Por Inês Oliveira (*)

O mundo já assistiu a um recorde preocupante: mais de 26 mil milhões combinações de utilizador e palavra-passe foram expostas em 2024. Mother of All Breaches ficou, assim, conhecida como a maior base de dados roubada até à data. O impacto foi global, mas em Portugal a realidade não é distante. A Equipa de Resposta a Incidentes de Segurança Informática Nacional (CERT.PT) registou 2.758 incidentes de cibersegurança, mais 36% do que no ano anterior. Quase oito em cada dez desses incidentes atingiram entidades privadas. Os ataques de phishing e smishing continuam no topo, mas foi a engenharia social que mais cresceu. Estes números não são abstrações, representam ameaças concretas que afetam diretamente negócios portugueses, em especial PME, muitas vezes desprevenidas.

Por mais técnicos que pareçam, estes dados traduzem um fenómeno económico e social: as credenciais são hoje matéria-prima do cibercrime global. Já não são apenas chaves de acesso, mas ativos com valor de mercado. Nos fóruns da dark web, uma password válida pode custar poucos cêntimos, mas abrir caminho a prejuízos de milhões. É o equivalente digital a deixar a chave da empresa em cima do balcão. Com ela, um atacante entra discretamente, move-se como um utilizador legítimo e, quando a intrusão é descoberta, já houve roubo de dados, fraude financeira ou sabotagem de sistemas.

O Relatório Riscos & Conflitos 2025 do Centro Nacional de Cibersegurança (CNCS), confirma que o cibercrime se profissionalizou. O phishing, o ransomware e os infostealers continuam a dominar o panorama nacional, agora com técnicas mais sofisticadas. O uso de inteligência artificial generativa tornou os esquemas de fraude mais convincentes, enquanto o modelo “Infostealer-as-a-Service” permite que grupos criminosos aluguem ferramentas de recolha de credenciais, alimentando um mercado clandestino em expansão.

Em Portugal, o vishing, o smishing, o spoofing, a CEO Fraud e burlas como o “Olá, Pai… Olá, Mãe” voltaram a ganhar dimensão, representando perto de metade dos casos de engenharia social. O padrão é claro: os criminosos exploram o elo mais fraco, o humano. Este fator continua a ser responsável por 30% das falhas reportadas à Comissão Nacional de Proteção dos Dados (CNPD), superando vulnerabilidades técnicas ou ataques de ransomware.

As consequências vão muito além do domínio tecnológico. O impacto médio de um ataque pode ultrapassar os 4 milhões de dólares, segundo a IBM. Mas há perdas invisíveis: reputação, confiança, tempo e parcerias. Uma PME pode nunca recuperar totalmente de um incidente. O CNCS revela como os setores privados do comércio, serviços, banca e saúde são dos mais afetados, confirmando que nenhuma organização é demasiado pequena para ser um alvo.

Casos internacionais ajudam a perceber a escala. Em 2023, o MGM Resorts, em Las Vegas, perdeu cerca de 100 milhões de dólares após cibercriminosos explorarem credenciais roubadas para paralisar sistemas de reservas e casinos. Dois anos antes, o Health Service Ireland sofreu semanas de interrupção nos serviços públicos de saúde devido a um ataque semelhante. Em Portugal, não faltam exemplos de incidentes que, embora nem sempre públicos, afetaram entidades da administração central, operadores de serviços essenciais e empresas tecnológicas, com fugas de milhares de credenciais.

A perceção de risco é hoje quase unânime: 92% dos profissionais de cibersegurança acreditam que a probabilidade de incidentes aumentou em 2024, e 90% esperam que cresça ainda mais em 2025. Entre as tendências que o CNCS destaca para o futuro estão o aumento de ataques a infraestruturas cloud e cadeias de fornecimento, a exploração de vulnerabilidades fruto da maior superfície de ataque e o uso ofensivo de ferramentas de IA generativa.

Este é o novo normal do ciberespaço: cibercriminosos mais organizados, fronteiras cada vez mais ténues entre ameaças públicas e privadas e um valor crescente da informação como ativo económico. A cibersegurança já não é um tema técnico. É uma decisão de gestão, continuidade e competitividade. Proteger credenciais é proteger o negócio. E a boa notícia é que a prevenção funciona: custa menos do que recuperar de um incidente e fortalece a confiança digital. Cabe às empresas adotar sistemas de autenticação multifator, gerir e alternar acessos privilegiados, monitorizar credenciais expostas e formar equipas para reconhecer engenharia social. A cultura de prevenção é o verdadeiro antivírus das organizações, não bloqueia apenas os ataques, mas cria resiliência e futuro.

No cibercrime, não é “se” seremos alvo, é “quando”. A diferença entre uma empresa que sobrevive e outra que fecha as portas está nas decisões de gestão tomadas hoje. E, neste novo mercado onde as palavras-passe se vendem como ouro negro, a maior proteção continua a ser a consciência e a preparação humana.

(*) Product Specialist ITS, Konica Minolta Portugal