Panorama Semanal (24/11/ 2025)

Panorama Semanal — Segurança da Informação no Ensino Superior

  1. Ameaças persistentes ao setor universitário no Brasil

No Brasil, o setor de ensino superior continua a ser alvo frequente de ciberataques. Um levantamento recente aponta que instituições de ensino já enfrentaram invasões, sequestro de dados (ransomware) e mineração de criptomoedas em seus ambientes de TI. Revista Pesquisa Fapesp+1
Por exemplo:

  • Redes acadêmicas no país registram milhares de tentativas por mês, sendo que muitas já atingiram centros de pesquisa e universidades. Revista Pesquisa Fapesp
  • Um relatório indica que cerca de 80% das entidades educacionais brasileiras já foram vítimas de ransomware. Jataí News+1
    Para instituições como a Universidade Federal do Rio Grande do Sul (UFRGS) ou a Universidade Federal do Piauí (UFPI), ou seja, todo instituto federal ou universidade, isso significa atenção constante aos sistemas de proteção, autenticação e backup.
  1. Vazamento de credenciais atinge holding educacional

Na última semana, foi divulgado que cerca de 100 mil credenciais de alunos e funcionários da holding educacional Universidade Cruzeiro do Sul e outras instituições foram colocadas à venda por criminosos. athenasecurity.com.br
Os impactos potenciais para uma instituição de ensino superior são: acessos indevidos a sistemas acadêmicos, adulteração de notas/documentos, e comprometimento de dados sensíveis de usuários (alunos, docentes, técnicos).
Dica operacional: revisão imediata de autenticação de dois fatores (2FA), monitoramento de logins incomuns e atualização de senhas de contas de usuários administrativos.

  1. Alerta internacional: vazamento em universidade estrangeira demonstra risco global

Embora fora do Brasil, o incidente na University of St. Thomas (EUA) — que sofreu vazamento de mais de 630 mil arquivos confidenciais após troca de provedor de TI — serve de alerta para qualquer instituição de ensino superior que terceirize operações de TI. Houston Chronicle
Esse caso evidencia que:

  • Mudança de fornecedor pode gerar lacunas de segurança se não acompanhada de due-diligence adequado.
  • Dados acadêmicos e administrativos são alvos lucrativos para criminosos.

Impactos chaves para instituições de ensino superior

  • Operacional: interrupção de sistemas acadêmicos, administrativos ou de pesquisa.
  • Financeiro e reputacional: custos de recuperação, notificações e possível perda de confiança de alunos, docentes e parceiros.
  • Regulatórios: necessidade de conformidade com leis de proteção de dados (ex: Lei Geral de Proteção de Dados Pessoais - LGPD) pode gerar obrigações de relatório, auditoria e multas.

Recomendação para gestores de segurança da informação

Para gestores como você na área de Segurança da Informação, Luiz, é prudente considerar:

  • Realização de simulações de incidente (tabletop exercises) para equipes de TI e segurança.
  • Avaliação de maturidade de segurança da instituição (governança, processos, tecnologia).
  • Verificação rigorosa de contratos e práticas de fornecedores terceirizados de TI (terceirização não exime a instituição da responsabilidade).
  • Campanhas de conscientização para toda a comunidade da universidade — alunos, professores, técnicos — reforçando senhas, 2FA, cuidado com phishing.

Dicionário de Termos

  • Ransomware: tipo de malware que bloqueia sistemas ou criptografa dados, exigindo pagamento de resgate para liberação.
  • Criptomoedas: moedas digitais (ex: bitcoin) usadas muitas vezes em pagamento de resgate em ataques.
  • Credenciais: conjunto de informações (usuário + senha) que permite acesso a sistemas.
  • Autenticação de dois fatores (2FA): mecanismo de segurança que exige duas formas de verificação para acesso (por exemplo, senha + código no celular).
  • Terceirização de TI: contratação de empresa externa para gerir parte ou toda a infraestrutura/provedores de serviços de tecnologia de uma organização.
  • Maturidade de segurança: nível de desenvolvimento e robustez da governança, processos e tecnologia de segurança da informação de uma instituição.

Fontes:

  • Revista Pesquisa – “Cyberattacks on universities and scientific institutions on the rise in Brazil” – 6 dias atrás – Link Revista Pesquisa Fapesp
  • Athena Security – “100 mil credenciais de alunos e funcionários: o vazamento de dados da Universidade Cruzeiro do Sul” – 10 Novembro 2025 – Link athenasecurity.com.br
  • Houston Chronicle – “Massive data breach at University of St. Thomas came after stern warnings…” – 11 Novembro 2025 – Link Houston Chronicle