Quase nove em cada dez grandes empresas expostas a vulnerabilidades cibernéticas ativamente exploradas permanecem em risco por seis meses ou mais, apesar das correções disponíveis, de acordo com um novo estudo da KYND, provedora de análise de riscos cibernéticos.
A análise examinou mais de 2.000 organizações, incluindo empresas do FTSE 350 e do S&P 500. Os pesquisadores descobriram que 11% estavam expostas a vulnerabilidades ativamente exploradas, fraquezas de segurança atualmente aproveitadas em ataques no mundo real. Das expostas, 88% permaneceram vulneráveis por pelo menos seis meses.
Os analistas da KYND identificaram riscos que afetam a infraestrutura crítica e o software empresarial. A exposição abrangeu aplicativos da web e plataformas amplamente utilizadas, como Oracle, WordPress e Apache, bem como hardware de rede e protocolos de comunicação segura dos quais as empresas dependem diariamente. As descobertas apontam para atrasos generalizados na manutenção essencial e uma lacuna persistente entre a detecção e a correção de vulnerabilidades.
O estudo se concentrou em vulnerabilidades conhecidas por serem ativamente exploradas. O tipo mais prevalente foi a execução remota de código, responsável por 31% das principais vulnerabilidades. Essa falha permite que invasores executem comandos maliciosos em um sistema sem acesso físico ou credenciais válidas.
Incidentes recentes destacam a magnitude desse risco. Em outubro de 2025, uma falha crítica no Microsoft Windows Server Update Services foi explorada, permitindo que invasores obtivessem controle total de servidores sem patch. O evento levou a atualizações de emergência da Microsoft e avisos urgentes da Agência de Segurança Cibernética e Infraestrutura.
Andy Thomas [na foto], diretor executivo e fundador da KYND, disse que deixar os riscos cibernéticos sem solução pode ter consequências graves além da segurança de TI.
À medida que as seguradoras refinam seus modelos de precificação e avaliação de risco, a velocidade de correção e o gerenciamento de patches estão se tornando indicadores-chave da resiliência cibernética geral de uma organização.
“A abordagem de uma empresa em relação à aplicação de patches diz muito sobre sua abordagem ao risco”, disse Thomas. “À medida que a demanda por cobertura cibernética continua a crescer, as seguradoras cibernéticas estão reconhecendo cada vez mais que não é apenas o número de vulnerabilidades que importa, mas a rapidez com que as vulnerabilidades críticas são tratadas.”
Thomas acrescentou que a exposição prolongada raramente é um incidente isolado. “Quando a exposição dura meses, raramente é um caso isolado; é um sinal comportamental de que uma organização tem dificuldades com a correção em geral”, disse ele. “Essas vulnerabilidades podem ser exploradas para roubar dados, implantar malware ou interromper operações, transformando falhas evitáveis em sérios riscos comerciais.”
