Entre os dias 5 e 12 de fevereiro de 2026, um erro no sistema anti-phishing da Microsoft provocou um efeito dominó na comunicação corporativa global. A falha afetou usuários do Microsoft 365 ao bloquear mensagens legítimas no Exchange Online e impedir o compartilhamento de links no Microsoft Teams.
O incidente, identificado como EX1227432, teve origem em um problema na lógica de detecção baseada em heurística. O mecanismo passou a classificar URLs legítimas como tentativas de phishing, gerando uma onda de falsos positivos que impactou empresas de diferentes setores.
O resultado foi imediato. E-mails desapareceram das caixas de entrada, mensagens foram bloqueadas e equipes de TI entraram em estado de alerta. Em um ambiente corporativo altamente dependente da nuvem, qualquer instabilidade na comunicação representa prejuízo operacional direto.
Entenda a causa do erro no sistema anti-phishing da Microsoft
A raiz do problema esteve na detecção por heurística, um método que analisa padrões comportamentais para identificar ameaças ainda desconhecidas.
Diferentemente da filtragem tradicional baseada em assinaturas, a heurística trabalha com probabilidade. Ela observa características suspeitas em links, remetentes e estruturas de mensagem. Quando o padrão ultrapassa determinado limiar de risco, o sistema aciona bloqueios automáticos.
Durante o período do incidente, houve um aumento repentino nas detecções relacionadas a determinados formatos de URL. O mecanismo interpretou esse pico como indício de uma campanha ativa de phishing. No entanto, tratava-se de tráfego legítimo.
Essa interpretação equivocada provocou uma falha no Exchange Online, com mensagens sendo bloqueadas ou removidas após a entrega. Ao mesmo tempo, links compartilhados no Microsoft Teams passaram a ser classificados como inseguros, ampliando o impacto.
O papel do ZAP na remoção automática de mensagens
O efeito foi intensificado pela atuação do ZAP, sigla para Zero-hour Auto Purge.
Esse recurso foi criado para remover mensagens potencialmente maliciosas depois que novas análises identificam risco. No contexto do erro, o sistema passou a excluir e-mails legítimos já entregues nas caixas postais.
Para usuários finais, mensagens simplesmente desapareceram. Para administradores, a situação tornou-se mais complexa, pois a remoção posterior dificultou auditorias e rastreamento.
No Microsoft Teams, o bloqueio de URLs gerou novos falsos positivos e reforçou a percepção de que havia uma ameaça ativa, quando o problema era interno.
Falsos positivos no Microsoft Teams e impacto para administradores
O erro também gerou uma enxurrada de alertas nas plataformas de XDR, responsáveis por monitoramento e resposta estendida a incidentes.
Equipes de segurança receberam notificações classificadas como alta severidade. Muitas organizações iniciaram investigações completas, acreditando estar diante de um ataque real.
O problema se agravou porque houve atraso na atualização das assinaturas de segurança que corrigiriam a regra equivocada. Isso prolongou os bloqueios e manteve o volume de alertas elevado por dias.
Além da falha no Exchange Online, os falsos positivos no Microsoft Teams afetaram fluxos internos de aprovação, integrações com fornecedores e comunicações críticas.
Para administradores de TI, o episódio evidenciou a necessidade de planos de contingência que considerem não apenas ataques externos, mas também falhas internas em sistemas automatizados de proteção.
Recorrência de falhas em mecanismos de segurança
O incidente de fevereiro de 2026 não ocorreu em um vácuo histórico.
Em episódios anteriores, sistemas da Microsoft já haviam classificado mensagens legítimas do Gmail como spam de forma indevida. Também foram registrados problemas com bloqueio incorreto de URLs em atualizações passadas.
Mais recentemente, um bug no Copilot Chat chamou atenção ao permitir que resumos fossem gerados com base em e-mails confidenciais em determinados cenários, levantando questionamentos sobre governança de dados.
Cada ocorrência possui contexto técnico distinto. No entanto, a repetição de instabilidades em mecanismos de segurança reforça o debate sobre calibragem, testes e controle de qualidade em ambientes baseados em inteligência artificial.
É importante reconhecer que a infraestrutura do Microsoft 365 é uma das mais robustas do mercado corporativo. Ainda assim, quanto mais sofisticados se tornam os modelos de análise comportamental, maior é a complexidade envolvida na sua manutenção.
Conclusão: Segurança automatizada exige equilíbrio
O erro no sistema anti-phishing da Microsoft expôs a linha tênue entre proteção e usabilidade.
Ferramentas baseadas em heurística são essenciais para conter ameaças emergentes. Contudo, quando há erro de parametrização, o impacto pode ser tão disruptivo quanto um ataque real.
Empresas dependem de Exchange Online e Microsoft Teams para operações estratégicas. Quando a própria camada de segurança interrompe a comunicação legítima, a produtividade é afetada de forma imediata.
O episódio reforça a importância de transparência, resposta rápida e mecanismos eficientes de reversão em plataformas críticas.
