O Relatório Anual de Segurança Interna (RASI) de 2025 confirma – sem margem para dúvidas – que o cibercrime em Portugal não está a estabilizar: Pelo contrário está a acelerar e a um ritmo mais rápido do que aquele que as autoridades conseguem acompanhar criando um hiato cada vez maior entre cibercrime e investigadores policiais que favorece a ação dos criminosos.
Com efeito, no RASI observa-se que a criminalidade informática participada subiu 13,4% face ao ano anterior; que os ataques de ransomware aumentaram 71%: que o phishing cresceu 93%; que a exploração de vulnerabilidades críticas disparou 162% e que o código malicioso (malware) detetado aumentou 224%. São números de aceleração, não de fenómeno estável, mas de algo que está nitidamente a escapar ao controlo das autoridades para grande e grave prejuízo de cidadãos e organizações públicas e privadas.
O CERT.PT (a equipa de resposta a incidentes do Centro Nacional de Cibersegurança) registou 61.798 incidentes de cibersegurança em 2025 no ciberespaço nacional. Excluindo a deteção automática, foram 3.864 incidentes abertos com base em 8.891 notificações, representando um crescimento de 40% nos incidentes e de 75% nas notificações. Estes números são relevantes, mas continuam a refletir apenas o que é reportado. O que não é reportado e é muito maior permanece invisível para o Estado e fora do RASI.
A classe de incidentes mais numerosa foi o comprometimento de contas, com 47.953 casos, representando 78% de todos os registos. Aqui, a causa dominante são os infostealers: programas maliciosos concebidos para roubar credenciais, cookies de autenticação, dados de browsers e documentos. Os dados obtidos são vendidos em fóruns de cibercrime e usados como ponto de entrada para ataques mais destrutivos, incluindo ransomware.
O infostealer Lumma está associado a 25.430 incidentes, equivalente a 59% de todos os incidentes de malware e a 41% de todos os incidentes registados pelo CERT.PT. É um número chocante para um único programa malicioso. Surgiu ainda em 2025 uma nova variante designada Acreed, classificada como malware-as-a-service (ou seja, disponível para aluguer por qualquer criminoso sem competências técnicas) que atingiu 6% de todos os incidentes de malware. No ransomware, as variantes identificadas no espaço nacional incluem Akira, MAKOP, Qilin, DevMan 2.0, INCRansom, MEDUSA, Nitrogen e Lynx. Estas operações não são conduzidas por amadores: São operações criminosas com estrutura empresarial, divisão de funções e modelos de afiliação e até, por vezes, de delegação em organizações terceiras.
O RASI documenta ainda dois vetores que recebem pouca atenção pública. O primeiro é o malware Android. O BadBox2.0 afeta dispositivos IoT de consumo corrente (Smart TVs, aparelhos de streaming, projetores), integrando-os em botnets para ataques DDoS e fraude publicitária, sem que o utilizador detete qualquer anomalia. O ToxicPanda, também dirigido a dispositivos Android, tem como objetivo exfiltrar dados bancários e executar transferências não autorizadas. Estes dispositivos são vendidos livremente em sites como a Temu ou AliExpress, sem qualquer requisito mínimo de segurança. O segundo vetor é a inteligência artificial, usada pelos atacantes para automatizar phishing em português correto, produzir deepfakes de voz e imagem para engenharia social e sofisticar técnicas de evasão de deteção. A IA está a ser usada contra as vítimas mais rapidamente do que as defesas conseguem incorporar.
No domínio da engenharia social, o CEO Fraud (em que o atacante se faz passar por administrador ou fornecedor para induzir transferências bancárias) registou 192 incidentes, um aumento de 20%, tornando-se o subtipo mais frequente em 2025. A este seguem-se os falsos recrutamentos (118 incidentes), o esquema “Olá, Pai… Olá, Mãe” (99 incidentes) e o vishing (85 incidentes). O phishing registou um aumento de 93%, com novidade na personificação de marcas do setor da Energia, para além dos habituais alvos de Banca, ISPs, Saúde e Administração Pública. Os ataques DDoS aumentaram 36%, continuando uma tendência ascendente verificada pelo menos desde 2023, com foco em entidades da administração pública e operadores de serviços essenciais.
Perante este diagnóstico, a resposta atual é insuficiente e demasiado reativa.
A Polícia Judiciária constituiu 2.559 arguidos (+28,5%) e deteve 83 pessoas (+88,6%) por criminalidade informática em 2025. Os números crescem, mas permanecem residuais face à escala do fenómeno. O rácio entre incidentes e detenções é revelador da assimetria entre o volume do problema e a capacidade de resposta do Estado. A C-Academy do CNCS emitiu 4.811 certificados de formação ao longo de 2025 e o Roteiro NIS2 prevê 60 ações de formação gratuitas em todo o país. São iniciativas úteis, mas insuficientes para a dimensão do problema num país com centenas de milhares de funcionários públicos e mais de 400.000 empresas.
É necessário alterar o modelo. E o modelo tem de mudar em várias frentes em simultâneo.
1. Em primeiro lugar, deve existir uma obrigação legal clara de reporte de incidentes de cibersegurança para todas as organizações, independentemente da sua dimensão, com prazos curtos e definidos. O incumprimento deve implicar coimas efetivas e proporcionais, não meramente simbólicas. Sem dados completos, o Estado está a atuar às cegas. A subnotificação não é apenas um problema de transparência: é um problema operacional que impede a construção de inteligência agregada sobre ameaças.
2. Em segundo lugar, a investigação de cibercrime deve abrir-se a modelos híbridos. A participação controlada de associações técnicas, comunidades de segurança e hackers éticos deve ser formalizada, com enquadramento legal claro, certificação, deveres de confidencialidade e regras de cadeia de custódia. Muitos dos melhores especialistas não estão no Estado. Ignorar este ecossistema é desperdiçar capacidade instalada no país.
3. Em terceiro lugar, deve ser criada uma taxa específica sobre operadores digitais de grande escala e serviços expostos a risco elevado, destinada exclusivamente ao financiamento do combate ao cibercrime: equipas forenses, laboratórios técnicos, formação e retenção de talento nas forças de investigação. O problema hoje não é apenas falta de legislação: é falta de capacidade operacional e de meios humanos especializados e dedicados.
4. Em quarto lugar, a formação obrigatória em cibersegurança deve ser imposta a todas as organizações com mais de cinco trabalhadores. Não formação genérica para “encher chouriços”, mas programas mínimos certificados, com avaliação periódica e recurso a casos reais como método de aprendizagem. A esmagadora maioria dos incidentes começa com erro humano previsível.
5. Em quinto lugar, deve ser criado um regime de incentivo fiscal ao cidadão. Gestores de passwords, soluções de autenticação multifator, antivírus, backups e VPN devem ter IVA zero ou dedução fiscal. A superfície de ataque começa no utilizador final; ignorá-lo é um erro estrutural.
Para além destas cinco propostas, o diagnóstico do RASI 2025 justifica medidas adicionais. A regulação ao nivel de dispositivos IoT e Android de consumo (Smart TVs, aparelhos de streaming, telemóveis de baixo custo) é urgente, enquadrada no Cyber Resilience Act europeu. É necessário um regime de responsabilidade para plataformas que facilitam branqueamento de capitais associado a cibercrime, com mecanismos de bloqueio preventivo. A exploração de vulnerabilidades críticas em zero-day exige um programa nacional de gestão de patches com resposta coordenada obrigatória nas entidades públicas. O uso de IA como vetor de ataque deve ser incluído como circunstância agravante explícita no Código Penal. E a fragmentação entre CNCS, Polícia Judiciária e SIS deve ser resolvida não com mais estruturas mas com um protocolo legal vinculativo de partilha de inteligência em tempo real: algo que o novo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025), apesar de representar um avanço, ainda não garante.
O cibercrime já não é um fenómeno marginal. É uma economia paralela altamente organizada, com fornecedores, distribuidores, afiliados e estruturas de lavagem de dinheiro. A resposta tem de sair da lógica administrativa e passar para uma lógica de segurança nacional, com prioridade política, financiamento estável e integração de todos os atores relevantes. Sem isso, o país continuará a reagir a incidentes isolados em vez de combater o sistema que os gera.
Como se proteger: guia prático para cidadãos e organizações
Os malware mais ativos em Portugal em 2025, segundo o RASI, são infostealers, com destaque para o Lumma e o Acreed, ransomware das famílias Akira, MAKOP e Qilin, e trojans bancários Android como o ToxicPanda. O BadBox2.0 compromete dispositivos domésticos de streaming. O denominador comum de quase todos estes ataques é o mesmo: começam por uma credencial comprometida, um clique num link malicioso ou um dispositivo sem atualizações. As medidas que se seguem eliminam ou reduzem significativamente este risco inicial.
Para utilizadores individuais
1. Usar um gestor de passwords é a medida com maior impacto imediato. Os infostealers como o Lumma recolhem credenciais guardadas no browser. Um gestor de passwords dedicado (Bitwarden, 1Password ou equivalente) armazena as credenciais de forma cifrada fora do browser, tornando-as inúteis para este tipo de malware mesmo que o dispositivo seja comprometido. Usar a mesma password em vários serviços continua a ser um dos erros mais comuns e dos mais explorados.
2. Ativar a autenticação multifator (MFA) em todas as contas críticas é inegociável. Email, homebanking, redes sociais e serviços de governo eletrónico devem todos ter MFA ativo. Mesmo que uma credencial seja roubada por um infostealer, sem o segundo fator o atacante não consegue aceder à conta. Preferir MFA por aplicação autenticadora (como o Google Authenticator ou o Aegis) em vez de SMS, que é mais fácil de interceptar.
3. Não instalar aplicações Android fora das lojas oficiais. O ToxicPanda e variantes semelhantes distribuem-se através de APKs enviados por SMS, email ou links em redes sociais, frequentemente a imitar apps de bancos, CTT ou serviços públicos. A Google Play Store não é garantia absoluta de segurança, mas reduz significativamente o risco.
4. Não ligar dispositivos IoT baratos (Smart TVs de origem duvidosa, boxes de streaming sem marca reconhecida, projetores de baixo custo) diretamente à rede sem isolamento. O BadBox2.0 afeta este tipo de equipamento. Sempre que possível, colocar estes dispositivos numa rede Wi-Fi separada (guest network) sem acesso a outros equipamentos da casa.
5. Importante: Não guardar passwords, códigos de recuperação ou dados bancários em ficheiros de texto, notas ou emails. Os infostealers recolhem sistematicamente documentos e o conteúdo de aplicações de notas.
6. Ser desconfiado por defeito com qualquer contacto não solicitado (por email, SMS, WhatsApp, telefone) que peça dados pessoais, credenciais ou pagamentos, mesmo que aparente vir de uma entidade conhecida. O vishing (chamadas falsas de “banco” ou “suporte técnico”) e o phishing por SMS a imitar CTT, EDP ou portais governamentais estão entre os vetores mais ativos. Caso tenha a menor dúvida, desligar e contactar a entidade diretamente através dos canais oficiais.
7. Manter o sistema operativo e as aplicações sempre atualizados. O aumento de 162% na exploração de vulnerabilidades registado em 2025 inclui falhas em software amplamente utilizado, como o Microsoft SharePoint. As atualizações automáticas devem estar ativas. Um sistema desatualizado é um sistema vulnerável por definição.
8. Fazer backups regulares dos dados importantes, em local separado do dispositivo principal : disco externo offline ou serviço de cloud com autenticação forte. O ransomware cifra os ficheiros acessíveis a partir do dispositivo comprometido; um backup offline é a única proteção eficaz contra perda total de dados.
Para organizações:
1. A prioridade número um é eliminar o uso de passwords simples e reutilizadas em contas corporativas e implementar MFA obrigatório para todos os sistemas de acesso remoto, email e painéis de administração. A grande maioria dos ataques de ransomware documentados em 2025 teve como ponto de entrada credenciais comprometidas, muitas delas obtidas através de infostealers meses antes do ataque. O tempo médio entre o roubo de credenciais e a ativação do ransomware é de semanas a meses: o que significa que as credenciais dos colaboradores podem já estar em fóruns de cibercrime sem que ninguém o saiba.
2. Implementar um processo formal de gestão de patches com prioridade para vulnerabilidades críticas. Em 2025, a vulnerabilidade mais explorada no espaço nacional foi uma falha crítica no Microsoft SharePoint (CVE-2025-53770), seguida de uma falha no CMS DotNetNuke (CVE-2025-64095). Ambas eram conhecidas e tinham correção disponível. Sistemas com estas vulnerabilidades por corrigir são alvos ativos.
3. Segmentar a rede interna. Ransomware propaga-se lateralmente após a intrusão inicial. Uma rede plana (em que todos os sistemas comunicam livremente entre si) permite que um único dispositivo comprometido afete a organização inteira. A segmentação limita o raio de impacto.
4. Ter um plano de resposta a incidentes documentado, testado e conhecido pelos responsáveis. Não é necessário um documento de cem páginas; é necessário que alguém saiba o que fazer nas primeiras duas horas após detetar um comprometimento: quem contactar, o que isolar, como preservar evidência. O CERT.PT (cert.pt) é o ponto de contacto nacional e deve estar na lista de contactos de emergência de qualquer organização.
5. Importante: Fazer backups frequentes, cifrados e testados. Backups não testados são uma falsa segurança: muitas organizações descobrem que os seus backups não funcionam precisamente quando precisam deles. O backup deve estar isolado da rede de produção e deve ser testado periodicamente com um processo real de restauro.
6. Formar os colaboradores com casos reais e de forma regular. A campanha de phishing que chegou a uma organização portuguesa no mês passado é mais eficaz como material de formação do que qualquer diapositivo genérico. Simulações de phishing internas, com feedback imediato, têm demonstrado redução significativa de cliques em links maliciosos.
7. Monitorizar Dark Web e fóruns de cibercrime para deteção de credenciais comprometidas. Existem serviços comerciais e gratuitos (como o Have I Been Pwned) que permitem verificar se endereços de email da organização aparecem em bases de dados de credenciais roubadas. Esta verificação deve ser automatizada e periódica.8. Reportar incidentes ao CERT.PT mesmo quando a organização consegue resolver o problema internamente. Cada incidente reportado contribui para a inteligência coletiva nacional. Um incidente silenciado é uma ameaça que continua ativa para outras organizações.
https://www.ovarnews.pt/o-cibercrime-em-portugal-em-2025-diagnostico-resposta-e-sugestoes/
Sem comentários:
Enviar um comentário