As tradicionais recomendações de segurança baseadas em palavras-passe fortes estão a perder eficácia perante uma nova geração de ameaças digitais impulsionadas por inteligência artificial (IA), malware especializado e mercados clandestinos de credenciais roubadas. O alerta é da Check Point Software Technologies, que assinala uma transformação profunda no panorama do cibercrime mundial.
Por ocasião do World Password Day 2026, a empresa sublinha que o cibercrime evoluiu para um modelo altamente profissionalizado de ‘Cybercrime-as-a-Service’ (CaaS), no qual os atacantes já não necessitam de invadir sistemas complexos. Em muitos casos, basta adquirir credenciais comprometidas e iniciar sessão em plataformas empresariais ou pessoais.
Segundo a Check Point Research, malware conhecido como ‘infostealer’ consegue hoje extrair automaticamente palavras-passe armazenadas em browsers, aplicações e dispositivos pessoais. Em simultâneo, o uso crescente de ferramentas de inteligência artificial generativa está a aumentar o risco de exposição involuntária de informação sensível por parte dos colaboradores.
«Estamos perante uma mudança estrutural no panorama das ameaças digitais. A segurança deixou de depender apenas da robustez de uma palavra-passe e passou a depender da capacidade de validar comportamentos, identidades e contextos em tempo real», afirma Rui Duro, Country Manager para Portugal da Check Point Software.
Credenciais roubadas vendidas em segundos
A investigação conduzida pela Check Point revela ainda que os tradicionais fóruns da dark web estão a ser substituídos por canais privados no Telegram e bots automatizados, onde credenciais roubadas são comercializadas quase instantaneamente.
De acordo com os dados recolhidos:
- Contas de redes sociais e email são vendidas entre 45 e 65 dólares;
- Cartões bancários roubados custam entre 10 e 40 dólares;
- Acessos administrativos a redes empresariais podem ultrapassar os 113 mil dólares;
- Subscrições de malware como LummaC2 ou RedLine estão disponíveis por pouco mais de 100 dólares mensais.
Os especialistas alertam que esta democratização do cibercrime permite que actores com reduzido conhecimento técnico lancem ataques sofisticados, aumentando significativamente o volume global de incidentes.
Reutilização de palavras-passe mantém risco elevado
Apesar de anos de campanhas de sensibilização, a reutilização de palavras-passe continua a ser uma prática generalizada e um dos maiores factores de risco.
Segundo a análise da Check Point 94% das palavras-passe são reutilizadas em duas ou mais contas, apenas 3% cumprem integralmente as boas práticas definidas pelo NIST e ataques automáticos de ‘credential stuffing’ conseguem comprometer múltiplos serviços em segundos após uma violação de dados.
Ferramentas de IA aumentam risco de fuga de informação
O relatório destaca também um crescimento acentuado da exposição de dados empresariais através de plataformas de IA generativa.
Os dados indicam que 45% dos colaboradores utilizam regularmente ferramentas GenAI; 77% inserem directamente informação empresarial em prompts; 82% dessas interacções ocorrem através de contas pessoais não geridas pelas empresas; em março de 2026, um em cada 28 prompts enviados a partir de ambientes empresariais apresentava elevado risco de fuga de informação sensível.
Além disso, grupos criminosos já terão colocado à venda mais de 225 mil credenciais associadas ao ChatGPT e outras plataformas de IA, obtidas através de malware especializado.
Deepfakes e phishing com IA tornam ataques mais eficazes
A Check Point alerta igualmente para a crescente sofisticação dos ataques de phishing alimentados por IA. Actualmente, kits completos de “Phishing-as-a-Service” podem ser adquiridos por menos de 100 dólares mensais em canais clandestinos.
Com recurso a inteligência artificial, os atacantes conseguem criar mensagens personalizadas, credíveis e sem erros linguísticos, aumentando significativamente a eficácia das campanhas fraudulentas.
Entre os dados destacados, estão as taxas de clique são até 54% superiores às campanhas tradicionais; os ataques com deepfakes cresceram 3.000%; e a clonagem de voz já pode ser realizada com apenas três segundos de áudio.
Um dos casos mais mediáticos envolveu a empresa de engenharia Arup, que perdeu 25,6 milhões de dólares após uma videochamada falsa com deepfakes de executivos seniores.
Estratégia de defesa baseada em identidade e comportamento
Perante este cenário, a Check Point defende que as organizações devem abandonar gradualmente a dependência exclusiva de palavras-passe e adoptar modelos de segurança centrados na identidade digital e na análise comportamental.
Entre as principais recomendações estão a implementação de autenticação passwordless e passkeys FIDO2 e a adopção de modelos Zero Trust. De salientar ainda a importância de uma monitorização contínua da dark web e canais Telegram, integração de soluções EDR e ITDR e ainda controlo granular da utilização de ferramentas GenAI em ambientes empresariais.
A empresa refere ainda que quase metade dos ataques ransomware actuais têm origem em credenciais VPN roubadas, enquanto o tempo médio de detecção de uma violação baseada em credenciais ultrapassa os 240 dias.
«As palavras-passe deixaram de ser a chave do castelo. Tornaram-se um activo altamente comercializado no submundo digital. As organizações precisam de assumir que as credenciais serão inevitavelmente comprometidas e preparar-se para detectar rapidamente comportamentos suspeitos antes que os atacantes avancem para ransomware ou espionagem», conclui Rui Duro.
