Em 2024, um atacante levava em média 285 minutos a roubar dados depois de entrar numa rede. Em 2025, esse tempo caiu para 72 minutos nos casos mais rápidos. É uma redução de quase quatro vezes em doze meses, e muda por completo a matemática da defesa. Quando um ciberataque chega à exfiltração de dados em pouco mais de uma hora, a equipa de segurança deixa de ter dias para reagir e passa a ter minutos.
Os dados vêm do 2026 Unit 42 Global Incident Response Report, da Palo Alto Networks, que analisou mais de 750 incidentes reais. O relatório descreve um adversário que não é apenas mais inteligente, mas sobretudo mais rápido. A inteligência artificial comprimiu o ciclo de vida do ataque, a identidade tornou-se o ponto de entrada dominante e a janela para conter um incidente encolheu para um ponto que poucas organizações estão preparadas para defender. Esta análise reúne os números, o contexto histórico e o que significam para as empresas em Portugal e na União Europeia.
Ciberataque em 72 minutos: o que mudou em 2025
O número que define o ano é a velocidade. Segundo a Unit 42, o quartil mais rápido de intrusões atingiu a exfiltração de dados em 1,2 horas em 2025, contra 4,8 horas no ano anterior. Nos casos extremos, o tempo entre o acesso inicial e o roubo de dados foi de apenas 72 minutos. A proporção de incidentes que chegaram à exfiltração em menos de uma hora subiu de 19% em 2024 para 22% em 2025.
Estes valores não descrevem o ataque típico. A mediana do tempo até à exfiltração mantém-se em dois dias no conjunto completo dos dados. O que mudou foi a cauda rápida da distribuição: os atacantes mais capazes operam agora a uma velocidade que torna a deteção manual praticamente inútil. Quando uma intrusão pode roubar dados antes de a primeira reunião de resposta começar, a defesa tem de ser automática ou não existe.
A Unit 42 documentou ainda um cenário de simulação assistida por IA em que o tempo até à exfiltração desceu para 25 minutos. Não é um número de produção em massa, mas indica o teto da aceleração possível quando as ferramentas ofensivas automatizam reconhecimento, escalada de privilégios e roubo de dados num único fluxo contínuo.
Os números do relatório Unit 42 2026
A fotografia completa do relatório mostra que a velocidade é apenas uma das quatro grandes tendências. As outras três são a identidade comprometida, o uso rotineiro de IA pelos atacantes e a exploração simultânea de várias superfícies. A tabela seguinte resume as métricas centrais do estudo, todas referentes a incidentes investigados em 2025.
| Métrica | Valor 2025 | Contexto |
|---|---|---|
| Exfiltração mais rápida | 72 minutos | 285 minutos em 2024 |
| Quartil mais rápido | 1,2 horas | 4,8 horas em 2024 |
| Incidentes com exfiltração <1h | 22% | 19% em 2024 |
| Investigações com falhas de identidade | 89% | Vetor dominante |
| Acesso inicial via identidade | 65% | Engenharia social e credenciais |
| Acesso inicial via vulnerabilidades | 22% | Software por corrigir |
| Ataques com 2 ou mais superfícies | 87% | Até 10 frentes em simultâneo |
| Ataques que envolveram o browser | 48% | Sessões e credenciais |
| Ataques a SaaS de terceiros | 23% | Subida de 3,8x desde 2022 |
| Incidentes analisados | 750+ | Base global do relatório |
O dado mais lido fora do setor foi a aceleração da exfiltração, mas o número que mais preocupa os responsáveis de segurança é o 89% de investigações em que falhas de identidade foram exploradas. A identidade deixou de ser uma camada de controlo e passou a ser a principal porta de entrada e de movimento lateral. Mais de 90% das violações analisadas foram, segundo o resumo do relatório, materialmente facilitadas por lacunas evitáveis: visibilidade limitada, controlos inconsistentes ou confiança excessiva em identidades.
A inteligência artificial como multiplicador de força
«A IA tornou-se um multiplicador de força para os atores de ameaça», afirma o relatório da Unit 42. Em 2025, os atacantes deixaram de experimentar com IA e passaram a usá-la de forma rotineira em três tarefas concretas: análise de vulnerabilidades, reconhecimento e fluxos de extorsão. O resultado, na linguagem do relatório, é uma compressão do ciclo de vida do ataque de cerca de quatro vezes ao longo do último ano.
A compressão funciona porque a IA elimina o trabalho manual entre fases. Um operador que antes precisava de horas para mapear uma rede, identificar contas privilegiadas e preparar o roubo de dados pode agora delegar grande parte dessas tarefas a ferramentas que trabalham em paralelo e sem pausas. A automação não torna cada passo individualmente mais sofisticado, mas remove o atrito que dava às equipas de defesa o seu tempo de reação.
Esta mudança tem um espelho do lado defensivo. O relatório de custo de violações da IBM para 2025 atribui a primeira descida em cinco anos no custo médio das violações precisamente à deteção e resposta apoiadas por IA. A mesma tecnologia que comprime o ataque também comprime a resposta, e a corrida de 2026 vai decidir-se em saber quem automatiza mais depressa.
Identidade: o perímetro que substituiu a firewall
Se há uma frase que resume o relatório, é que a identidade é o novo perímetro. Com 65% do acesso inicial a vir de técnicas baseadas em identidade, como engenharia social, phishing e abuso de credenciais, os atacantes raramente precisam de explorar uma falha técnica complexa. Basta convencer uma pessoa ou comprar uma credencial válida. Depois de dentro, a confiança excessiva entre sistemas faz o resto.
O browser tornou-se o campo de batalha central deste modelo. Em 48% dos ataques, o browser esteve envolvido, normalmente através do roubo de sessões ativas ou de credenciais introduzidas em páginas falsas. Campanhas recentes ilustram o padrão: em maio de 2026, a operação conhecida como HookedWing usou páginas que imitavam a Google, a Microsoft e o GitHub para capturar credenciais e sequestrar sessões de browser, contornando por completo a autenticação inicial.
Porque a autenticação multifator já não chega
O roubo de sessões explica por que motivo a autenticação multifator, embora essencial, deixou de ser suficiente. Quando um atacante captura um cookie de sessão já autenticado, não precisa de passar pelo segundo fator: a sessão já existe. A defesa passa a depender de sinais de comportamento, deteção de dispositivos desconhecidos e revogação rápida de sessões. As organizações que tratam a autenticação como um evento único, e não como uma avaliação contínua, ficam expostas mesmo com a autenticação de dois fatores ativa.
Vulnerabilidades e ataques de superfícies múltiplas
As vulnerabilidades não desapareceram, mas ocupam agora o segundo lugar. Representaram 22% do acesso inicial nos dados da Unit 42, sobretudo através de software empresarial por corrigir. A pressão sobre a gestão de patches continua intensa, como mostra a sequência de campanhas ativas em 2026. A 24 de maio, atacantes exploraram a CVE-2026-10956, uma falha crítica de injeção de SQL no Ghost CMS, dentro de uma campanha ClickFix de grande escala. Três dias depois, a 27 de maio, a CISA ordenou às agências federais norte-americanas que corrigissem a CVE-2026-26831 num prazo de quatro dias, por estar a ser ativamente explorada num plugin do cPanel.
O traço mais perigoso de 2025 não foi nenhuma vulnerabilidade isolada, mas a combinação de frentes. 87% dos ataques envolveram duas ou mais superfícies, e a Unit 42 chegou a observar atividade em até dez frentes em simultâneo. Um atacante moderno entra por uma credencial roubada, escala numa aplicação SaaS mal configurada, abusa de uma sessão de browser e exfiltra através de um serviço cloud legítimo. Cada passo, isolado, pode parecer ruído. Em conjunto, é uma intrusão completa. A gestão de vulnerabilidades em catálogos como o EUVD da União Europeia ajuda, mas não resolve sozinha um problema que é de arquitetura.
O salto nas aplicações SaaS de terceiros é o exemplo mais claro desta expansão da superfície. Os ataques a SaaS representaram 23% do total em 2025, uma subida de 3,8 vezes desde 2022. À medida que as empresas movem dados críticos para dezenas de serviços externos, cada integração torna-se um ponto de entrada potencial fora do controlo direto da equipa de segurança.
O custo real: o que diz o relatório da IBM
A aceleração dos ataques teve, paradoxalmente, um efeito positivo no custo médio. O Cost of a Data Breach Report 2025 da IBM reportou um custo médio global de 4,44 milhões de dólares por violação, uma descida face aos 4,88 milhões de 2024. Foi a primeira descida em cinco anos, atribuída sobretudo à contenção mais rápida apoiada por defesas com IA. A boa notícia tem uma ressalva importante: o custo desce para quem deteta depressa, e sobe para quem não acompanha.
| Indicador (IBM 2025) | Valor | Observação |
|---|---|---|
| Custo médio global de violação | 4,44 M USD | 4,88 M em 2024 |
| Custo médio nos EUA | 10,22 M USD | Mercado mais caro |
| Custo extra com “shadow AI” | +670 000 USD | Uso não autorizado de IA |
| Organizações com ataques a sistemas de IA | 13% | Nova superfície de risco |
| Tendência do custo global | 1.ª descida em 5 anos | Deteção mais rápida |
O dado mais inquietante do relatório da IBM é o da IA não governada. 13% das organizações sofreram ataques que afetaram os seus modelos ou aplicações de IA, e o uso não autorizado de ferramentas de IA, a chamada shadow AI, adicionou em média 670 mil dólares ao custo de uma violação. A pressa em adotar IA sem governação criou uma nova superfície de ataque que muitas equipas de segurança ainda não conseguem ver. Para quem quer perceber como estes incidentes se desenrolam na prática, vale a pena rever como funcionam as violações de dados do ponto de vista técnico.
Impacto no mercado e nas empresas portuguesas
Para uma empresa em Portugal, a leitura prática destes números é direta. A maioria das organizações nacionais não dispõe de equipas de resposta a incidentes capazes de conter uma intrusão em menos de uma hora. Se o atacante mais rápido rouba dados em 72 minutos e a deteção média de muitas PME ainda se conta em dias, a janela de defesa simplesmente não existe sem automação.
O impacto no mercado divide-se em duas direções. Por um lado, cresce a procura por plataformas de deteção e resposta automatizadas, por serviços geridos de segurança e por seguros cibernéticos com requisitos cada vez mais exigentes. Por outro, aumenta a pressão regulatória que obriga setores inteiros a elevar o nível mínimo de proteção. As empresas que tratam a segurança como um custo a minimizar vão sentir esse desequilíbrio primeiro, sobretudo nos setores mais visados, como o retalho, que concentrou 18% dos incidentes de extorsão em 2025.
A componente humana continua a ser o vetor mais explorado. Com 65% dos acessos iniciais a passarem por engenharia social e credenciais, a formação dos colaboradores e a higiene de palavras-passe deixaram de ser opcionais. Boas práticas como a segurança de palavras-passe e o reconhecimento de tentativas de phishing têm um retorno desproporcional, porque atuam exatamente no ponto onde a maioria dos ataques começa.
Comparação histórica: como evoluíram os tempos de ataque
Para entender a dimensão da mudança, é útil olhar para a trajetória dos últimos anos. A velocidade de exfiltração não caiu de forma linear, acelerou. A tabela seguinte compara a evolução das métricas centrais, com base nos dados públicos da Unit 42 e nas referências de mercado disponíveis.
| Ano | Exfiltração mais rápida | Quartil rápido | Acesso via SaaS |
|---|---|---|---|
| 2022 | n.d. | n.d. | 6% |
| 2023 | n.d. | n.d. | 12% |
| 2024 | 285 minutos | 4,8 horas | 18% |
| 2025 | 72 minutos | 1,2 horas | 23% |
| Simulação IA | 25 minutos | n.d. | n.d. |
O padrão é inequívoco. Tanto a velocidade de exfiltração como a percentagem de ataques via SaaS pioraram todos os anos, e o ritmo está a acelerar. A tendência do SaaS, que quadruplicou em três anos, mostra que a expansão da superfície de ataque não é um evento pontual, mas uma consequência estrutural da forma como as empresas constroem hoje os seus sistemas. Cada novo serviço externo é conveniência para o negócio e oportunidade para o atacante.
O enquadramento regulatório europeu: NIS2 e DORA
A Europa respondeu a esta realidade com regulação. A diretiva NIS2 alarga de forma significativa o número de setores e entidades obrigados a cumprir requisitos mínimos de cibersegurança e a reportar incidentes graves dentro de prazos apertados. Em Portugal, o Centro Nacional de Cibersegurança assume um papel central na supervisão e na coordenação da resposta, e as entidades abrangidas enfrentam obrigações de gestão de risco que vão muito além das recomendações voluntárias do passado.
No setor financeiro, o Digital Operational Resilience Act, ou DORA, aplica-se desde 17 de janeiro de 2025 em toda a União Europeia. O regulamento impõe a bancos, seguradoras e empresas de investimento requisitos detalhados de resiliência operacional digital, incluindo testes, gestão de risco de terceiros e comunicação de incidentes. A combinação de NIS2 e DORA cria, pela primeira vez, um quadro em que a velocidade de deteção e resposta deixa de ser apenas uma boa prática e passa a ser uma obrigação legal sujeita a sanções.
A lógica regulatória encaixa diretamente nos números da Unit 42. Quando a exfiltração acontece em minutos, os prazos de notificação de incidentes e os requisitos de monitorização contínua deixam de ser burocracia e passam a ser a tradução legal de uma necessidade técnica. As empresas que já investiram em deteção automatizada cumprem a regulação quase por inércia. As que não investiram vão descobrir o custo de o fazer sob pressão.
Vozes do setor sobre a aceleração dos ataques
O relatório da Unit 42 é claro na sua tese central. «A IA tornou-se um multiplicador de força para os atores de ameaça», nota o documento, descrevendo um adversário que «não é apenas mais inteligente, é mais rápido». A equipa da Palo Alto Networks enquadra 2026 em torno de quatro tendências, a IA, a identidade, o abuso de SaaS e da cadeia de fornecimento, e as táticas furtivas de Estados-nação, e sublinha que a velocidade transformou o problema de deteção num problema de contenção.
A leitura da Fortinet reforça o diagnóstico. A empresa reportou que o reconhecimento automatizado atingiu cerca de 36 000 análises maliciosas por segundo, um aumento de 16,7% face ao ano anterior, e alerta que a exploração de software com vulnerabilidades de dia zero e por corrigir está a acelerar. A Fortinet registou ainda mais de 97 mil milhões de tentativas de exploração em 2024, um indicador da escala industrial com que os atacantes hoje procuram sistemas vulneráveis.
Do lado defensivo, a IBM oferece a contraprova otimista. O seu relatório de 2025 demonstra que as organizações que apostaram em deteção e resposta com IA conseguiram, pela primeira vez em cinco anos, reduzir o custo médio das violações. A mensagem combinada destes três relatórios é coerente: a IA está a acelerar o ataque, mas também é a única ferramenta capaz de acelerar a defesa ao mesmo ritmo. Quem ficar a meio caminho, com ataques automatizados e defesas manuais, é quem paga a conta mais alta.
Cinco previsões para 2026 e 2027
Com base nas tendências documentadas, é possível antecipar o que vem a seguir. Estas previsões partem dos dados de 2025-2026 e da trajetória observada nos últimos anos.
- A exfiltração em menos de uma hora torna-se a norma para grupos organizados. Os 22% de 2025 vão crescer à medida que mais ferramentas ofensivas integram automação por defeito.
- A identidade consolida-se como o campo de batalha decisivo. Com 89% das investigações já a envolverem falhas de identidade, o investimento vai migrar de firewalls para deteção contínua de identidade e gestão de sessões.
- A “shadow AI” torna-se uma categoria formal de risco. O custo extra de 670 mil dólares por violação vai forçar políticas de governação de IA tão rigorosas como as de gestão de dados.
- A regulação europeia ganha dentes. As primeiras sanções relevantes ao abrigo de NIS2 e DORA vão transformar a conformidade de uma intenção numa prioridade orçamental.
- A defesa autónoma deixa de ser opcional. Quando o atacante opera em minutos, a resposta orquestrada por humanos perde a corrida, e a deteção e resposta automatizadas passam a ser requisito mínimo, não vantagem competitiva.
Como reduzir a janela de resposta a um ciberataque
A conclusão prática dos dados é que a defesa tem de operar à velocidade do ataque. Isso significa, primeiro, encurtar o tempo de deteção com monitorização contínua e correlação automática de sinais, em vez de depender de revisão manual de alertas. Uma intrusão que rouba dados em 72 minutos não dá tempo para um analista abrir um ticket, investigar e escalar.
Segundo, a identidade tem de ser tratada como o perímetro real. Isso passa por autenticação resistente a phishing, revogação rápida de sessões comprometidas, princípio do menor privilégio e avaliação contínua do risco de cada acesso, em vez de confiar numa autenticação única no início da sessão. A proteção da camada de transporte com HTTPS e TLS continua a ser a base, mas não substitui a vigilância sobre quem usa cada credencial.
Terceiro, a superfície de ataque tem de ser reduzida e visível. Cada aplicação SaaS, cada integração e cada serviço cloud precisa de inventário, configuração revista e monitorização. Os 23% de ataques via SaaS mostram que o que não se vê não se protege. Para as organizações em Portugal, alinhar estas medidas com os requisitos de NIS2 mata dois problemas de uma vez: melhora a postura real de segurança e garante a conformidade legal que está a tornar-se obrigatória.
Perguntas frequentes sobre a velocidade dos ciberataques
Quanto tempo demora hoje um ciberataque a roubar dados?
Nos casos mais rápidos analisados pela Unit 42 em 2025, a exfiltração de dados ocorreu em apenas 72 minutos após o acesso inicial, contra 285 minutos em 2024. A mediana no conjunto completo dos incidentes mantém-se em dois dias, mas a cauda rápida do ataque acelerou quase quatro vezes num ano.
Porque é que os ataques ficaram tão rápidos?
A principal causa é a inteligência artificial. Os atacantes passaram a usar IA de forma rotineira para automatizar reconhecimento, análise de vulnerabilidades e fluxos de extorsão, eliminando o trabalho manual que antes separava as fases do ataque. A Unit 42 estima que a IA comprimiu o ciclo de vida do ataque cerca de quatro vezes.
Qual é o principal ponto de entrada dos atacantes?
A identidade. Cerca de 65% dos acessos iniciais em 2025 vieram de técnicas baseadas em identidade, como phishing, engenharia social e abuso de credenciais. As vulnerabilidades de software representaram 22%. No total, falhas de identidade estiveram presentes em 89% das investigações.
A autenticação de dois fatores ainda protege?
Sim, continua a ser essencial, mas já não é suficiente sozinha. Os atacantes contornam-na cada vez mais através do roubo de sessões de browser já autenticadas, que não exigem novo segundo fator. A defesa moderna combina autenticação resistente a phishing com avaliação contínua de risco e revogação rápida de sessões.
O que mudou no custo das violações de dados?
Segundo a IBM, o custo médio global de uma violação caiu para 4,44 milhões de dólares em 2025, a primeira descida em cinco anos, graças à deteção mais rápida apoiada por IA. No entanto, o uso não autorizado de IA, a shadow AI, adicionou em média 670 mil dólares por violação afetada.
Como é que a regulação europeia se aplica a Portugal?
A diretiva NIS2 alarga as obrigações de cibersegurança a mais setores, com supervisão do Centro Nacional de Cibersegurança em Portugal. O regulamento DORA aplica-se ao setor financeiro desde 17 de janeiro de 2025. Ambos impõem deteção, gestão de risco e comunicação de incidentes em prazos curtos, sob pena de sanções.
Que setores foram mais atacados em 2025?
O retalho e o comércio grossista estiveram entre os mais visados, concentrando cerca de 18% dos incidentes de extorsão analisados pela Unit 42 e sendo afetados em 19% dos casos. A exposição reflete o volume de dados de clientes e a forte dependência de cadeias de fornecimento digitais.
Conclusão: a corrida que se decide em minutos
O número de 2025 é fácil de lembrar e difícil de esquecer: 72 minutos. É o tempo que separa, no pior cenário, a entrada de um atacante do roubo dos dados. A par dele, os 89% de investigações com falhas de identidade e os 23% de ataques via SaaS desenham um adversário rápido, automatizado e multi-frente. A resposta não está em mais uma ferramenta isolada, mas em tratar a deteção, a identidade e a superfície de ataque como um sistema único que opera à velocidade da máquina. A regulação europeia, com NIS2 e DORA, está a transformar essa exigência técnica numa obrigação legal. Para as empresas em Portugal, a escolha é simples: automatizar a defesa ou perder a corrida que agora se decide em minutos.
Cobertura relacionada
- Ciberataques em Portugal: 2.437/Semana, +32% UE [2026]
- CVE em Crise: EUVD da UE e 11 Meses de Risco [2026]
- Violações de Dados: Como Acontecem e Como se Proteger
- Phishing e Engenharia Social: Reconhecer e Reagir
- Segurança de Palavras-passe: Guia Prático
- Segurança Online Explicada
Fontes externas: 2026 Unit 42 Global Incident Response Report, IBM Cost of a Data Breach Report 2025, ENISA Threat Landscape, DORA (EIOPA) e Comissão Europeia, Finanças Digitais.
