Quanto custa um Red Team no Brasil em 2026

"Recebi três propostas de Red Team e uma é três vezes mais cara que a outra. Por quê?" Esta pergunta entra no meu inbox toda semana. A resposta não tem mistério, mas quase nenhum fornecedor explica direito. Vamos decompor o cálculo.

O cálculo bruto: pessoas × tempo × especialização

Red Team Assessment é serviço profissional intensivo em mão de obra altamente especializada. O custo é essencialmente:

Custo = (operadores) × (semanas alocadas) × (taxa horária) + infraestrutura + overhead

Para entender as faixas, precisamos colocar números:

• Taxa horária de operador sênior (OSCP/OSEP + 5+ anos): R$ 600 a R$ 1.200/hora no Brasil em 2026
• Líder técnico (CRTL/CRTO + experiência liderando 10+ Red Teams): R$ 900 a R$ 1.500/hora
• Operação típica: 40h/semana por operador (não 100%, há tempo de planejamento, análise de logs, documentação)
• Infraestrutura OPSEC dedicada: R$ 12 mil a R$ 40 mil por engagement (domínios envelhecidos, VPS limpos, certificados, mail servers, redirectors)
• CTI ativo durante operação: R$ 15 mil a R$ 30 mil
• Overhead de PM/QA/redação executiva: 15-20% do valor base

As três faixas reais do mercado

Faixa entry — R$ 180 mil a R$ 280 mil

O que está incluído:

• 2 operadores sêniores, 6 a 8 semanas
• 1 cenário principal (geralmente initial access via phishing + lateral movement)
• Escopo limitado: ativos externos + um subset interno
• Relatório técnico + executive summary

O que tipicamente não está incluído:

• Engenharia social presencial
• Acesso físico
• Ataque a Active Directory Tier 0 / Azure AD Privileged
• Bypass ativo de EDR (operações usam técnicas conhecidas, não custom implants)
• Replay extensivo com Blue Team

Quando faz sentido: primeira contratação, empresa de porte médio, ambiente relativamente novo, objetivo de "começar o programa de Red Team".

Faixa enterprise — R$ 300 mil a R$ 500 mil

• 3-4 operadores incluindo 1 líder técnico dedicado, 10-14 semanas
• 2-3 cenários distintos (ex: insider, supply chain, externo)
• Escopo amplo: todo perímetro + interno + cloud + identidade
• Engenharia social telefônica autorizada
• Bypass de EDR com técnicas customizadas
• Active Directory / Entra ID avançado (Kerberoasting, ADCS abuse, certificate theft)
• Replay completo com Blue Team (4-6 horas) + executive readout ao board

Quando faz sentido: segundo ou terceiro Red Team da empresa, ambiente maduro, exigência regulatória ou contratual, board engajado, necessidade de demonstrar evolução ano-a-ano.

Faixa Tier-1 / TIBER-style — R$ 550 mil a R$ 700 mil+

• 4-6 operadores especializados, 14-20 semanas
• Adversary emulation baseada em CTI sob medida (replica TTPs de grupo específico)
• Inclui supply chain attack (fornecedores autorizados)
• Persistência de longo prazo (testar se SOC detecta dormência de semanas)
• Operação alinhada a frameworks regulatórios (TIBER-EU, CBEST)
• White Cell dedicado e governança formalizada

Quando faz sentido: bancos Tier-1, infraestrutura crítica, exigência explícita de regulador estrangeiro (matriz internacional), conglomerados financeiros.

Os dois extremos que você deve evitar

Propostas abaixo de R$ 150 mil

Matematicamente impossível entregar Red Team real. Vamos fazer a conta reversa: R$ 150 mil dividido por 6 semanas de trabalho dá R$ 25 mil/semana de receita bruta. Para dois operadores sêniores (R$ 600/hora cada × 40h × 2 = R$ 48 mil/semana só de custo direto), o fornecedor estaria operando no prejuízo. Conclusão: ou é um operador júnior só, ou é pentest extenso, ou o escopo está sendo cortado em silêncio. Em todos os casos, você não está comprando o que pensa que está.

Não é proibido contratar — mas chame pelo nome certo. Veja a diferença entre Pentest e Red Team antes.

Propostas acima de R$ 1 milhão

Pode fazer sentido para Tier-1 bancos com cobertura internacional, mas para empresa brasileira de qualquer porte normal isso é overengineering ou cobrança de marca. Peça decomposição linha-a-linha e desafie cada item.

O que muda o preço dentro da mesma faixa

Tamanho do ambiente

500 endpoints vs 50.000 endpoints muda a complexidade de reconhecimento. Não muda 10x o preço — talvez 30-40%.

Vetores autorizados

Cada "sim" adiciona escopo. Phishing autorizado: +R$ 20 mil. Engenharia social telefônica: +R$ 30 mil. Acesso físico: +R$ 50 mil. Ataques a OT/ICS: +R$ 80 mil.

Complexidade da defesa

Bypass de CrowdStrike Falcon configurado de forma rigorosa exige mais tempo que bypass de antivírus tradicional. Quanto mais maduro seu Blue Team, mais caro o Red Team — porque o time gasta mais ciclos para ser bem sucedido.

Urgência

Engagement com início em 30 dias custa mais que engagement com início em 90 dias. Profissionais bons têm agenda preenchida. Urgência geralmente custa +15-25%.

Localização e canal de venda

Fornecedor internacional via revenda local: +20-40% só de markup do canal. Fornecedor brasileiro direto: você paga o "preço de fábrica".

O que NÃO precifica corretamente

Há três itens que muitos fornecedores subprecificam e que viram problema na execução:

1. Aquecimento de infraestrutura OPSEC. Para evadir detecção, domínios precisam ter histórico de tráfego legítimo por 4-8 semanas antes da operação. Quem inclui esse custo cobra R$ 25-40 mil. Quem não inclui, usa infraestrutura "queimada" e é detectado nos primeiros dias.
2. Custom implant development. EDRs modernos detectam Cobalt Strike default em segundos. Para operação séria, é necessário desenvolver implant próprio ou customizar fortemente. Isso é 1-2 semanas de trabalho de operador sênior — R$ 30-50 mil.
3. Post-operation analysis. Mais de 50% do valor do Red Team está na análise pós-operação, não na operação. Quem cobra "barato" geralmente economiza aqui — entrega relatório raso, sem mapeamento ATT&CK, sem recomendações táticas e estratégicas.

Comparação com o que vem antes

Para colocar em perspectiva orçamentária:

• Pentest web/API único: R$ 20-60 mil — leia quanto custa um pentest
• Programa anual de pentest (múltiplos ativos): R$ 80-200 mil/ano
• Red Team Assessment: R$ 180-700 mil (este artigo)
• SOC 24/7 terceirizado: R$ 20-120 mil/mês
• Retainer de IR: R$ 8-25 mil/mês (com horas inclusas)

Red Team é o investimento pontual mais caro do programa, mas é o que valida que tudo o resto está funcionando. Faz sentido como prática de 12-18 em 12-18 meses, intercalado com pentest contínuo.

Como negociar sem cortar o que importa

Se o preço veio acima do budget, eis onde negociar com segurança e onde NÃO cortar:

Onde dá para reduzir escopo

• Reduzir número de cenários (de 3 para 2): -15-20%
• Cortar engenharia social telefônica/presencial se não é prioridade: -10-15%
• Limitar ao perímetro externo + interno básico, sem AD avançado: -20-25%
• Janela de execução maior (90 dias em vez de 45): pode dar 5-10% de desconto

Onde NÃO cortar (vai destruir valor)

• Senioridade do time
• Mapeamento MITRE ATT&CK no relatório
• Replay com Blue Team
• Executive readout
• Tempo de aquecimento de OPSEC

Se o fornecedor concorda em cortar essas coisas para baixar preço, ele está te entregando pentest disfarçado.

Conclusão

R$ 180 mil a R$ 700 mil é a faixa real de Red Team no Brasil em 2026. A variação é função de tempo × pessoas × complexidade — sem mistério. Antes de assinar, decomponha a proposta linha a linha. Se o número parece bom demais para ser verdade, é. Se parece caro, decomponha — pode ser que faça sentido para sua maturidade, ou pode ser que esteja superdimensionado.

O Red Team que vale o preço não é o mais barato nem o mais caro: é o que está alinhado à sua maturidade atual e aos seus objetivos defensáveis. Para definir o que faz sentido, leia o guia completo do decisor.