Durante quase uma década, o ransomware teve uma assinatura inconfundível: ficheiros encriptados, um ecrã com uma caveira e um cronómetro a contar até à destruição da chave. Em 2026, essa imagem está a ficar desatualizada. Os grupos criminosos perceberam que encriptar é trabalhoso, ruidoso e cada vez menos rentável. A nova arma é a extorsão de dados: roubar a informação, ameaçar publicá-la e cobrar pelo silêncio. O relatório global de resposta a incidentes da Unit 42 (Palo Alto Networks), que analisou mais de 750 casos reais, mostra que a encriptação esteve presente em apenas 78% dos casos de extorsão em 2025, em queda face a valores próximos ou acima dos 90% em anos anteriores.
A mudança não é cosmética. Redefine a economia do crime digital, a forma como as empresas calculam o risco e aquilo que reguladores europeus como a ENISA e o CNCS exigem das organizações. Esta análise reúne os números de 2025 e 2026, compara modelos de extorsão, ouve especialistas e arrisca cinco previsões sobre o que aí vem.
Extorsão de Dados: o Que Mudou em 2026
O modelo clássico de ransomware assentava num único ponto de pressão: sem a chave de decifragem, a vítima não recuperava os ficheiros. O problema, para os criminosos, é que as empresas aprenderam a defender-se. Cópias de segurança imutáveis, recuperação testada e seguros cibernéticos reduziram o poder de chantagem da encriptação. Quando uma organização consegue restaurar tudo em horas, pagar pela chave deixa de fazer sentido.
A resposta dos atacantes foi mudar o centro de gravidade. Em vez de encriptar, passaram a exfiltrar. A extorsão de dados baseia-se numa ameaça diferente: publicar dados de clientes, propriedade intelectual, contratos e comunicações internas. Aqui não há cópia de segurança que valha, porque o problema não é a disponibilidade dos dados, é a sua confidencialidade. Uma vez roubados, os dados não voltam para o cofre.
A Unit 42 documentou grupos financeiramente motivados, como o Bling Libra (conhecido publicamente como ShinyHunters) e o Chubby Scorpius (associado ao FIN11), a abandonar a encriptação em favor do roubo puro de dados entre meados de 2025 e o início de 2026. O cálculo é simples: menos esforço técnico, menos ruído nos sistemas da vítima e maior alavancagem reputacional.
Os Números da Unit 42: 72 Minutos e 750 Casos
O relatório de 2026 da Unit 42 é a fonte mais completa sobre a mecânica desta transição. Assenta em mais de 750 investigações de resposta a incidentes em todo o mundo. Três conclusões definem o ano. Primeira, a velocidade explodiu: o quartil mais rápido de intrusões chegou à fase de exfiltração em apenas 72 minutos durante 2025, contra 285 minutos em 2024. Segunda, a identidade tornou-se a porta de entrada preferida, presente em cerca de 90% das investigações. Terceira, a inteligência artificial passou a comprimir o ciclo de ataque.
A proporção de incidentes em que os dados saíram da organização em menos de uma hora subiu de 19% em 2024 para 22% em 2025. A mediana global de tempo até à exfiltração situou-se em dois dias, o que significa que metade dos ataques ainda demora, mas a cauda rápida está a encolher de forma perigosa. Quando a Unit 42 simulou um ataque assistido por IA, o tempo até à exfiltração caiu para 25 minutos.
Sam Rubin, vice-presidente sénior da Unit 42 na Palo Alto Networks, resume a dinâmica: “A IA tornou-se um multiplicador de força para os agentes de ameaça. Comprime o ciclo de vida do ataque, do acesso ao impacto, ao mesmo tempo que introduz novos vetores.” Sobre a porta de entrada, Rubin é direto: “A identidade tornou-se o caminho mais fiável para o sucesso do atacante.”
| Métrica (Unit 42) | 2024 | 2025 | Tendência |
|---|---|---|---|
| Exfiltração no quartil mais rápido | 285 min | 72 min | 4x mais rápido |
| Incidentes com exfiltração em menos de 1 hora | 19% | 22% | A subir |
| Encriptação presente na extorsão | cerca de 90% | 78% | A descer |
| Identidade como fator do ataque | n.d. | cerca de 90% | Dominante |
| Dados de SaaS relevantes no caso | 18% | 23% | A subir |
| Atividade via navegador | n.d. | 48% | Crescente |
A Nova Economia da Extorsão: $1,5M Pedidos, $500 Mil Pagos
Se a encriptação está em queda, o dinheiro não está. Pelo contrário. A Unit 42 reporta que a mediana dos pedidos de resgate subiu para 1,5 milhões de dólares em 2025, enquanto a mediana dos pagamentos efetivamente realizados se fixou em 500 mil dólares. A diferença entre o que é pedido e o que é pago revela uma negociação cada vez mais profissionalizada, com intermediários, prazos e tabelas de desconto.
O modelo de extorsão de dados tem uma economia distinta da encriptação clássica. Sem necessidade de programar e testar cifradores robustos, a barreira técnica desce. Como nota Rubin, “o tempo de operação necessário para o executar à escala está a cair”. Menos engenharia significa mais campanhas em paralelo, com a mesma equipa a atacar dezenas de vítimas em simultâneo.
Há ainda um efeito de mercado mais subtil. Quando o ativo roubado são dados pessoais de cidadãos europeus, o atacante ganha um segundo cliente para a sua chantagem: a própria empresa, que enfrenta coimas do RGPD e da diretiva NIS2 se a fuga se tornar pública. A ameaça de divulgação passa a valer tanto pela exposição reputacional como pela exposição regulatória.
IBM: o Custo Médio de uma Violação Caiu para $4,44M
O relatório Cost of a Data Breach 2025 da IBM trouxe um número que surpreendeu o setor: o custo médio global de uma violação de dados caiu para 4,44 milhões de dólares, uma descida de 9% face aos 4,88 milhões de 2024. Foi a primeira queda em cinco anos. A IBM atribui a melhoria à deteção e contenção mais rápidas, muitas vezes apoiadas em automação e IA defensiva.
A média global esconde, porém, contrastes brutais. Nos Estados Unidos, o custo médio subiu 9% para um máximo histórico de 10,22 milhões de dólares. Por outras palavras, enquanto o mundo aprendia a conter melhor os incidentes, o mercado norte-americano tornava-se mais caro, pressionado por litígios, notificações obrigatórias e custos de remediação. Para uma empresa portuguesa, a leitura útil é que a média global de 4,44 milhões é o ponto de partida, não o teto.
Vale a pena cruzar este dado com a velocidade da Unit 42. Se o custo desce quando se contém depressa, e se os atacantes exfiltram em 72 minutos, a janela de defesa estreitou-se ao ponto de a contenção manual deixar de ser viável. A economia da extorsão de dados recompensa quem chega primeiro, e os criminosos chegam cada vez mais cedo.
ENISA: o Retrato Europeu da Ameaça
Para o contexto europeu, a referência é o ENISA Threat Landscape 2025. A agência da UE confirma uma divisão clara entre volume e impacto. Em volume, os ataques de negação de serviço (DDoS) dominam, representando cerca de 76,7% dos incidentes registados. Em impacto, contudo, o ransomware mantém-se como a ameaça mais grave para as organizações europeias, precisamente por causa da componente de roubo e divulgação de dados.
Quando se olha apenas para o cibercrime dirigido a organizações da UE, o peso do ransomware é esmagador. A leitura do relatório aponta que o ransomware representa 81,1% destes incidentes e as violações de dados 15,2%. O phishing mantém-se como o vetor de intrusão dominante, perto de 60%, seguido da exploração de vulnerabilidades, com 21,3%. A combinação de ransomware, trojans bancários e infostealers explica 87,3% das intrusões analisadas.
Onde Portugal se Encaixa
Portugal não é exceção a esta tendência europeia. O país acompanha o padrão da UE no crescimento da pressão por ransomware e fugas de dados, com o setor da saúde a destacar-se como alvo sensível. A entrada em vigor do regime nacional de transposição da NIS2 obriga milhares de entidades essenciais e importantes a registar-se, a comunicar incidentes em prazos apertados e a expor-se a coimas que podem chegar aos milhões de euros. Para muitas organizações, a extorsão de dados deixou de ser um problema apenas técnico para se tornar um risco de conformidade.
Comparação de Modelos: Encriptação, Dupla e Tripla Extorsão
Para perceber a mudança de 2026, convém separar os modelos de extorsão que coexistem no mercado criminoso. Cada um tem um perfil de risco distinto para a vítima e exige defesas diferentes.
| Modelo | Mecanismo | Ponto de pressão | Cópia de segurança ajuda? | Estado em 2026 |
|---|---|---|---|---|
| Encriptação simples | Cifra ficheiros, exige chave | Disponibilidade | Sim, muito | Em declínio |
| Dupla extorsão | Cifra e exfiltra dados | Disponibilidade e confidencialidade | Parcialmente | Dominante |
| Extorsão de dados pura | Só rouba e ameaça publicar | Confidencialidade | Quase nada | Em forte crescimento |
| Tripla extorsão | Acrescenta DDoS e contacto a clientes | Disponibilidade, reputação, pressão de terceiros | Não | Emergente |
O dado revelador da Unit 42 é que a encriptação caiu para 78% dos casos de extorsão. Isto significa que mais de um em cada cinco ataques de extorsão já dispensa por completo a cifragem de ficheiros. A vítima descobre o ataque não por um ecrã de resgate, mas por um aviso de que os seus dados estão prestes a aparecer num site de fugas.
Como os Atacantes Entram: Identidade e SaaS
Se a saída são os dados, a entrada é quase sempre uma credencial. A Unit 42 estima que 65% dos acessos iniciais resultam de técnicas baseadas em identidade, como phishing, reutilização de palavras-passe e roubo de tokens de sessão. Os atacantes deixaram de arrombar a porta e passaram a entrar com a chave. É mais silencioso, contorna muitas defesas de perímetro e confunde-se com tráfego legítimo.
O alvo mudou também de lugar. Os dados relevantes para os casos investigados estavam em aplicações SaaS em 23% das situações, contra apenas 6% em 2022. A atividade através do navegador apareceu em 48% das investigações. À medida que as empresas migram correio, ficheiros e CRM para a nuvem, o roubo de dados deixa de exigir presença prolongada na rede interna. Basta uma sessão autenticada na aplicação certa.
Esta deslocação para a identidade e o SaaS é o que torna a extorsão de dados tão eficiente. Não é preciso movimento lateral demorado nem instalação de cifradores. Um atacante com credenciais válidas de um administrador de SaaS pode exportar bases de dados inteiras em minutos, sem disparar os alarmes tradicionais de ransomware.
A IA como Acelerador: dos 15 Minutos aos 25
A inteligência artificial é o fio condutor de quase todos os números de 2026. Do lado ofensivo, a Unit 42 observou atacantes a começar a procurar sistemas vulneráveis nos 15 minutos seguintes à divulgação pública de uma falha. A automação reduz o intervalo entre conhecer a fraqueza e explorá-la a uma janela que nenhuma equipa humana de segurança consegue acompanhar manualmente.
Em ambiente controlado, a Unit 42 mostrou que um ataque assistido por IA conseguiu encurtar o tempo até à exfiltração para 25 minutos. Geração automática de scripts, redação de mensagens de extorsão consistentes e seleção de alvos passam a ser tarefas delegadas em modelos. Como nota Sam Rubin, os operadores usam IA para reduzir o trabalho manual durante a implementação e a extorsão, desde a criação de scripts até à consistência das mensagens.
O paradoxo é que a mesma IA que acelera os ataques também explica a descida de custos reportada pela IBM. A automação defensiva está a comprimir os tempos de deteção e contenção. Em 2026, a batalha do ransomware e da extorsão de dados é, em larga medida, uma corrida entre IA ofensiva e IA defensiva, medida em minutos.
Setores na Linha da Frente: Saúde, Utilities e Retalho
Nem todos os setores sofrem da mesma forma. Os dados de 2025 e 2026 mostram concentrações claras. A saúde continua a ser o alvo mais sensível, não por pagar mais, mas por não poder parar. Estimativas do setor apontam para um custo médio de inatividade na ordem de 1,9 milhões de dólares por dia quando um hospital fica paralisado, o que transforma cada hora de indisponibilidade numa alavanca de chantagem.
As infraestruturas críticas e as utilities registaram um aumento de pelo menos 42% dos ataques de ransomware ano após ano. O retalho e o comércio grossista representaram cerca de 18% a 19% das organizações visadas e afetadas em incidentes de extorsão, segundo a Unit 42. São setores com grandes volumes de dados pessoais e margens apertadas, uma combinação que os torna apetecíveis para a extorsão de dados.
| Indicador | Valor 2025/2026 | Fonte |
|---|---|---|
| Custo médio global de violação | $4,44M | IBM 2025 |
| Custo médio nos EUA | $10,22M | IBM 2025 |
| Mediana do pedido de resgate | $1,5M | Unit 42 2026 |
| Mediana do pagamento de resgate | $500 mil | Unit 42 2026 |
| Inatividade diária na saúde | $1,9M/dia | VikingCloud 2026 |
| Aumento de ataques a utilities | +42% ano/ano | VikingCloud 2026 |
| Ransomware no malware (EMEA) | 40% | VikingCloud 2026 |
Contexto Histórico: de WannaCry à Extorsão sem Cifra
Para medir a dimensão da viragem de 2026, vale recuar uma década. Em 2017, o WannaCry e o NotPetya mostraram o poder destrutivo da encriptação à escala global, paralisando hospitais e multinacionais. O modelo era binário: pagar pela chave ou perder os ficheiros. Durante anos, a indústria de segurança organizou-se em torno deste cenário, com foco em cópias de segurança e recuperação.
O ponto de viragem foi a campanha de exploração em massa do MOVEit em 2023, atribuída ao grupo Cl0p, que roubou dados de centenas de organizações sem encriptar quase nada. Foi a prova de conceito de que a extorsão podia funcionar apenas com roubo. O que era exceção em 2023 tornou-se tendência dominante em 2025 e norma emergente em 2026. A descida da encriptação para 78% nos dados da Unit 42 é o epílogo natural desta história.
Comparação Competitiva: Grupos e Táticas em 2026
O ecossistema criminoso de 2026 está mais fragmentado e profissional. A Unit 42 destaca operadores financeiramente motivados como o Bling Libra (ShinyHunters) e o Chubby Scorpius (FIN11) a consolidar a abordagem de roubo e extorsão sem cifragem. Outros grupos conhecidos do modelo ransomware-as-a-service continuam ativos, alugando infraestrutura a afiliados que executam os ataques e partilham receitas.
A diferença competitiva já não está na sofisticação do cifrador, mas na eficiência da cadeia: rapidez de acesso por identidade, capacidade de exfiltração em massa de SaaS e qualidade da operação de negociação. Os grupos que dominam a extorsão de dados investem menos em malware e mais em logística, relações públicas criminosas e sites de fugas com contagens decrescentes e provas de roubo.
Esta profissionalização tem um efeito perverso para as vítimas. Mesmo que paguem, não há garantia de que os dados sejam apagados. Ao contrário da chave de decifragem, cuja entrega é verificável, a destruição de cópias roubadas é impossível de confirmar. A confiança no serviço criminoso é, ironicamente, o seu maior limite e a razão pela qual reguladores desaconselham o pagamento.
O Que Isto Significa para as Empresas Portuguesas
Para uma organização em Portugal, a transição para a extorsão de dados obriga a reescrever o plano de resposta. As cópias de segurança imutáveis continuam essenciais, mas deixaram de ser suficientes. Se o atacante rouba antes de encriptar, ou nem sequer encripta, a recuperação de sistemas não resolve a exposição dos dados nem a obrigação de notificar a CNPD e o CNCS.
As prioridades mudam de lugar. A autenticação resistente a phishing, com chaves de segurança e MFA robusto, ataca o vetor de identidade que explica 65% dos acessos. A monitorização de exportações anómalas em aplicações SaaS responde ao novo padrão de exfiltração. E a cifragem dos dados em repouso, do lado da vítima, reduz o valor daquilo que é roubado. Encriptar primeiro, antes do atacante, é a defesa que faltava na era da extorsão de dados.
Três Medidas Imediatas
- Reduzir a superfície de identidade: impor MFA resistente a phishing, eliminar contas órfãs e rever permissões de administrador em SaaS.
- Vigiar a saída de dados: alertas para exportações em massa, transferências fora de horas e acessos a partir de localizações invulgares.
- Testar o plano de extorsão, não só de recuperação: simular um cenário de fuga sem encriptação e ensaiar a comunicação a reguladores e clientes.
Cinco Previsões para a Extorsão de Dados até 2027
Com base nos dados de 2025 e 2026, arriscamos cinco previsões fundamentadas sobre a trajetória da extorsão de dados.
- A encriptação cai abaixo dos 70%. Se a tendência da Unit 42 se mantiver, a cifragem deixará de ser maioritária como ferramenta de pressão, substituída por roubo puro e ameaça de divulgação.
- O tempo de exfiltração entra na ordem dos minutos. Com IA ofensiva, os 25 minutos da simulação tornar-se-ão realidade operacional para uma fatia crescente de ataques.
- O SaaS torna-se o principal campo de batalha. A quota de casos com dados em SaaS, que subiu de 6% em 2022 para 23% em 2025, deverá ultrapassar um terço.
- A pressão regulatória vira arma de chantagem. Os criminosos passarão a calcular o valor das coimas RGPD e NIS2 das vítimas para fixar resgates, transformando a conformidade num multiplicador de extorsão.
- A defesa concentra-se na identidade e na cifragem prévia. O investimento desloca-se de antivírus para gestão de identidade, deteção de exfiltração e cifragem proativa dos dados sensíveis.
Perguntas Frequentes sobre Extorsão de Dados
O que é a extorsão de dados e como difere do ransomware clássico?
A extorsão de dados consiste em roubar informação e ameaçar publicá-la, sem necessariamente encriptar os ficheiros da vítima. O ransomware clássico cifrava os dados e exigia uma chave. Em 2026, a Unit 42 mostra que a encriptação aparece em apenas 78% dos casos de extorsão, sinal de que o roubo puro ganha terreno.
As cópias de segurança protegem contra a extorsão de dados?
Protegem contra a perda de disponibilidade, mas não contra a divulgação. Se os dados forem roubados antes de qualquer encriptação, restaurar os sistemas não impede a publicação. Por isso, em 2026, as cópias de segurança têm de ser complementadas com gestão de identidade, deteção de exfiltração e cifragem dos dados em repouso.
Quanto custa em média uma violação de dados?
Segundo o relatório Cost of a Data Breach 2025 da IBM, o custo médio global desceu para 4,44 milhões de dólares, menos 9% que em 2024. Nos Estados Unidos, porém, subiu para um máximo histórico de 10,22 milhões. A mediana dos resgates pedidos foi de 1,5 milhões de dólares, com pagamentos medianos de 500 mil.
Qual é o vetor de entrada mais comum?
A identidade. A Unit 42 estima que 65% dos acessos iniciais resultam de técnicas baseadas em identidade, como phishing e roubo de credenciais. A ENISA confirma o phishing como o vetor de intrusão dominante na UE, perto de 60%, seguido da exploração de vulnerabilidades.
Deve uma empresa pagar o resgate?
Os reguladores desaconselham. No modelo de extorsão de dados, pagar não garante a destruição das cópias roubadas, ao contrário da entrega verificável de uma chave de decifragem. Além disso, o pagamento alimenta o mercado criminoso e pode ter implicações legais. A decisão deve envolver assessoria jurídica e comunicação às autoridades competentes.
Como se relaciona isto com a NIS2 e o RGPD em Portugal?
Uma fuga de dados pessoais aciona obrigações de notificação ao abrigo do RGPD e, para entidades essenciais e importantes, do regime nacional da NIS2, com prazos curtos e coimas elevadas. A extorsão de dados transforma assim um incidente técnico num risco de conformidade, que os atacantes já usam como argumento de pressão adicional.
A inteligência artificial torna estes ataques mais perigosos?
Sim. A Unit 42 observou atacantes a procurar sistemas vulneráveis 15 minutos após a divulgação de uma falha e simulou ataques assistidos por IA com exfiltração em 25 minutos. A mesma IA, do lado defensivo, ajuda a explicar a descida do custo médio reportada pela IBM, porque acelera a deteção e a contenção.
Cobertura Relacionada
- Ransomware na Saúde: 2,7M Doentes Expostos [2026]
- Ciberataque em 72 Minutos: A Nova Velocidade [2026]
- Ciberataques em Portugal: 2.437/Semana, +32% UE [2026]
- Fuga de Dados Match Group: 10M Afetados [2026]
- NIS2 Portugal: Coimas de €10M e 60 Dias para Registo [2026]
- Violações de Dados: Como Acontecem e Como se Proteger
- Segurança Online Explicada
Fontes Externas
- Unit 42 Global Incident Response Report 2026 (Palo Alto Networks)
- ENISA Threat Landscape
- ENISA Threat Landscape 2025 (resumo)
- IBM Cost of a Data Breach Report 2025
- IBM X-Force: análise do custo das violações 2025
Análise publicada em junho de 2026. Os dados citados provêm de relatórios de 2025 e 2026 da Unit 42 (Palo Alto Networks), IBM, ENISA e VikingCloud.
