TL;DR — Leia em 60 segundos
- Uma em cada três empresas brasileiras deve sofrer ao menos um incidente cibernético relevante em 2026, segundo projeções baseadas em dados de mercado, seguradoras e relatórios de resposta a incidentes.
- Ransomware, vazamento de dados, sequestro de credenciais e ataques à cadeia de suprimentos são os vetores mais críticos no Brasil.
- A maioria das organizações impactadas falha em três pontos básicos: visibilidade de ativos, monitoramento contínuo e plano formal de resposta a incidentes.
- Empresas que possuem SOC ativo, plano testado e cultura de segurança reduzem em até 60 por cento o impacto financeiro e operacional de um ataque.
O que é Incidentes Cibernéticos e por que é crítico em 2026
Incidentes cibernéticos são eventos que comprometem a confidencialidade, integridade ou disponibilidade de sistemas, redes ou dados. Diferentemente de uma simples tentativa de ataque bloqueada por um firewall, um incidente representa a materialização de um risco: houve acesso não autorizado, vazamento de informações, indisponibilidade operacional ou comprometimento de credenciais. No contexto corporativo brasileiro, isso significa paralisação de sistemas críticos, exposição de dados pessoais sob a LGPD, prejuízos financeiros e danos reputacionais severos.
Em 2026, o cenário se torna ainda mais crítico por três fatores estruturais. Primeiro, a digitalização acelerada das empresas médias e pequenas, que migraram para nuvem sem amadurecer sua governança de segurança. Segundo, o uso massivo de credenciais únicas e integrações entre sistemas via APIs mal protegidas. Terceiro, a profissionalização do cibercrime, que opera como modelo de negócio, com ransomware como serviço, phishing automatizado por inteligência artificial e marketplaces de dados roubados.
Estudos de seguradoras cibernéticas indicam aumento consistente nas notificações de sinistros no Brasil nos últimos três anos. Relatórios de equipes de resposta a incidentes mostram que mais de 70 por cento dos ataques bem-sucedidos começam com phishing ou comprometimento de credenciais. O tempo médio de detecção ainda ultrapassa 20 dias em empresas que não possuem monitoramento contínuo. Isso amplia drasticamente o impacto financeiro, pois quanto mais tempo o invasor permanece no ambiente, maior o dano potencial.
Além disso, a LGPD consolidou um ambiente regulatório que transforma incidentes em risco jurídico. Vazamentos de dados pessoais podem gerar sanções administrativas, bloqueio de bases de dados e multas que chegam a 2 por cento do faturamento limitado ao teto legal. Mais grave do que a multa é o dano reputacional e a perda de confiança de clientes e parceiros. Em 2026, a maturidade dos órgãos reguladores tende a aumentar, com maior exigência de evidências de governança e resposta estruturada.
Portanto, falar em incidentes cibernéticos hoje não é discutir hipótese remota. É tratar de probabilidade concreta, mensurável e crescente. A questão deixou de ser se sua empresa será alvo e passou a ser quando e quão preparada ela estará.
Como funciona na prática: Anatomia completa
Um incidente cibernético raramente começa com algo visível. Ele evolui em estágios, muitas vezes silenciosos, até atingir um ponto crítico. Compreender essa anatomia é essencial para identificar sinais precoces e reagir com rapidez.
A maioria dos ataques segue um ciclo semelhante: reconhecimento, acesso inicial, movimentação lateral, escalonamento de privilégios, exfiltração de dados ou execução de carga maliciosa. No Brasil, ataques de ransomware frequentemente começam com phishing direcionado a áreas financeiras ou de recursos humanos. Um simples clique em anexo malicioso pode conceder acesso inicial ao invasor.
Após esse primeiro ponto de entrada, o atacante busca credenciais privilegiadas. Ferramentas legítimas do próprio sistema, como comandos administrativos, são usadas para evitar detecção. Esse estágio pode durar dias ou semanas. Durante esse período, o criminoso mapeia servidores, identifica backups, verifica integrações com fornecedores e prepara o ambiente para o ataque principal.
Quando o incidente finalmente se torna visível, geralmente já está em fase avançada. Pode ser uma tela de ransomware exigindo pagamento em criptomoeda, um comunicado de fornecedor alertando sobre dados vazados ou a indisponibilidade total do ERP. Nesse momento, a empresa já está em modo reativo, muitas vezes sem plano estruturado.
Vetores de entrada mais comuns
No Brasil, phishing continua sendo o vetor dominante. Campanhas usam engenharia social adaptada ao contexto local, explorando boletos, notificações fiscais, atualizações bancárias e mensagens internas falsificadas. A taxa de sucesso aumenta quando não há treinamento contínuo de colaboradores.
Credenciais expostas também são fator crítico. Senhas reutilizadas entre serviços corporativos e pessoais são facilmente exploradas após vazamentos públicos. Ataques de força bruta e credential stuffing são comuns contra sistemas sem autenticação multifator.
Outro vetor relevante é a cadeia de suprimentos. Empresas terceirizadas com baixo nível de maturidade de segurança tornam-se porta de entrada para redes maiores. Esse modelo tem sido explorado contra escritórios de contabilidade, provedores de software e empresas de tecnologia que atendem múltiplos clientes.
Fase de persistência e escalonamento
Uma vez dentro, o invasor busca persistência. Isso pode ocorrer por meio da criação de usuários administrativos ocultos, alteração de políticas de segurança ou implantação de backdoors. Em ambientes híbridos, a sincronização entre diretório local e nuvem pode ampliar o alcance do comprometimento.
O escalonamento de privilégios ocorre quando o atacante obtém acesso a contas com maior poder. Isso pode envolver exploração de vulnerabilidades não corrigidas ou captura de credenciais armazenadas de forma inadequada. Sem monitoramento de comportamento anômalo, essa fase passa despercebida.
Impacto e monetização
O objetivo final varia. Em ransomware, há criptografia de dados e exigência de resgate. Em ataques de espionagem, ocorre exfiltração silenciosa de informações estratégicas. Em fraudes financeiras, há manipulação de pagamentos e desvio de valores.
A monetização também inclui venda de dados em fóruns clandestinos. Bases com CPF, dados médicos e informações financeiras possuem alto valor no mercado ilegal. Para empresas brasileiras, isso significa risco prolongado, pois dados vendidos podem ser reutilizados em múltiplos golpes.
Passo a passo: Implementação profissional
Fase 1: Diagnóstico e mapeamento
O primeiro passo é entender o que precisa ser protegido. Muitas empresas não possuem inventário atualizado de ativos digitais. Sem essa visão, qualquer estratégia de segurança é incompleta. É necessário mapear servidores, endpoints, aplicações, integrações e bases de dados.
O diagnóstico inclui avaliação de vulnerabilidades técnicas, análise de exposição na internet e revisão de políticas internas. Ferramentas automatizadas podem identificar portas abertas, certificados expirados e serviços desatualizados. Paralelamente, entrevistas com áreas críticas ajudam a identificar fluxos de dados sensíveis.
Também é essencial classificar informações. Dados pessoais, estratégicos e financeiros exigem níveis distintos de proteção. Esse mapeamento fundamenta decisões posteriores de investimento e priorização.
Fase 2: Planejamento e arquitetura
Com base no diagnóstico, define-se a arquitetura de segurança. Isso envolve segmentação de rede, implementação de autenticação multifator, definição de política de backups imutáveis e escolha de ferramentas de monitoramento.
O planejamento deve incluir plano formal de resposta a incidentes. Esse documento define papéis, responsabilidades, fluxos de comunicação e critérios de escalonamento. Simulações de mesa ajudam a validar a clareza dos procedimentos.
A arquitetura também precisa considerar conformidade regulatória. Adequação à LGPD, definição de encarregado de dados e processos de notificação de incidentes são componentes essenciais.
Fase 3: Implementação e testes
A implementação deve seguir cronograma estruturado. Prioriza-se correção de vulnerabilidades críticas e ativação de controles de acesso robustos. A autenticação multifator deve ser aplicada especialmente a contas administrativas e acesso remoto.
Testes são etapa indispensável. Testes de intrusão simulam ataques reais para validar defesas. Exercícios de resposta a incidentes avaliam tempo de reação e eficiência da comunicação interna.
Treinamento de colaboradores complementa a fase técnica. Campanhas de conscientização reduzem drasticamente a taxa de clique em phishing e fortalecem a cultura de segurança.
Fase 4: Monitoramento contínuo
Segurança não é projeto com fim definido. Monitoramento contínuo por meio de SOC permite detectar comportamentos anômalos em tempo real. Logs devem ser centralizados e analisados com inteligência de ameaças.
Indicadores de desempenho ajudam a medir maturidade. Tempo médio de detecção, tempo de resposta e taxa de incidentes recorrentes são métricas fundamentais.
Revisões periódicas garantem atualização frente a novas ameaças. O cenário evolui rapidamente, e controles eficazes hoje podem tornar-se obsoletos em poucos meses.
Erros críticos e como evitá-los
Um erro recorrente é acreditar que antivírus tradicional é suficiente. Ataques modernos utilizam técnicas que contornam soluções básicas. A ausência de monitoramento comportamental amplia riscos.
Outro erro é negligenciar backups imutáveis. Muitas empresas descobrem tarde demais que seus backups também foram criptografados. Estratégia adequada inclui cópias offline e testes regulares de restauração.
Ignorar treinamento de colaboradores é falha estratégica. Engenharia social explora o fator humano. Sem educação contínua, a tecnologia perde eficácia.
Subestimar pequenas vulnerabilidades também é comum. Atualizações adiadas criam portas de entrada exploradas em larga escala.
Falta de plano formal de resposta gera caos durante crises. Sem definição prévia de responsabilidades, decisões tornam-se lentas e ineficientes.
Excesso de permissões concedidas a usuários amplia superfície de ataque. Princípio do menor privilégio deve ser aplicado rigorosamente.
Ausência de segmentação de rede facilita movimentação lateral do invasor.
Por fim, não realizar auditorias periódicas cria falsa sensação de segurança.
Ferramentas e tecnologias essenciais
| Categoria | Ferramenta | Finalidade |
|---|---|---|
| Monitoramento | SIEM | Centralização e correlação de logs |
| Endpoint | EDR | Detecção e resposta avançada |
| Identidade | MFA | Autenticação multifator |
| Backup | Backup imutável | Recuperação segura |
| Testes | Pentest | Simulação de ataques |
Checklist completo de implementação
Prioridade alta inclui inventário de ativos, ativação de MFA, implementação de backups imutáveis, criação de plano de resposta e contratação de monitoramento contínuo.
Prioridade média envolve testes de intrusão anuais, segmentação de rede, treinamento semestral e revisão de permissões.
Prioridade contínua inclui atualização de sistemas, auditorias periódicas, análise de logs e revisão de fornecedores.
Casos reais e estudos de caso
Um hospital brasileiro sofreu ransomware que paralisou atendimentos por dias. A ausência de segmentação permitiu propagação rápida. Após implementação de SOC e backups imutáveis, reduziu drasticamente risco futuro.
Uma indústria teve dados estratégicos vazados por credenciais reutilizadas. A adoção de MFA e monitoramento reduziu incidentes subsequentes.
Uma empresa de serviços financeiros detectou movimentação lateral precoce graças a SIEM ativo. O incidente foi contido antes de impacto público.
Como a Decripte Resolve Incidentes Cibernéticos: Serviços e Diferenciais
A Decripte atua com SOC 24x7, monitorando ambientes corporativos continuamente para identificar ameaças em tempo real. Nossa abordagem combina inteligência de ameaças contextualizada ao Brasil com análise comportamental avançada.
Em resposta a incidentes, atuamos desde a contenção imediata até investigação forense e suporte regulatório. Nossa equipe auxilia na comunicação com autoridades e adequação à LGPD.
Realizamos pentests técnicos e estratégicos para identificar vulnerabilidades antes que criminosos as explorem. Também apoiamos processos de compliance e governança.
Acesse o https://decripte.com.br/intelligence-center para diagnóstico gratuito.
Mini tutorial:
- Faça o diagnóstico gratuito no DIC.
- Participe de reunião de alinhamento com nossos especialistas.
- Ative o serviço adequado ao seu perfil.
Perguntas frequentes (FAQ)
O que caracteriza oficialmente um incidente cibernético?
Um incidente cibernético é qualquer evento que comprometa confidencialidade, integridade ou disponibilidade de sistemas e dados. Isso inclui vazamentos, invasões, indisponibilidade causada por ataque e uso indevido de credenciais.
Toda invasão precisa ser comunicada à ANPD?
Nem toda invasão, mas incidentes com risco ou dano relevante aos titulares de dados devem ser comunicados conforme diretrizes da LGPD.
Quanto custa em média um incidente no Brasil?
Os custos variam, mas podem incluir paralisação operacional, perda de receita, multas e despesas técnicas, frequentemente ultrapassando milhões de reais em empresas médias.
Pequenas empresas também são alvo?
Sim. Pequenas empresas são vistas como alvos fáceis por terem menor maturidade de segurança.
Antivírus é suficiente?
Não. É necessário conjunto de controles incluindo EDR, MFA e monitoramento contínuo.
O que é ransomware?
É malware que criptografa dados e exige pagamento para liberação.
Backup resolve tudo?
Backup ajuda na recuperação, mas não evita vazamento de dados nem danos reputacionais.
O que é SOC?
Centro de Operações de Segurança responsável por monitoramento contínuo.
Como reduzir risco de phishing?
Treinamento contínuo e uso de filtros avançados de e-mail são essenciais.
Quanto tempo leva para detectar um ataque?
Sem monitoramento, pode levar semanas. Com SOC ativo, pode ser detectado em minutos.
Teste de intrusão é obrigatório?
Não é obrigatório por lei, mas é altamente recomendado como prática de governança.
Como começar agora?
Realizando diagnóstico gratuito no Intelligence Center da Decripte.
Comece agora — diagnóstico gratuito em 5 minutos
Sua empresa pode estar exposta neste exato momento sem qualquer evidência visível. A única forma de reduzir incerteza é obter visibilidade técnica real do seu ambiente digital. O Intelligence Center da Decripte foi criado justamente para oferecer essa visão inicial de maneira acessível, objetiva e gratuita.
Em menos de cinco minutos, você recebe um panorama de exposição, identificação de riscos aparentes e direcionamentos práticos. Não há custo e não há compromisso. Trata-se de um primeiro passo estratégico para transformar risco invisível em plano de ação concreto.
Acesse agora https://decripte.com.br/intelligence-center e descubra seu nível de exposição. Conheça também nossos /planos de segurança e explore mais conteúdos técnicos em /artigos para aprofundar sua maturidade em cibersegurança.
Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK
A evolução das ameaças no Brasil tem seguido padrões claramente mapeados no framework MITRE ATT&CK, especialmente nas táticas de Initial Access (TA0001) e Execution (TA0002). Entre os vetores mais recorrentes está o Phishing (T1566) com anexos maliciosos em formatos HTML Smuggling, PDFs com JavaScript embarcado e arquivos ISO/IMG contendo loaders como QakBot e GuLoader. Observa-se também o aumento de campanhas que exploram Valid Accounts (T1078) após vazamentos de credenciais em mercados clandestinos. A combinação de engenharia social com MFA fatigue (T1621) tem elevado significativamente a taxa de sucesso desses ataques.
Na fase de persistência, técnicas como Registry Run Keys/Startup Folder (T1547.001) e Scheduled Tasks (T1053) continuam prevalentes. Entretanto, atores mais sofisticados têm adotado Boot or Logon Autostart Execution por meio de serviços Windows modificados e abuso de GPOs comprometidas em ambientes Active Directory. A técnica Create or Modify System Process (T1543), especialmente via criação de serviços com nomes semelhantes a serviços legítimos, tem sido usada para manter acesso furtivo por longos períodos.
Movimentação lateral ocorre principalmente via Remote Services (T1021), incluindo RDP, SMB e WinRM. Em ambientes híbridos, há crescimento no uso de Pass-the-Hash (T1550.002) e Kerberoasting (T1558.003) para escalonamento de privilégios. Ataques recentes no setor financeiro brasileiro demonstraram uso extensivo de LSASS Memory Dumping (T1003.001) para extração de credenciais, frequentemente mascarado por ferramentas legítimas como procdump.
Para evasão de defesa, grupos têm aplicado Obfuscated/Encrypted File or Information (T1027) e Disable or Modify Tools (T1562), desativando EDRs via exploração de drivers vulneráveis (BYOVD – Bring Your Own Vulnerable Driver). Observa-se também uso crescente de Living off the Land Binaries (LOLBins) como mshta.exe, rundll32.exe e powershell.exe para execução de payloads sem gerar alertas baseados apenas em assinatura.
Na etapa de impacto, ransomware continua dominante, utilizando Data Encrypted for Impact (T1486) e Exfiltration Over Web Services (T1567.002) antes da criptografia. A dupla extorsão tornou-se padrão, com exfiltração via Rclone, MEGA ou APIs legítimas de armazenamento em nuvem. A destruição de backups por meio de Inhibit System Recovery (T1490) é frequentemente realizada via vssadmin delete shadows e manipulação de consoles de backup mal protegidos.
Essas TTPs demonstram maturidade operacional dos atacantes e reforçam a necessidade de defesa em profundidade baseada em comportamento, não apenas em indicadores estáticos.
Indicadores de Comprometimento e Detecção
Indicadores de Comprometimento (IOCs) devem ser contextualizados. Hashes de arquivos, domínios e IPs maliciosos são úteis, mas possuem ciclo de vida curto. Organizações devem priorizar IOAs (Indicators of Attack) comportamentais, como criação suspeita de processos filhos do winword.exe iniciando powershell.exe com parâmetros base64. Correlação em SIEM deve identificar cadeias anômalas de execução, especialmente quando associadas a conexões externas incomuns na porta 443 para domínios recém-registrados.
Regras YARA são eficazes para detectar padrões binários de loaders e ransomware conhecidos. Um exemplo prático é monitorar strings relacionadas a funções de criptografia específicas combinadas com chamadas a APIs como CryptEncrypt. Em ambientes SOC maduros, recomenda-se integração de YARA ao pipeline de EDR para varredura contínua em memória, não apenas em disco.
No SIEM, casos de uso devem incluir detecção de:
- Múltiplas falhas de autenticação seguidas de sucesso (possível brute force)
- Criação de contas administrativas fora do horário comercial
- Execução de vssadmin, wbadmin ou bcdedit com parâmetros suspeitos
- Transferência de grandes volumes de dados para serviços cloud não homologados
A maturidade em detecção exige integração entre logs de endpoint, firewall, proxy, identidade (Azure AD/AD) e aplicações SaaS. Sem correlação centralizada, sinais críticos permanecem isolados e não geram alertas acionáveis.
Roadmap de Implementação em 12 Meses
Fase 1: Diagnóstico (Meses 1-3)
O primeiro trimestre deve focar em avaliação de maturidade baseada em frameworks como NIST CSF e CIS Controls. É essencial conduzir assessment técnico incluindo varredura de vulnerabilidades autenticadas, revisão de arquitetura de rede e análise de privilégios excessivos em Active Directory. Testes de phishing controlados devem medir taxa de suscetibilidade inicial.
Paralelamente, recomenda-se executar um pentest externo e interno para identificar vetores exploráveis. Avaliar cobertura de logs existentes e identificar lacunas de visibilidade é prioridade crítica. Métrica de sucesso: inventário de ativos com 95% de precisão e baseline de risco documentado.
Ao final da fase, a organização deve possuir um relatório executivo com ranking de riscos priorizados por impacto financeiro estimado. KPI principal: definição formal de plano estratégico aprovado pelo board.
Fase 2: Fundação (Meses 4-6)
Nesta fase, implementa-se MFA obrigatório, segmentação de rede e hardening de endpoints conforme benchmarks CIS. Implantação ou otimização de EDR com cobertura mínima de 98% dos ativos corporativos é mandatória. Backups devem ser revisados, garantindo cópias imutáveis e testes de restauração trimestrais.
Estruturação de SOC interno ou terceirizado deve ocorrer aqui, com definição clara de SLAs de resposta. Playbooks para incidentes comuns (ransomware, BEC, vazamento de credenciais) precisam ser documentados e testados via tabletop exercises.
Métricas de sucesso incluem redução de 50% em vulnerabilidades críticas expostas e tempo médio de aplicação de patches inferior a 15 dias.
Fase 3: Operação (Meses 7-9)
Com a base estabelecida, inicia-se operação orientada a inteligência. Implementação de Threat Intelligence para enriquecimento automático de alertas melhora precisão de detecção. Deve-se introduzir monitoramento de comportamento de usuários (UEBA) para identificar desvios.
Testes de Red Team ou Purple Team validam capacidade real de detecção e resposta. Métrica central: MTTD (Mean Time to Detect) inferior a 24 horas e MTTR (Mean Time to Respond) inferior a 48 horas para incidentes críticos.
Treinamentos contínuos para colaboradores reduzem risco humano. Objetivo mensurável: diminuir taxa de clique em phishing simulado para menos de 5%.
Fase 4: Otimização (Meses 10-12)
A fase final concentra-se em automação e resiliência. Implementação de SOAR para orquestração de respostas reduz tempo operacional. Processos devem ser auditáveis e alinhados à LGPD e normas regulatórias setoriais.
Simulações de crise envolvendo alta liderança fortalecem governança. KPIs incluem redução de falsos positivos em 30% e aumento da cobertura de detecção mapeada ao MITRE ATT&CK para acima de 80% das técnicas relevantes.
Ao final de 12 meses, a organização deve atingir nível de maturidade “Gerenciado” ou superior em modelo reconhecido, com risco residual claramente mensurado e monitorado.
Perguntas Aprofundadas de Executivos Seniores
1. Qual é o impacto financeiro real de um incidente cibernético grave para nossa organização?
O impacto financeiro de um incidente cibernético vai muito além do custo imediato de remediação técnica. Ele inclui interrupção operacional, perda de receita, multas regulatórias, ações judiciais, danos reputacionais e aumento de prêmios de seguro. Estudos recentes indicam que o custo médio de um ransomware para empresas de médio porte no Brasil pode ultrapassar milhões de reais quando considerados downtime e perda de clientes. Além disso, a desvalorização de mercado e a erosão de confiança podem gerar impactos prolongados por anos. Executivos devem avaliar cenários de perda máxima provável (MPL) e perda anual esperada (ALE), incorporando variáveis como dependência digital e sensibilidade de dados. A ausência de preparo pode significar não apenas prejuízo financeiro, mas comprometimento da continuidade do negócio.
2. Estamos investindo o suficiente ou apenas reagindo a pressões do mercado?
Investimento eficaz em cibersegurança não é medido apenas por orçamento absoluto, mas por alinhamento estratégico ao risco. Muitas organizações investem de forma reativa após incidentes ou exigências regulatórias. A abordagem ideal é baseada em risco quantificado, priorizando ativos críticos e processos essenciais. O retorno sobre investimento deve ser analisado sob perspectiva de redução de probabilidade e impacto de incidentes. Segurança não deve ser vista como centro de custo, mas como mecanismo de preservação de valor e vantagem competitiva. Empresas maduras integram métricas de risco cibernético aos relatórios financeiros e decisões estratégicas.
3. Nosso nível de exposição é aceitável frente ao apetite de risco definido pelo conselho?
A definição de apetite de risco precisa ser formal e mensurável. Sem métricas objetivas, decisões tornam-se subjetivas. É essencial traduzir riscos técnicos em linguagem de negócio, como impacto em EBITDA, SLA ou market share. Avaliações periódicas devem indicar se controles existentes mantêm risco residual dentro dos limites aprovados. Caso contrário, ajustes estratégicos são necessários. A governança eficaz exige relatórios claros e indicadores-chave que permitam ao conselho tomar decisões informadas sobre priorização de investimentos.
4. Como garantir que terceiros e fornecedores não ampliem nosso risco?
A cadeia de suprimentos tornou-se vetor crítico de ataque. Avaliações de segurança de terceiros devem incluir questionários baseados em padrões reconhecidos, exigência de certificações e cláusulas contratuais específicas. Monitoramento contínuo é mais eficaz que avaliações pontuais. Ferramentas de rating de segurança externa ajudam a identificar deterioração de postura de fornecedores. A responsabilidade final por dados e operações permanece com a empresa contratante, tornando imprescindível due diligence rigorosa.
5. Estamos preparados para comunicar um incidente de forma estratégica e transparente?
Gestão de crise cibernética exige plano de comunicação previamente estruturado. A ausência de narrativa clara pode ampliar danos reputacionais. É fundamental definir porta-vozes, fluxos de aprovação e mensagens-chave alinhadas a requisitos legais. Transparência equilibrada com precisão técnica fortalece confiança de clientes e investidores. Simulações periódicas com executivos garantem preparo emocional e estratégico. Empresas que comunicam de forma ágil e responsável tendem a recuperar credibilidade mais rapidamente e reduzir impactos de longo prazo.