Seu funcionário não precisou abrir o Tor para acessar conteúdo perigoso, ele só clicou no link errado.
Essa é a parte da história sobre o submundo da internet que raramente aparece nas conversas de segurança. Todo mundo fala sobre hackers acessando a dark web deliberadamente.
Muito pouco se fala sobre o funcionário que chegou lá sem saber, ou sobre os domínios maliciosos que ficam exatamente na fronteira entre a internet visível e o que os buscadores escolhem não mostrar.
Entender essa fronteira é o que separa uma empresa que detecta o problema antes do dano de uma que descobre meses depois, quando os dados já foram exfiltrados.
A internet que você vê é uma fração pequena
Quando alguém faz uma pesquisa no Google, está acessando o que chamamos de surface web, a camada indexada e visível da internet. Estudos amplamente citados na área de cibersegurança estimam que essa camada representa cerca de 10% do conteúdo total da internet.
O restante é dividido entre deep web e dark web.
Essa diferenciação importa porque muita gente confunde os dois conceitos.
A deep web é simplesmente o conjunto de páginas que os buscadores não indexam. Banco de dados corporativos, painéis de administração, sistemas internos de empresas, e-mails, registros médicos, conteúdo por assinatura. Nada necessariamente ilegal ou perigoso, apenas fora do alcance do Google.
Qualquer pessoa acessa a deep web todas as vezes que faz login em um sistema corporativo ou consulta um extrato bancário online.
A dark web é diferente. Ela é uma fração da deep web que funciona em redes anonimizadas, como o Tor, e que não pode ser acessada por navegadores convencionais.
Segundo dados de 2025, existem cerca de 2,5 milhões de usuários diários no Tor globalmente, e aproximadamente 57% do conteúdo disponível na dark web está associado a atividade ilegal, incluindo marketplaces de dados roubados, ferramentas de ataque, credenciais corporativas comprometidas e fóruns de cibercrime.
O que une esses três mundos, do ponto de vista de segurança corporativa, é que os domínios maliciosos que se alimentam de toda essa estrutura muitas vezes operam na superfície da internet visível. Endereços registrados com nomes convincentes, hospedados em servidores legítimos, distribuídos por campanhas de phishing ou anúncios comprometidos.
Seu funcionário não precisa do Tor para chegar lá.
Como o acesso acidental acontece na prática?
Aqui está onde a teoria encontra o cotidiano corporativo.
Campanha de phishing por e-mail é o vetor mais óbvio, mas não é o único. O funcionário que acessa um portal de notícias legítimo pode ser servido com um anúncio comprometido que carrega código malicioso, o malvertising. O que ele acessa é um site de notícias real.
O que ele recebe, sem saber, é uma conexão com um domínio controlado por atacantes.
Outro caminho frequente: o usuário faz uma busca no Google sobre um tema de trabalho, e o segundo ou terceiro resultado é uma página construída especificamente para aquela campanha de phishing, com aparência de portal legítimo, certificado SSL válido e tudo mais. Domínios de phishing modernos usam HTTPS.
O cadeado verde no navegador não significa mais nada em termos de segurança do destino.
Existe ainda o problema dos domínios recém-registrados com alto potencial malicioso. Atacantes registram domínios novos porque ainda não há histórico de reputação negativa associado a eles. Passam pela checagem de listas estáticas sem dificuldade.
O funcionário acessa, o malware é carregado, e a solução de segurança baseada em lista de reputação antiga não viu nada de errado.
Segundo dados do relatório anual da DNSFilter para 2025, 1 em cada 174 requisições DNS é maliciosa, um salto significativo em relação ao dado anterior, que era 1 em cada 1.000. Esse aumento reflete justamente a multiplicação de domínios maliciosos criados para uso de curta duração, exatamente o tipo de ameaça que escapa de soluções baseadas em listas estáticas.
O que vive no submundo e chega até a rede corporativa
A dark web não é apenas um marketplace de curiosidades. É uma infraestrutura de suporte ao cibercrime que tem consequências diretas para empresas de qualquer tamanho.
Ransomware-as-a-Service cresceu 63% ao ano segundo levantamentos recentes, tornando malwares avançados acessíveis a criminosos sem conhecimento técnico sofisticado. Isso significa que o atacante que mira sua empresa não precisa mais desenvolver o próprio arsenal. Aluga o que precisa, paga em criptomoeda, e conduz o ataque com ferramentas profissionais.
Mais de 703 milhões de registros de dados pessoais foram encontrados em marketplaces da dark web em 2024, um aumento de 28% em relação ao ano anterior. Uma parte significativa desses registros inclui credenciais corporativas. Credenciais que, quando chegam ao mercado clandestino, permitem que atacantes iniciem ataques de forma cirúrgica, sem precisar de phishing. Eles já têm o usuário e a senha. Precisam só entrar.
O ponto é esse: a dark web não está separada da sua rede corporativa por uma barreira intransponível. Ela alimenta o ecossistema de ataque que eventualmente chega até você por vetores completamente comuns, um e-mail, um link, um anúncio mal posicionado.
Por que o básico aqui é diferencial, não obviedade
Existe uma percepção de que proteção de borda é para grandes empresas, com infraestrutura complexa e time dedicado. Essa percepção está errada e ela custa caro.
Mais de três quartos das pequenas e médias empresas consideram o Shadow IT e o uso de ferramentas não autorizadas um risco de cibersegurança de moderado a grave, segundo pesquisa da Capterra de 2023. Quando esse dado é colocado ao lado do volume de domínios maliciosos que circulam na rede, o quadro fica claro: a maioria das PMEs está ciente do risco e sem proteção adequada para o vetor mais comum de ataque.
A proteção de borda que bloqueia o acesso a domínios perigosos antes que a conexão seja estabelecida é o mecanismo mais eficaz disponível para esse cenário. Não porque seja sofisticada. Porque age exatamente no ponto certo: antes do malware ser carregado, antes do usuário interagir com a página, antes de qualquer dano acontecer.
O DNS filtering como primeira linha de defesa intercepta ameaças no nível do domínio, que é o ponto mais inicial de interação do usuário com um site de ataque. A escalabilidade é outro ponto: por operar na camada DNS, pode ser implantado em equipes globais ou remotas com hardware mínimo.
Para uma PME com funcionários em home office, filiais pequenas ou equipes em campo, isso significa proteção uniforme sem precisar de appliances em cada ponto. A política é aplicada independente de onde o funcionário está conectado.
O que acontece quando não há proteção de borda?
A sequência é previsível.
O funcionário acessa um domínio malicioso por acidente. O malware é instalado de forma silenciosa. O atacante estabelece conexão com um servidor de comando e controle, geralmente também em um domínio não catalogado ainda. Começa a movimentação lateral pela rede. Dados são exfiltrados. O ransomware é acionado.
Todo esse processo pode demorar semanas entre o acesso inicial e a execução final. Segundo o relatório de violações da Verizon, 81% dos ataques começam com credenciais de funcionários roubadas.
Credenciais que frequentemente chegam ao atacante exatamente por esse caminho: um domínio malicioso acessado sem perceber, uma página de phishing que capturou usuário e senha antes que o funcionário percebesse que estava no site errado.
O custo médio de um ataque cibernético relacionado a Shadow IT e ferramentas não controladas é de US$ 4,88 milhões, segundo o relatório da IBM de 2024, o valor mais alto já registrado. Para uma PME, não existe recuperação financeira desse nível.
A proteção de borda não elimina todos os riscos. Mas remove o vetor mais simples e mais frequente de comprometimento, que é o acesso a domínios perigosos a partir da rede corporativa.
Edge DNS: proteção de borda que age antes da conexão
Monitorar registra o que já aconteceu. O Edge DNS impede que aconteça.
Ele funciona como uma camada de inteligência automatizada que age antes do clique, antes da conexão, antes do dano. Quando um funcionário tenta acessar um domínio, seja ele novo, suspeito ou parte de uma campanha ativa de phishing, o Edge DNS avalia a requisição em tempo real e bloqueia antes que qualquer dado trafegue.
O cadeado verde no navegador virou um argumento enganoso. Sites de phishing modernos usam HTTPS como qualquer portal legítimo. O Edge DNS vê o cadeado e pergunta: para onde exatamente você está indo?
Essa pergunta feita automaticamente, a cada requisição, para cada funcionário, em qualquer ponto da rede, é o que transforma proteção de borda de teoria em prática. Sem depender de listas desatualizadas. Sem exigir analista dedicado. Sem esperar o incidente acontecer para agir.
Eleve a segurança na navegação e proteja a superfície digital da sua empresa com o Edge DNS:
