Em 2020, o mundo descobriu que a Crypto AG, empresa suíça fornecedora de equipamentos criptográficos para mais de 120 governos, era controlada secretamente pela CIA e pelo BND alemão desde a Guerra Fria. Décadas de comunicações “seguras” de aliados, adversários e neutros foram interceptadas. O caso não foi uma anomalia: foi a confirmação de um princípio que deveria guiar qualquer decisão de segurança digital. Confiar em tecnologia estrangeira, sem auditoria e sem soberania, é um risco estrutural. E 23 anos atrás, quando a Kryptus foi fundada, esse princípio era o ponto de partida: se o Brasil precisava de cibersegurança soberana, ela teria que ser construída aqui, e teria que ser de classe mundial.
Este artigo não é uma celebração de aniversário. É uma análise de por que o problema que motivou a criação da Kryptus em 2003 ficou mais complexo e urgente a cada ano que passou.
O caso Crypto AG: quando a “segurança” era a ameaça
A operação batizada de Rubicon durou décadas. Governos do mundo inteiro pagaram por equipamentos criptográficos que, sem saber, entregavam suas comunicações mais sigilosas às agências de inteligência ocidentais. Ministérios, forças armadas, bancos centrais… Todos acreditavam estar protegidos. Estavam, na verdade, monitorados.
O que o caso Crypto AG revela não é apenas uma falha de segurança. É a demonstração de que dependência tecnológica é uma vulnerabilidade geopolítica, oposta à cibersegurança soberana.
Quantas organizações brasileiras, sejam financeiras, governamentais, de infraestrutura crítica, utilizam hoje soluções criptográficas cuja arquitetura interna é desconhecida? Quantas confiam em certificações emitidas por terceiros sem entender o que elas realmente validam?
Não existe resposta simples. Mas existe um critério nítido: tecnologia criptográfica crítica precisa ser auditável, certificada por padrões internacionais reconhecidos e, idealmente, desenvolvida com capacidade de rastreabilidade soberana. É exatamente sobre isso que tratam os 23 anos da Kryptus, e sobre como a cibersegurança soberana deixou de ser apenas uma aspiração.
A evolução da ameaça: 2003–2026
Quando a Kryptus foi fundada, o cenário de ameaças cibernéticas era radicalmente diferente. Ataques direcionados a infraestruturas críticas eram exceção. O conceito de ransomware como serviço não existia, e a superfície de ataque era uma fração do que é hoje.
Em 23 anos, o cenário mudou em três dimensões fundamentais:
O setor financeiro virou alvo prioritário
Ataques a bancos, fintechs e sistemas de pagamento deixam de ser ataques isolados e tornam-se campanhas estruturadas. O Brasil é consistentemente um dos países mais atacados da América Latina em termos de fraude financeira digital e comprometimento de infraestrutura bancária. A digitalização acelerada do sistema financeiro com o PIX, Open Finance e a tokenização de ativos, ampliou dramaticamente a superfície de ataque. Cada novo canal é um novo vetor.
A inteligência artificial entrou no lado errado
A IA adversarial transformou a escala e a sofisticação dos ataques. Deepfakes para engenharia social, modelos de linguagem usados para gerar phishing personalizado em escala industrial, automação de reconhecimento de vulnerabilidades… O atacante de 2026 tem acesso a ferramentas que o atacante de 2015 não poderia imaginar. A defesa precisa evoluir na mesma velocidade, ou mais rápido.
A criptografia pós-quântica deixou de ser ficção científica
O NIST finalizou em 2024 os primeiros padrões de criptografia pós-quântica, o ML-KEM, ML-DSA e SLH-DSA. A razão é concreta: computadores quânticos suficientemente potentes para quebrar RSA e ECC não são mais uma hipótese teórica distante. Organizações que processam dados sensíveis com vida útil longa precisam considerar hoje a migração para algoritmos resistentes à computação quântica. O ataque “harvest now, decrypt later”, o qual os adversários coletam dados criptografados agora para decifrar no futuro, já é uma realidade documentada.
O diferencial Kryptus em cibersegurança soberana
Qualquer empresa pode se autodeclarar segura. Poucas submetem sua tecnologia à validação dos padrões mais exigentes do mundo. A Kryptus é das poucas validadas.
Por que FIPS 140, Common Criteria e EED importam (de verdade)
| Certificação | O que valida | Por que importa |
|---|---|---|
| FIPS 140 | Módulos criptográficos — hardware e software que implementam algoritmos | Exigido pelo governo americano e adotado como referência pelo Banco Central do Brasil e por instituições financeiras globais. Sem FIPS, um HSM não entra em ambientes regulados. |
| Common Criteria (EAL) | Segurança de produto de TI — avalia design, implementação e resistência a ataques | Padrão ISO/IEC 15408, reconhecido por 31 países. Demonstra que o produto foi avaliado por laboratório independente. |
| EED (Equipamento Especial de Defesa) | Homologação pelo Ministério da Defesa para uso em sistemas de segurança nacionais | Requisito para operação em infraestruturas críticas de defesa nacional. Demonstra rastreabilidade soberana — o produto não é uma caixa preta estrangeira. |
Para o mercado financeiro, essas certificações têm implicação direta na conformidade com LGPD, com as resoluções do BACEN sobre segurança cibernética (Resolução CMN 4.893) e com os requisitos de auditoria de infraestrutura do sistema de pagamentos brasileiro. Certificação é evidência auditável de que a solução faz o que diz fazer.
Nosso impacto ao longo do tempo
Em 23 anos, a Kryptus acumulou projetos que definem o que significa proteger infraestrutura que não pode falhar. Quatro deles ilustram o alcance atual da empresa:
Os Hardware Security Modules da Kryptus protegem operações criptográficas críticas no coração do sistema financeiro brasileiro — geração de chaves, assinatura digital de transações, autenticação de dispositivos. Com certificação Common Criteria, são um dos pouquíssimos HSMs de desenvolvimento nacional com esse nível de validação independente, eliminando a dependência de fornecedores estrangeiros em infraestrutura que sustenta trilhões de reais em transações.
Sistemas de comunicação segura para Forças Armadas e órgãos de defesa exigem um nível de confiança que nenhum fornecedor estrangeiro pode oferecer com completude: rastreabilidade total do código, homologação pelo Ministério da Defesa como EED e capacidade de auditoria independente. A Kryptus é um dos poucos — senão o único — desenvolvedor nacional com essa tripla validação.
O Security Operations Center gerenciado da Kryptus representa a expansão para além do produto — para o serviço contínuo de proteção. Monitoramento 24/7, correlação de eventos com inteligência de ameaças e resposta a incidentes para organizações que precisam de uma camada de defesa operacional sem montar uma estrutura interna de alto custo. Uma frente que, por definição, atende tanto o setor público quanto o privado.
Mais de 130 milhões de brasileiros já utilizaram o portal gov.br, e cada assinatura digital emitida por esse sistema passa pelo kNET HSM, o módulo criptográfico da Kryptus que sustenta essa infraestrutura. São mais de 600 mil assinaturas digitais processadas por dia: autenticação de identidades, proteção de documentos oficiais, integridade de transações governamentais. Não é um projeto-piloto nem uma integração periférica, é o coração criptográfico da transformação digital do Estado brasileiro.
Visão de futuro: onde a Kryptus aponta para os próximos anos
Três vetores definem o horizonte estratégico da empresa, e de forma mais ampla, o horizonte da cibersegurança de infraestrutura crítica no mundo:
→Migração pós-quântica: Com os padrões NIST estabelecidos, o próximo ciclo da criptografia já começou. Organizações com dados de vida útil longa: chaves mestras, registros regulatórios, comunicações classificadas, precisam iniciar agora o mapeamento de ativos criptográficos e planejar a transição para ML-KEM e ML-DSA. A Kryptus antecipou esse movimento: a criptografia pós-quântica já está habilitada em seus produtos criptográficos desde 2024.
→Consolidação no mercado privado: A presença da Kryptus no setor privado acompanha a própria evolução do mercado. O que muda é a escala e a urgência: regulação crescente (LGPD, BACEN, ANPD), incidentes de alto impacto e a maturidade dos times de segurança corporativa estão acelerando a adoção de soluções criptográficas de nível institucional fora do governo. Fintechs, seguradoras, healthtechs e empresas de infraestrutura digital já encontram na Kryptus uma tecnologia que provou sua robustez nos ambientes mais exigentes do país, e agora a trazem para seus próprios contextos.
→Posicionamento global com raízes soberanas: Soberania tecnológica não significa isolamento. Significa capacidade de competir globalmente com tecnologia própria, auditável e certificada. Com certificações internacionais, 23 anos de operação em infraestruturas críticas e DNA de inovação em criptografia aplicada, a Kryptus está posicionada para ocupar espaço em mercados que buscam alternativas confiáveis aos grandes fornecedores americanos e europeus, como referência consolidada com casos em grandes organizações ao redor do mundo.
Perguntas frequentes
23 anos. O problema ficou maior. A resposta também.
O caso Crypto AG não foi resolvido. Foi substituído por versões mais sofisticadas do mesmo problema: dependência tecnológica invisível, superfícies de ataque em expansão e ameaças que evoluem mais rápido do que a maioria das organizações consegue acompanhar. O que mudou em 23 anos é que o Brasil tem, hoje, capacidade criptográfica soberana, certificada internacionalmente e operacionalmente comprovada. Isso não é pouco. É exatamente o que não existia quando a Kryptus foi fundada.
Se você gerencia infraestrutura financeira, dados regulados ou sistemas que simplesmente não podem falhar, vamos conversar sobre o que proteção criptográfica certificada significa na prática para o seu contexto.Fale com a Kryptus →
A criptografia pós-quântica deixou de ser um tema acadêmico e se tornou uma prioridade: com Leia mais
Você já deve ter lido manchetes sobre empresas perdendo milhões, e a confiança do mercado, Leia mais