A forma como pequenas e médias empresas trabalham mudou de vez — mas a forma como elas sofrem ataques também. As equipes são distribuídas, ferramentas SaaS cuidam de tudo, da folha de pagamento ao gerenciamento de projetos, e prestadores de serviço e fornecedores entram e saem dos sistemas regularmente. A cada nova ferramenta ou novo funcionário com acesso, o número de possíveis pontos de entrada aumenta.
Essa superfície de ataque em expansão importa porque ataques baseados em credenciais, incluindo phishing, invasão de contas e roubo de senhas, se tornaram uma das formas mais comuns de comprometer empresas. Eles funcionam precisamente porque o acesso se espalhou, o que dificulta o rastreamento. Tudo o que um invasor precisa fazer agora é encontrar um conjunto válido de credenciais para contornar as defesas da sua empresa.
Nesse contexto, deveria ser animador que mais da metade das pequenas empresas agora use um gerenciador de senhas empresarial. Mas o Relatório de Cibersegurança para PMEs 2026 da Proton — um estudo global com 3.000 tomadores de decisão de PMEs — constatou que uma em cada quatro ainda sofreu uma violação no ano passado.
Tudo isso aponta para uma lacuna entre como as ferramentas são adotadas e como elas realmente são usadas.
Como as PMEs usam gerenciadores de senhas hoje
A maioria dos gerenciadores de senhas é projetada para fazer uma coisa bem: ajudar você a lembrar suas senhas. Na prática, isso significa criar senhas complexas e exclusivas e gerenciá-las em um cofre criptografado. Isso é muito melhor do que o padrão de reutilizar as mesmas credenciais em contas e plataformas.
Mas, como as senhas são o ponto de entrada mais fácil para um invasor, as PMEs precisam que os gerenciadores de senhas façam muito mais do que apenas resolver problemas de memória e conveniência. Elas precisam deles para proteger o acesso.
O acesso é uma questão muito mais ampla. As pessoas certas têm as credenciais certas — e você saberia o que elas desbloqueiam ou se elas caíssem em mãos erradas? E, à medida que as equipes crescem, as assinaturas se acumulam e prestadores de serviço entram e saem, as preocupações da sua organização precisam deixar de focar apenas no fortalecimento de senhas e passar a levar em conta ameaças reais à segurança.
Essa é a mudança que a maioria das empresas não faz até que algo dê errado.
Onde as implementações de gerenciadores de senhas falham
A principal conclusão do nosso relatório foi que empresas que adotam gerenciadores de senhas não os usam de forma consistente.
O compartilhamento inseguro de credenciais ainda persiste em níveis surpreendentemente altos:
- 33% as compartilham em documentos ou planilhas compartilhados
- 30% compartilham credenciais por e-mail
- 27% as compartilham por aplicativos de mensagens
- 25% as anotam
- 24% as compartilham verbalmente
Esse é o retrato de pessoas ocupadas escolhendo o caminho mais rápido disponível naquele momento. Em vez de alternar para o aplicativo do gerenciador de senhas e compartilhar uma nova credencial no cofre apropriado, elas podem colá-la no Slack ou em um e-mail.
Vistos isoladamente, esses atalhos parecem inofensivos. Mas, com o tempo, as credenciais acabam espalhadas por caixas de entrada, históricos de chat e documentos compartilhados de formas difíceis de desfazer. Quando um funcionário sai, depois não dá para revogar o acesso. E atualizar senhas de uma hora para outra após uma violação de dados se torna impossível, a menos que elas estejam armazenadas em um local seguro e centralizado.
Treinamentos para reforçar políticas de segurança podem ajudar, mas nossa pesquisa revelou que nem isso basta…
Por que o treinamento de conscientização em segurança não basta
Nosso relatório constatou que 39% das PMEs sofreram um incidente de segurança causado por erro humano. Essa estatística é fácil de interpretar mal; a reação natural é presumir que funcionários mais cuidadosos significam menos incidentes.
Mas esse enquadramento deixa escapar algo importante: Sistemas de segurança que dependem de um comportamento perfeito sob a pressão do dia a dia sempre vão esbarrar na realidade. Erros acontecem não porque as pessoas não se importam, mas porque a opção segura muitas vezes exige mais esforço e tempo do que a PME típica pode arcar. Até equipes bem-intencionadas vão encontrar atalhos quando estiverem com poucos recursos.
A solução duradoura não é mais treinamento. É projetar sistemas em que a opção segura também seja a mais fácil.
Quando compartilhar o acesso com segurança não exige mais esforço do que colar uma senha em uma mensagem de chat, as pessoas farão isso.
Quando o problema de acesso foge do controle
O problema das credenciais se agrava à medida que as equipes crescem.
Hoje, 86% das PMEs dependem de serviços baseados em nuvem para as operações do dia a dia. Isso normalmente significa credenciais espalhadas por ferramentas de gerenciamento de projetos, plataformas financeiras, software de marketing, armazenamento de arquivos e sistemas voltados ao cliente, cada um com suas próprias permissões e histórico de acesso.
O acesso não se dispersa apenas entre sistemas; ele se espalha pela organização, fluindo entre equipes, parceiros externos, prestadores de serviço e ex-funcionários que ainda podem manter alguma forma de acesso.
Isso significa que, na prática, as credenciais se acumulam, acessos antigos continuam por perto e o número de pessoas que têm — ou tiveram — as chaves dos seus sistemas mais sensíveis cresce além do que é fácil acompanhar.
Ter ferramentas não é o mesmo que estar protegido
As PMEs que sofreram violações no ano passado não estavam economizando em segurança: 92% investiam ativamente em ferramentas de segurança. Elas tinham gerenciadores de senhas, e-mail criptografado, programas de treinamento e políticas por escrito em vigor. Em outras palavras, suas configurações pareciam sólidas no papel.
O que faltava a muitas era aplicação consistente. A autenticação multifator (MFA) estava ativada, mas não era obrigatória; gerenciadores de senhas tinham sido implantados, mas não incorporados aos hábitos diários; e os processos de integração e desligamento eram conduzidos informalmente, e não de forma sistemática. Suspeitamos, dada a popularidade dos gerenciadores de senhas de navegador, que muitas nem sequer usavam uma plataforma de equipe centralizada — e dependiam, em vez disso, de uma colcha de retalhos de opções menos seguras em nível individual.
Cada uma dessas falhas é pequena e permanece invisível até deixar de ser.
A verdadeira medida de uma configuração de segurança não está nas ferramentas que aparecem na lista, mas em saber se essas ferramentas resistem à pressão cotidiana da forma como as pessoas realmente trabalham.
Aqui estão algumas práticas para ajudar sua empresa a se aproximar mais dessa realidade:
- Use um gerenciador de senhas feito para equipes. Gerenciadores de senhas do navegador não são apenas menos seguros, eles também não têm as ferramentas de administrador de que os gestores precisam para manter controle total das suas contas. A menos que você tenha um gerenciador de senhas empresarial fácil de usar, isso não vai ser suficiente.
- Audite quem atualmente tem acesso a quê. Verifique as listas de usuários nas suas ferramentas mais sensíveis e veja se algum nome nelas parece inesperado.
- Substitua os inícios de sessão compartilhados por contas individuais. Embora seja fácil compartilhar inícios de sessão em um gerenciador de senhas, essa não é uma prática recomendada: inícios de sessão compartilhados reduzem a visibilidade no nível da conta, dificultando a identificação de uma violação e a resposta a ela.
- Torne a autenticação multifator obrigatória. A MFA é uma das proteções mais eficazes disponíveis — mas só quando é aplicada por padrão, e não deixada como uma configuração opcional.
- Torne o processo de desligamento sistemático. Toda saída, seja de um funcionário, prestador de serviço ou fornecedor, deve acionar imediatamente uma revisão de acesso, em vez de ser tratada depois como algo secundário.
Quer saber o que mais você pode aprender com nossa pesquisa com 3.000 líderes empresariais em seis mercados-chave? Leia mais no nosso Relatório de Cibersegurança para PMEs 2026. Você vai descobrir o que causa violações e quanto elas realmente custam, onde o erro humano aparece com mais frequência e como a adoção de nuvem e IA está criando novos pontos cegos. O relatório também inclui medidas práticas para reforçar a proteção que funcionam em condições reais.
