que combina engenharia social, exploração de vulnerabilidades técnicas, movimentação dentro das redes e ataques encadeados exatamente como fariam as chamadas APTs - Ameaças Persistentes Avançadas, que são, na prática, os adversários mais perigosos que existem.
O que se entrega ao final não é um relatório técnico cheio de siglas. É um espelho. E espelhos, como todo mundo sabe, têm o péssimo hábito de mostrar aquilo que preferíamos não ver: falhas nos processos, nas tecnologias e, principalmente, na cultura da organização. É com essa imagem que o Blue Team o lado da defesa precisa trabalhar para melhorar, adaptar e aprender. Não uma vez. Continuamente.
O que o Brasil construiu e precisa ser reconhecido
Seria desonesto da minha parte ignorar o que o país conquistou nos últimos anos nessa área. O ComDCiber - omando de Defesa Cibernética tornou-se uma referência real no Hemisfério Sul, não apenas no papel. Com seu Centro de Operações em Brasília, o Brasil passou a ter um núcleo capaz de monitorar incidentes, coordenar respostas e o que talvez seja mais importante integrar Forças Armadas, governo e setor privado em torno de uma visão comum.
O grande laboratório disso tudo tem sido o Exercício Guardião Cibernético. O que começou em 2018 com pouco mais de cem pessoas virou, em 2025, o maior treinamento do mundo focado em proteção de infraestruturas críticas, com mais de 750 profissionais de 169 organizações. Isso não é coisa pequena.
O general Ivan Corrêa Filho, que comanda o ComDCiber, tem uma frase que vale ser guardada: invulnerabilidade é uma ilusão. O foco deve ser a resiliência a capacidade de levar um soco, manter-se de pé e voltar a funcionar no menor tempo possível. É uma filosofia madura, honesta e, francamente, muito mais realista do que prometer que nada vai passar.
O Guardião Cibernético 7.0, realizado em Belém como preparação para a COP-30, deu um passo além. Não testou apenas as equipes técnicas colocou gestores das áreas jurídica, de comunicação e de tecnologia em cenários de crise aguda, forçando as organizações a confrontarem a realidade dos seus planos de contingência. Quem não tinha um plano bom, descobriu ali. Melhor descobrir num exercício do que no dia em que as luzes apagam de verdade.
No cenário internacional, a participação brasileira no Cyber Flag 24-1 o principal exercício multinacional liderado pelo U.S. Cyber Command foi um marco que merece mais atenção pública do que recebeu. Atuando ao lado de aliados na proteção simulada de sistemas elétricos e de petróleo, nossos militares capacitados pelo Instituto Militar de Engenharia (IME) mostraram que o Brasil tem competência para sentar à mesa com os grandes.
Mas o espelho também mostra o que precisa melhorar
Dito tudo isso, seria confortável demais parar por aqui.
O número de Red Teams permanentemente estruturados e em operação contínua no Brasil ainda é muito pequeno para a dimensão do que precisa ser protegido. Empresas estratégicas de energia, saneamento, transporte e saúde ainda dependem de testes esporádicos aquele pentest anual que dá uma falsa sensação de segurança, sem jamais simular o que um adversário real faria ao longo de semanas de paciência e persistência.
Há um déficit sério de profissionais qualificados em segurança ofensiva, caça a ameaças e resposta a incidentes complexos. No setor público e no privado. Isso significa que a tarefa de “pensar como o inimigo” fica concentrada num grupo pequeno de especialistas que, por definição, não consegue cobrir tudo. Quando essa capacidade precisa ser distribuída por um ecossistema inteiro, ter apenas alguns ilhados de competência é, na prática, uma fragilidade estrutural.
O que outros países nos ensinam e o que deveríamos parar de ignorar
Quando olho para Israel, fico com aquela sensação incômoda de quem sabe que ainda tem muito caminho pela frente. A Unidade 8200 das Forças de Defesa israelenses não é apenas uma divisão militar de inteligência é o berço de boa parte da inovação em cibersegurança que alimenta o mercado global. O país é um dos mais atacados do mundo. E, paradoxalmente, um dos mais resilientes. Não é coincidência.
Os Estados Unidos construíram um U.S. Cyber Command que integra múltiplas agências e usa exercícios como o Cyber Flag para simular guerras totais no ciberespaço. A mensagem é clara: não é hipótese, é preparação.
China e Rússia jogam em campo diferente. Não de defesa de ofensiva permanente. A China usa suas capacidades cibernéticas como instrumento de espionagem industrial de longo prazo e ganho estratégico. A Rússia integra ataques digitais a campanhas de desinformação e a conflitos convencionais, como o mundo acompanhou na Ucrânia. Para essas nações, a capacidade cibernética ofensiva não é uma opção de último recurso. É parte da política externa cotidiana.
A resposta honesta para quem quiser ouvi-la
Estamos mais preparados do que estávamos. Isso é verdade e precisa ser dito. Mas estarmos “mais preparados do que antes” não é o mesmo que estarmos preparados para o que está vindo.
A escassez de talentos qualificados é real. A desigualdade de maturidade entre os setores críticos é real. A ausência de uma política de Estado mais explícita sobre capacidades ofensivas nos deixa numa posição que, diplomaticamente, poderíamos chamar de “vulnerabilidade calculada” e que, honestamente, é uma aposta arriscada num mundo onde os ataques não esperam o adversário se sentir pronto.
O caminho existe. O ComDCiber existe. O Guardião existe. A competência existe e fica cada vez mais evidente em exercícios internacionais. O que falta não é diagnóstico. O que falta é a decisão, sistemática e continuada, de investir em pessoas, tecnologia e cultura de segurança antes que o próximo incidente nos force a fazê-lo às pressas.
Porque os inimigos invisíveis que mencionei lá no início desta coluna não estão esperando o Brasil se organizar. Eles já estão dentro das redes. A questão não é se vão atacar é quando, e se vamos estar prontos para responder.