- Governos costumam desencorajar o pagamento de resgates; na Austrália, pagar pode ser crime sob a lei de sanções, com avaliação caso a caso para eventual Prosecution.
- Dados australianos indicam que, até jan de 2026, 75 empresas com faturamento de pelo menos $ 3 milhões anuais haviam pago resgates; a média paga foi de $ 711.000, reduzida em relação ao ano anterior.
- Segundo o relatório da Akamai, a maioria das organizações prefere se preparar para ataques do que pagar para recuperar sistemas, com foco em evitar danos adicionais.
- O caso Canvas mostra que muitas empresas consideram negociar com os hackers para proteger a privacidade dos usuários, mesmo diante de incertezas sobre a liberação de dados.
- Perguntas frequentes em reuniões são sobre a real eficácia de pagar para impedir a exposição de dados; especialistas ressaltam que criminosos podem simular cooperação sem garantia de exclusão completa dos dados.
O debate sobre pagar ou não ransomwares volta a ganhar força após o ataque à Canvas, quando várias empresas demonstraram disposição em negociar para proteger dados de usuários. Organizações costumam receber pedidos de extorsão para desbloquear sistemas, e as decisões variam conforme o risco de vazamento de informações.
Governos costumam orientar contra o pagamento, inclusive Reino Unido, Estados Unidos e Austrália, segundo o relatório anual da Akamai sobre ransomware. A análise aponta que quitar o resgate pode aumentar a atratividade do vetor de ataque para grupos criminosos ao ampliar a probabilidade de retorno financeiro.
Na prática australiana, pagar pode integrar uma lista de crimes sob leis de sanções cibernéticas. O órgão de sanções afirma que pagamentos são avaliados caso a caso para eventual encaminhamento à persecução. Além disso, não há garantia de que o pagamento impeça a divulgação de dados ou interrompa ameaças.
Dados regulatórios indicam que, desde o fim de maio do ano passado, 75 empresas com faturamento anual de pelo menos 3 milhões de dólares denunciaram pagamentos de resgates até janeiro de 2026. O governo não divulga valores pagos. Em estudo da McGrathNichol, feito com 800 executivos de empresas com 50 ou mais funcionários, o valor médio foi de 711 mil dólares, abaixo de 1,35 milhão registradas no ano anterior.
Os pesquisadores observaram também que 64% dos respondentes já optaram por pagar e 81% indicaram que, em teoria, pagariam. Segundo a equipe, as empresas têm se preparado melhor para ataques cibernéticos e, em alguns casos, tratam o pagamento como forma de conter danos ao liberar dados, em vez de desbloquear sistemas.
A enquadramento de Canvas gerou debate entre especialistas. Um dos analistas afirma que, mesmo com a remoção de conteúdos do espaço de vazamento, não há garantia de que o atacante tenha excluído todas as cópias ou que não tenha utilizado os dados de outra forma. O tema volta a preocupar empresas ao redor do país, com diferentes estratégias de resposta a incidentes.
Perspectivas de pagamento e confiança
Especialistas ressaltam que a lógica de negócios dos hackers depende da percepção de que são confiáveis para manter promessas. No entanto, a prática criminosa deixa dúvidas sobre a veracidade de cada entrega, especialmente quando há apresentadas capturas de tela de supostos deleitos ou exclusões aparentes.
Essa assimetria de informações complica a tomada de decisão das organizações. O consenso entre especialistas é de que depender da honestidade do atacante não é uma estratégia estável, e que medidas de prevenção e resposta podem reduzir ou eliminar a necessidade de pagamento em muitos casos.
Entre na conversa da comunidade