O **Verizon Data Breach Investigations Report (DBIR)** anual serve como um benchmark vital para a indústria de cibersegurança, oferecendo insights derivados de uma multitude de fontes de dados independentes. Este ano, o **DBIR** de 2026 sinaliza uma mudança estrutural significativa nas metodologias dos atacantes, enfatizando a crescente importância da visibilidade na camada do navegador. Como contribuinte para o **DBIR** de 2026, a equipe da **Keep Aware** obteve acesso antecipado a esses sinais convergentes. Sua telemetria de navegador se alinha com os dados do **DBIR**, revelando ainda mais áreas críticas onde as ferramentas tradicionais de rede e endpoint falham. ### Shadow AI: Um Risco Corporativo Generalizado **Shadow AI** emergiu como uma grande preocupação, identificada no **Verizon DBIR** como a terceira ação de insider não maliciosa mais comum observada em conjuntos de dados de Prevenção de Perda de Dados (DLP). Isso representa um aumento de quatro vezes em relação ao ano anterior. Os funcionários estão usando cada vez mais serviços de IA pessoais como **ChatGPT** para agilizar tarefas, muitas vezes colando documentos internos ou código-fonte em sessões não autorizadas antes que alternativas aprovadas pela empresa estejam disponíveis. A escala desse uso não autorizado de IA é impressionante: 67% dos usuários acessam serviços de IA em dispositivos corporativos por meio de contas pessoais e não corporativas. Além disso, 45% dos funcionários são agora usuários regulares de IA. A telemetria de navegador da **Keep Aware** adiciona uma camada crucial de detalhes, mostrando que mais da metade das entradas de prompt de IA são enviadas para contas pessoais. Um significativo 23% dos uploads de prompts sensíveis envolvem dados transitando por contas pessoais ou não verificadas, contornando efetivamente as políticas de DLP corporativas e a infraestrutura de logging.  ### Abuso de Credenciais e a Lacuna de Detecção do Navegador O **DBIR** de 2026 descobriu que 39% das violações envolveram abuso de credenciais. Os dados de ataque de 2025 da **Keep Aware** corroboram isso, identificando o roubo de credenciais baseado em navegador como o principal ataque baseado em navegador, respondendo por aproximadamente 41% da atividade de ameaças observada. Isso sugere que o roubo de credenciais originado no navegador muitas vezes precede violações bem-sucedidas. Uma descoberta crítica é a invisibilidade desses ataques para ferramentas de segurança tradicionais. A análise da **Keep Aware** revelou que 63% dos sites de phishing com tema **Microsoft** não foram sinalizados por nenhum fornecedor do **VirusTotal** no momento da exposição do funcionário. Mais alarmante, 100% das tentativas de roubo de credenciais observadas contornaram os controles de segurança não relacionados ao navegador existentes, incluindo proxies de rede, filtros DNS e agentes de endpoint. A detecção, aparentemente, só é possível de forma confiável dentro do próprio navegador, onde a página é renderizada e a interação do usuário ocorre. ### Extensões de Navegador: Privilegiadas, Não Governadas e Ameaça em Expansão As extensões de navegador operam com um alto nível de privilégio, capazes de ler, modificar e exfiltrar dados do contexto do navegador. Apesar disso, o **DBIR** de 2026 destacou que a empresa média tem mais de 15% de usuários com extensões de IA não autorizadas instaladas. O problema se estende além das ferramentas de IA. A telemetria da **Keep Aware** mostra que 13% das extensões de navegador exclusivas em sua base de clientes foram classificadas como de risco alto ou crítico. Uma visão particularmente preocupante é que 93% dessas extensões de má reputação foram rotuladas como ferramentas de "produtividade" pelos marketplaces de navegadores. Essa categorização comum torna as políticas de allowlisting baseadas em categoria funcionalmente inúteis para essa classe de ameaças. ### ClickFix e Engenharia Social Nativa do Navegador Tanto o **DBIR** de 2026 quanto o Relatório de Estado de Segurança do Navegador da **Keep Aware** destacam o **ClickFix** como uma técnica emergente de engenharia social. O **Verizon DBIR** observou que o **ClickFix** foi responsável por 2,7% dos ataques detectados pelo navegador, um indicador pequeno, mas significativo, da evolução da engenharia social baseada em navegador.  O **ClickFix** é uma tática enganosa projetada para induzir os usuários a executar inadvertidamente código malicioso do navegador em sua máquina host. Esses ataques geralmente se originam de sites comprometidos ou até mesmo de respostas maliciosas de chat LLM. Embora o endpoint sofra o impacto final, o navegador serve como o meio inicial de engenharia social e, crucialmente, a primeira linha de defesa. ### O Elemento Humano: Um Problema Centrado no Navegador O **DBIR** de 2026 descobriu que 62% das violações envolveram o elemento humano, com o phishing iniciando 16% dos incidentes. Os dados da **Keep Aware** enfatizam ainda mais isso, mostrando que phishing e engenharia social foram responsáveis por 46% dos ataques de navegador em 2025. Embora frequentemente enquadrado como uma questão de treinamento e conscientização, os atacantes estão constantemente refinando a engenharia social baseada em navegador. Táticas incluem links de phishing para sites intermediários benignos, cadeias complexas de redirecionamento, páginas que renderizam de forma diferente para scanners automatizados, conteúdo hospedado em sites legítimos e injeções silenciosas na área de transferência. A visibilidade no nível do navegador não elimina o elemento humano, mas desloca a detecção para o ponto de interação, identificando ameaças antes que sejam exploradas downstream. ### Implicações para Equipes de Segurança **Shadow AI**, roubo de credenciais, extensões maliciosas e técnicas de engenharia social nativas do navegador como **ClickFix** compartilham um fio comum: todos eles executam dentro do navegador e produzem artefatos mais, se não apenas, visíveis na camada do navegador. Programas de segurança que dependem exclusivamente de telemetria de rede, endpoint e identidade continuarão a ter pontos cegos significativos precisamente onde os atacantes estão operando cada vez mais. O navegador não é mais apenas um aplicativo; para a maioria dos usuários corporativos, é o ambiente de trabalho principal. Protegê-lo não é mais uma opção, mas uma necessidade. Compreender essa lacuna é crucial antes que os atacantes a explorem.