Cybersecurity para OSCs: Phishing, Ransomware e Como Proteger Dados de Atendidos sem Virar Manchete
Equipe Nexus
Autor02 de julho de 2026
8 min de leitura
Pontos-Chave sobre Cybersecurity em OSCs
- 68% dos vazamentos de dados em 2024 envolveram elemento humano — erro ou phishing
- 30% de aumento anual em ataques cibernéticos a organizações em 2024
- OSCs são alvo atrativo: tratam dados sensíveis (CPF, saúde, vulnerabilidade) e têm segurança fraca
- Um ataque não é só prejuízo técnico — é incidente de segurança com dados sensíveis na LGPD, com multas de até R$ 50 milhões
Por Que OSCs São Alvo de Ataques Cibernéticos
A imagem do hacker mirando grandes corporações esconde a realidade: organizações sem fins lucrativos são alvo frequente exatamente porque tratam dados valiosos e têm proteção fraca. Uma planilha de atendidos com CPF, endereço, dados de saúde e situação de vulnerabilidade é um ativo que criminosos podem vender ou usar para extorsão.
O Verizon Data Breach Investigations Report (DBIR) 2024 analisou 30.458 incidentes e 10.626 vazamentos confirmados — um recorde. O dado mais revelador: 68% dos vazamentos envolveram elemento humano não malicioso, ou seja, alguém que clicou em phishing, errou uma configuração ou enviou dado para o destinatário errado. A tecnologia importa, mas o vetor principal continua sendo a pessoa.
Para OSCs, isso é duplamente grave. Um vazamento de dados de atendidos não é só incidente de TI — é incidente de segurança com dados sensíveis pela LGPD, o que dobra a severidade. E o impacto humano é real: famílias em vulnerabilidade que confiam seus dados a uma OSC podem ser expostas a discriminação, extorsão ou violência.
Panorama dos Ataques Cibernéticos em 2024
- 68% dos vazamentos envolveram elemento humano (erro ou phishing)
- 32% de todos os vazamentos envolveram ransomware ou extorsão
- 30% de aumento anual no número de ataques cibernéticos semanais por organização
- 21 segundos é o tempo mediano para um usuário clicar em um link de phishing após abrir o e-mail
Fontes: Verizon — 2024 Data Breach Investigations Report (DBIR); Integrity360 — 2024 in 24 cyber security statistics
4 Ameaças Reais para OSCs
1. Phishing por E-mail de Doação
O phishing mais perigoso para OSCs é o que se disfarça de doação. Um e-mail falso com o logo de uma empresa dizendo "confirmamos seu patrocínio de R$ 50 mil, abra o anexo para os detalhes" — e o anexo é malware. Ou um e-mail que se passa por um atendido pedindo "atualização dos meus dados" com um link que rouba credenciais.
Exemplo prático: Uma captação de recursos recebe um e-mail supostamente de uma fundação mantenedora: "precisamos atualizar os dados bancários para o repasse do edital, clique aqui". O link leva a uma página falsa que rouba a senha do e-mail institucional. Com acesso ao e-mail, o atacante acessa documentos, contatos de doadores e dados de atendidos anexados.
2. Ransomware em Planilhas e Documentos
Ransomware criptografa os arquivos do computador ou da rede e exige resgate para liberar. Para uma OSC que mantém cadastro de atendidos em planilhas locais, um ransomware significa: perder o acesso a todo o histórico de atendimento ou pagar resgate — sem garantia de recuperação.
O DBIR 2024 mostra que ransomware e extorsão representaram 32% de todos os vazamentos. Para OSCs, o risco não é só perder o dado — é o atacante ameaçar publicar dados sensíveis de atendidos se o resgate não for pago, o que configura incidente de segurança com dados sensíveis sob a LGPD.
3. Vazamento por Planilha em E-mail Errado
O vetor mais comum não é hacker — é erro humano. Enviar a planilha de atendidos para o e-mail errado, copiar um destinatário em cópia quando deveria ser cópia oculta, anexar documento errado. O DBIR 2024 mostra que 28% dos vazamentos envolveram erros — e esse número cresceu com a ampliação da base de reporte obrigatório.
Exemplo prático: Um estagiário envia o relatório mensal de atendidos para o mantenedor, mas copia por engano uma lista de e-mails de doadores na cópia visível — expondo os contatos de todos. Isso é incidente de segurança notificável pela LGPD, mesmo sem hacker.
4. Acesso de Ex-Funcionário ou Ex-Voluntário
Quando um integrante sai da OSC e mantém acesso ao sistema (ou à planilha compartilhada no drive), o risco é real. Dados de atendidos podem ser copiados, usados para contato indevido ou vazados. O controle de acesso por perfil só funciona se for revogado quando o vínculo acaba.
Diferencial do Nexus Social: o acesso é controlado por perfil e revogável a qualquer momento pela administração. Cada acesso a dados sensíveis é registrado na trilha de auditoria — quem acessou, o quê, quando. Quando um integrante sai, o admin revoga o acesso em segundos; não há planilha compartilhada que continue acessível.
Como Proteger Dados de Atendidos na Prática
1. Mova Dados Sensíveis para Sistema com Criptografia
Planilhas locais e drives compartilhados são o vetor mais explorável. Um sistema de gestão com criptografia em repouso para campos sensíveis (CPF, documentos, dados de saúde) elimina o risco de a planilha circular. O dado sensível vive criptografado no banco; só quem tem perfil vê, e só em contexto legítimo.
2. Implemente Controle de Acesso por Perfil
Nem todo integrante precisa ver CPF, endereço ou dados de saúde de atendidos. O controle de acesso por perfil restringe o que cada um vê — um oficineiro vê o nome e a presença, não o documento. Isso reduz a superfície de exposição: mesmo que uma conta seja comprometida, o atacante acessa só o que aquele perfil acessa.
3. Use mTLS e HMAC para Comunicação Segura
Se a OSC usa sistema web, a comunicação entre frontend e backend precisa ser protegida contra interceptação. mTLS (mutual TLS) exige que o cliente apresente um certificado válido — não basta a conexão ser HTTPS, o cliente precisa se autenticar. HMAC (Hash-based Message Authentication Code) assina cada requisição com uma chave compartilhada, impedindo que alguém intercepte e modifique a requisição no caminho.
4. Treine a Equipe contra Phishing
Como 68% dos vazamentos envolvem elemento humano, treinar a equipe é a defesa de maior impacto. Simulações de phishing, regra de "verificar por canal alternativo antes de clicar em link de doação", e cultura de reportar e-mail suspeito (não de esconder por vergonha) reduzem drasticamente o risco.
5. Tenha Backup e Plano de Resposta a Incidente
Se o pior acontecer, o backup e recuperação é o que separa um incidente de um desastre. E o plano de resposta a incidente — quem notifica a ANPD, em quanto tempo, como comunica aos titulares afetados — é obrigação da LGPD, não opcional.
Comparativo: Planilha Local vs. Sistema com Segurança Nativa
| Critério | Planilha / Drive Compartilhado | Sistema com Segurança |
|---|---|---|
| Criptografia de dados sensíveis | Não | Sim (em repouso) |
| Controle de acesso por campo | Tudo ou nada | Por perfil |
| Trilha de auditoria | Inexistente | Quem acessou, o quê, quando |
| Risco de phishing em planilha | Alto | Não se aplica |
| Risco de e-mail errado | Alto | Não se aplica (dado no sistema) |
| Revogação de acesso de ex-integrante | Manual, frequentemente esquecida | Em segundos pelo admin |
| Comunicação mTLS + HMAC | Não se aplica | Nativa |
O Risco de Tratar Cybersecurity como Problema de Grande Empresa
A falácia mais perigosa é "minha OSC é pequena, ninguém vai me atacar". O atacante não mira pelo tamanho — mira pela vulnerabilidade. Uma OSC pequena com planilhas de dados sensíveis e sem segurança é alvo mais fácil que uma grande empresa com time de TI. E o impacto é desproporcional: uma grande empresa tem recurso para responder; uma OSC pequena pode não sobreviver à multa e à perda de confiança.
A LGPD não diferencia por porte. O artigo 48 da lei exige que o controlador comunique à ANPD incidentes de segurança que possam acarretar risco aos titulares, no prazo de 2 dias úteis. Sem plano, sem sistema, sem trilha — a OSC não consegue nem cumprir a notificação.
Fonte: Lei nº 13.709/2018 (LGPD) — Planalto, art. 48
Perguntas Frequentes
Preciso de um time de TI para ter cybersecurity básica?
Não. As proteções de maior impacto — sistema com criptografia, controle de acesso por perfil, trilha de auditoria, treino anti-phishing — não exigem time de TI interno. Exigem escolher a ferramenta certa e treinar a equipe. O sistema fornece a estrutura; a equipe fornece o uso responsável.
Como saber se minha OSC já sofreu um incidente?
Sinais: e-mails de doadores questionando mensagens que não vieram de você, lentidão inexplicável em computadores, arquivos com extensão alterada (ransomware), contatos recebendo spam que parece vir da OSC. Se suspeitar, isole o equipamento, não desligue (preserva evidências), acione o plano de resposta e notifique a ANPD em 2 dias úteis se houver risco aos titulares.
Backup na nuvem resolve o risco de ransomware?
Parcialmente. Backup na nuvem protege contra perda de dado, mas se o backup estiver conectado ao sistema comprometido, o ransomware pode criptografar também. A boa prática é backup isolado (offline ou em rede separada) com testes periódicos de restauração.
mTLS e HMAC são obrigatórios pela LGPD?
A LGPD não cita tecnologias específicas, mas exige (art. 46) medidas de segurança técnicas e administrativas proporcionais ao risco. Para uma OSC que trata dados sensíveis de famílias vulneráveis, mTLS e HMAC são proporcionais ao risco — e são o que um auditor consideraria adequado.
Se sua OSC quer proteger dados sensíveis de atendidos com criptografia, controle de acesso por perfil, trilha de auditoria e comunicação segura (mTLS + HMAC), o Nexus Social foi construído com essas camadas nativas. Agende uma demonstração.
Fontes e Referências
- Verizon — 2024 Data Breach Investigations Report (DBIR) — Relatório anual com análise de 30.458 incidentes e 10.626 vazamentos confirmados, com dados sobre elemento humano, ransomware e phishing (2024)
- Integrity360 — 2024 in 24 cyber security statistics — Compilação de estatísticas de cybersecurity 2024, incluindo aumento de 30% em ataques semanais (Check Point) e 68% de vazamentos com elemento humano (Verizon)
- Lei nº 13.709/2018 (LGPD) — Planalto — Base legal para proteção de dados pessoais, arts. 11 (dados sensíveis), 46 (segurança) e 48 (notificação de incidentes) (2018)
Escrito por Equipe Nexus
Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.