O relatório mais influente da cibersegurança mundial mudou de eixo. O Verizon 2026 Data Breach Investigations Report (DBIR), divulgado a 19 de maio de 2026, confirma uma viragem que os responsáveis de segurança temiam: a exploração de vulnerabilidades de software tornou-se o principal vetor de acesso inicial, presente em 31% das violações de dados. Pela primeira vez em vários anos, as falhas técnicas ultrapassaram as credenciais roubadas como porta de entrada favorita dos atacantes.
A edição de 2026 analisou mais de 22.000 violações de dados confirmadas e mais de 31.000 incidentes de segurança em dezenas de países. Os números desenham um cenário onde o ransomware aparece em quase metade das violações, a cadeia de fornecimento se tornou um risco sistémico e a inteligência artificial passou a acelerar tanto o ataque como a defesa. Para as empresas portuguesas, que entraram em 2026 sob a pressão do novo regime NIS2 em Portugal, as conclusões funcionam como um aviso e um guião.
Esta análise destrincha os dados que importam, compara o relatório com edições anteriores e com outros estudos, ouve especialistas e traça cinco previsões para o que resta de 2026. Todos os números citados vêm do DBIR 2026 ou de relatórios públicos identificados ao longo do texto.
DBIR 2026: as vulnerabilidades ultrapassam as senhas
A manchete do DBIR 2026 é direta. A exploração de vulnerabilidades respondeu por 31% das violações de dados como vetor de acesso inicial, contra 13% atribuídos a credenciais roubadas. Durante anos, a senha comprometida foi o pecado original das empresas. Em 2026, o problema passou a ser o software por corrigir exposto à Internet.
A leitura não é que as credenciais deixaram de importar. É que os atacantes encontraram um caminho mais rápido e mais escalável. Quando um único CVE crítico afeta milhares de dispositivos de borda, firewalls ou servidores VPN, basta uma campanha automatizada para varrer a Internet inteira em horas. A pressão sobre a gestão de vulnerabilidades, já documentada na crise dos CVE e na base de dados EUVD da UE, agora aparece quantificada num dos relatórios mais citados do setor.
O padrão de ataque dominante continua a ser a intrusão de sistemas (System Intrusion), presente em 60% das violações. Este padrão combina exploração técnica, movimento lateral e, frequentemente, ransomware na fase final. O elemento humano, que inclui erros, uso indevido de privilégios e engenharia social, mantém-se em 62% das violações, prova de que tecnologia e comportamento continuam entrelaçados.
A mudança de vetor tem consequências operacionais. Defender contra credenciais roubadas significa investir em autenticação multifator e gestão de identidade. Defender contra exploração de vulnerabilidades significa reduzir a superfície de exposição e corrigir mais depressa, duas tarefas onde, como veremos, a maioria das organizações está a perder terreno.
Os números que definem o relatório de 2026
A tabela seguinte reúne os indicadores centrais do DBIR 2026. São os valores que vão orientar orçamentos de segurança e auditorias ao longo do ano.
| Indicador | Valor 2026 | Nota |
|---|---|---|
| Exploração de vulnerabilidades (acesso inicial) | 31% | Novo número 1, ultrapassa credenciais |
| Credenciais roubadas (acesso inicial) | 13% | Anterior vetor dominante |
| Violações com envolvimento de terceiros | 48% | Em forte subida |
| Violações com elemento humano | 62% | Erro, abuso e engenharia social |
| Padrão System Intrusion | 60% | Padrão de ataque dominante |
| Violações que envolveram ransomware | 48% | Quase metade do total |
| Vítimas de ransomware que não pagaram | 69% | Resistência ao pagamento cresce |
| Resgate mediano pago | 139.875 dólares | Em queda face a anos anteriores |
| Tempo mediano de correção | 43 dias | Subiu dos 32 dias do ano anterior |
| KEV da CISA totalmente corrigidas | 26% | Atraso crónico na remediação |
Cada linha conta uma parte da história. O salto de 32 para 43 dias no tempo mediano de correção representa quase duas semanas adicionais em que uma falha conhecida permanece aberta. Os 26% de vulnerabilidades catalogadas pela CISA como ativamente exploradas que chegam a ser totalmente corrigidas revelam um fosso enorme entre saber e agir.
Porque é que as falhas de software passaram a porta de entrada
Três forças explicam a ascensão da exploração de vulnerabilidades. A primeira é a expansão da superfície de ataque. Dispositivos de borda, appliances de rede, servidores VPN e plataformas de cloud multiplicaram os pontos expostos à Internet. Cada um traz o seu próprio fluxo de correções e a sua própria janela de risco.
A segunda força é a velocidade. Quando um fornecedor publica um patch, o código da correção revela frequentemente onde estava a falha. Grupos especializados transformam essa informação em exploits funcionais em dias, por vezes horas. A janela entre divulgação e exploração em massa encolheu, um fenómeno já visível na nova velocidade dos ciberataques medidos em minutos.
A terceira força é a automação. Ferramentas de varredura percorrem blocos inteiros de endereços IP à procura de versões vulneráveis. O atacante não escolhe o alvo, escolhe a falha, e deixa que a Internet lhe entregue as vítimas. É um modelo industrial que favorece quem age depressa sobre quem se defende devagar.
O fosso da correção em números
O DBIR 2026 quantifica o problema da remediação como nunca antes. O tempo mediano para corrigir uma vulnerabilidade subiu para 43 dias. Apenas 26% das vulnerabilidades do catálogo Known Exploited Vulnerabilities (KEV) da CISA foram totalmente corrigidas pelas organizações da amostra. O relatório mostra ainda lacunas estruturais de configuração: 37% das organizações tinham pelo menos uma conta de administrador em infraestrutura cloud (IaaS) sem autenticação multifator ativada, e apenas 23% das organizações terceiras corrigiram totalmente lacunas de MFA na cloud.
A equipa do DBIR da Verizon resumiu o agravamento numa frase citada por vários meios especializados: “O nosso novo tempo mediano é de 43 dias, quase duas semanas mais do que os 32 dias do ano passado.” Para os atacantes, cada dia de atraso é uma oportunidade. Para os defensores, é a confirmação de que a capacidade de correção não acompanha o ritmo das ameaças.
Ransomware: 48% das violações, mas 69% recusam pagar
O ransomware continua a dominar o panorama, presente em 48% das violações de dados analisadas. Mas o relatório regista uma mudança de comportamento das vítimas que merece atenção: 69% não pagaram o resgate e o valor mediano efetivamente pago caiu para 139.875 dólares.
A queda do pagamento mediano combina vários fatores. Melhores cópias de segurança permitem recuperar sem ceder à extorsão. A pressão legal e regulatória desincentiva transferências para grupos sancionados. E a maturidade crescente das equipas de resposta a incidentes reduz o pânico que historicamente levava ao pagamento rápido. Ainda assim, os grupos adaptaram-se com a dupla e tripla extorsão, roubando dados antes de cifrar e ameaçando publicá-los, uma tática que já elevou o resgate mediano noutros estudos sobre a extorsão de dados em 2026.
Setores críticos continuam na linha da frente. O impacto humano destes ataques ficou patente em incidentes como o ransomware na saúde que expôs 2,7 milhões de doentes, onde a paragem de sistemas se traduz em risco clínico direto. A recusa de pagar é uma vitória estatística, mas não anula o custo da recuperação, da notificação e da perda de confiança.
A inteligência artificial entra na equação
A grande novidade do DBIR 2026 é a presença estruturada da inteligência artificial nos dados, dos dois lados da trincheira. Pela primeira vez, o relatório mede o uso de IA por atores de ameaça e por funcionários, e o retrato é revelador.
| Indicador de IA no DBIR 2026 | Valor |
|---|---|
| Funcionários que usam IA em dispositivos da empresa | 45% |
| A iniciar sessão com contas não corporativas | 67% |
| Acesso inicial assistido por IA ligado a phishing | 44% |
| Acesso inicial assistido por IA ligado a exploração de vulnerabilidades | 32% |
| Atores de ameaça analisados (Verizon e Anthropic) | 793 |
| Técnicas MITRE ATT&CK usadas pelo ator mediano assistido por IA | 15 |
Os números mostram que a IA já não é tendência futura, é prática corrente. Quase metade dos funcionários usa ferramentas de IA em equipamentos da empresa e dois terços fazem-no com contas pessoais, fora do controlo da organização. O relatório classifica a chamada Shadow AI como a terceira ação não maliciosa de insider mais comum nos dados de prevenção de perda de dados (DLP), um eco direto do problema da exposição inadvertida de dados.
Do lado ofensivo, a Verizon analisou, em parceria com a Anthropic, 793 atores de ameaça. O ator mediano assistido por IA recorreu a 15 técnicas distintas do framework MITRE ATT&CK, sinal de que a IA amplia o alcance técnico de operadores que antes seriam limitados. Entre a atividade de acesso inicial assistida por IA, 44% correspondeu a phishing e 32% à exploração de vulnerabilidades, ligando as duas grandes histórias do relatório.
O elemento humano e o phishing por voz
Apesar do protagonismo das vulnerabilidades técnicas, o elemento humano persiste em 62% das violações. A engenharia social evoluiu para lá do email. O DBIR 2026 destaca o crescimento do phishing por voz e por mensagem (vishing e smishing), que em muitos casos supera o email tradicional na taxa de sucesso junto dos alvos.
A combinação é perigosa. Uma chamada credível, agora potenciada por vozes sintéticas geradas por IA, pode contornar formação que se concentrou durante anos em detetar emails suspeitos. O pretexto, a urgência fabricada e a personalização aumentam a probabilidade de a vítima ceder credenciais ou aprovar um pedido de MFA. Quem queira aprofundar as defesas comportamentais encontra um guia prático em como reconhecer e reagir ao phishing.
A lição operacional é que a formação de sensibilização tem de acompanhar a mudança de canal. Simulações que testam apenas email deixam um flanco aberto. Procedimentos de verificação fora de banda para pedidos sensíveis, como confirmar transferências por um segundo canal, tornam-se controlos essenciais e não opcionais.
O risco de terceiros e a cadeia de fornecimento
Um dos dados mais citados do DBIR 2026 é o salto do envolvimento de terceiros, presente em 48% das violações. Quase metade dos incidentes tocou, de alguma forma, num fornecedor, parceiro tecnológico ou prestador de serviços. A interdependência que torna as empresas eficientes tornou-as também coletivamente frágeis.
O padrão repete-se. Uma plataforma de software usada por milhares de clientes é comprometida e o efeito propaga-se em cascata. Credenciais de um fornecedor abrem a porta a vários clientes. Uma vulnerabilidade num componente partilhado expõe toda uma indústria. O relatório reforça que avaliar a segurança própria deixou de ser suficiente quando o risco entra pela porta de quem nos presta serviços.
Para as empresas portuguesas, este dado liga-se diretamente às obrigações do NIS2, que impõe gestão de risco da cadeia de fornecimento às entidades essenciais e importantes. A gestão de terceiros passou de boa prática a requisito legal, com implicações que detalhamos mais à frente.
Impacto financeiro e de mercado
O custo de uma violação varia muito consoante o vetor de entrada. Os dados de mercado mostram que os incidentes mais caros começam com insiders maliciosos e com a cadeia de fornecimento, precisamente as áreas onde o DBIR 2026 sinaliza maior pressão.
| Vetor inicial de ataque | Custo médio por violação |
|---|---|
| Insiders maliciosos | 4,92 milhões de dólares |
| Comprometimento da cadeia de fornecimento | 4,73 milhões de dólares |
| Credenciais roubadas ou comprometidas | 4,50 milhões de dólares |
| Custo médio global (todas as violações) | 4,88 milhões de dólares |
O custo médio global de uma violação ronda os 4,88 milhões de dólares. Mas o número agregado esconde a dispersão. Uma violação por cadeia de fornecimento custa, em média, 4,73 milhões, e arrasta consigo a complexidade de coordenar a resposta entre várias organizações. Para o investidor, estes valores traduzem-se em provisões, quedas de cotação após divulgação e prémios de seguro mais altos.
O mercado de cibersegurança responde a esta pressão com consolidação e crescimento. A procura por gestão de exposição, deteção e resposta e seguros cibernéticos acelera. A tese central do DBIR 2026, de que o problema deixou de ser apenas gerir vulnerabilidades para passar a gerir exposição, está a reescrever orçamentos de segurança em toda a Europa.
Comparação com edições anteriores e outros relatórios
O contraste com edições anteriores do DBIR é o que dá peso à manchete de 2026. Durante anos, as credenciais roubadas lideraram os vetores de acesso inicial. A subida da exploração de vulnerabilidades para 31% e a queda das credenciais para 13% marcam uma inversão clara de tendência, não um ajuste estatístico.
Outros estudos convergem com o DBIR. Relatórios de inteligência de ameaças têm apontado para a aceleração da exploração de falhas de borda e para o crescimento do envolvimento de terceiros. A novidade de 2026 é a quantificação rigorosa do uso de IA, com a amostra de 793 atores analisada em parceria com a Anthropic, algo que poucos relatórios conseguiram medir com este detalhe.
O alinhamento entre fontes reforça a credibilidade das conclusões. Quando o relatório de referência do setor, os fornecedores de gestão de vulnerabilidades e as agências nacionais apontam na mesma direção, a mensagem para os conselhos de administração é inequívoca: a gestão de exposição passou a ser uma prioridade de topo, não um detalhe técnico delegado.
O que muda para Portugal e a União Europeia
As conclusões do DBIR chegam num momento decisivo para a Europa. A diretiva NIS2 entrou em vigor na UE em janeiro de 2023, com prazo de transposição para o direito nacional até 17 de outubro de 2024. Em 2026, a aplicação concreta depende da lei de transposição de cada país e da supervisão das autoridades setoriais, mas o quadro sancionatório é severo.
O NIS2 prevê coimas máximas de pelo menos 10 milhões de euros ou 2% do volume de negócios anual mundial para entidades essenciais, e de pelo menos 7 milhões de euros ou 1,4% do volume de negócios para entidades importantes. As obrigações incluem gestão de risco, notificação de incidentes em prazos apertados e, de forma muito relevante face ao DBIR, gestão da segurança da cadeia de fornecimento. Os detalhes do regime português estão analisados no nosso guia sobre o NIS2 em Portugal.
O cruzamento dos dois mundos é direto. O DBIR diz que 48% das violações envolvem terceiros e que apenas 26% das vulnerabilidades exploradas conhecidas são corrigidas a tempo. O NIS2 exige exatamente que as empresas governem esses dois riscos. O panorama nacional, com os ciberataques em Portugal a crescer acima da média da UE, torna o cumprimento não um exercício de papel, mas uma necessidade operacional.
O que dizem os especialistas
A interpretação dos dados divide os analistas entre quem vê confirmação de tendências e quem vê um ponto de viragem. A equipa de investigação do DBIR, liderada por Alex Pinto no Verizon Threat Research Advisory Center, tem defendido publicamente que a indústria continua a falhar nos fundamentos, com a correção de vulnerabilidades a ficar para trás ano após ano.
Sobre o agravamento da remediação, a equipa do DBIR foi explícita: “O nosso novo tempo mediano é de 43 dias, quase duas semanas mais do que os 32 dias do ano passado.” A leitura dos investigadores é que o volume de vulnerabilidades cresce mais depressa do que a capacidade das equipas para as tratar.
Krista Case, analista principal e responsável pela área de resiliência cibernética na theCUBE Research, enquadrou o relatório como a prova de um fosso entre risco e resposta. Na sua análise pública ao DBIR 2026, sublinha que as organizações conhecem os riscos, mas não conseguem agir com a rapidez necessária, sobretudo na gestão de exposição e na cadeia de fornecimento.
Analistas de fornecedores de gestão de vulnerabilidades, como a Tenable e a Nucleus Security, leram a edição de 2026 como a confirmação de uma mudança de paradigma da gestão de vulnerabilidades para a gestão de exposição. A mensagem comum é que corrigir tudo é impossível e que a prioridade tem de recair sobre as falhas comprovadamente exploradas, como as do catálogo KEV da CISA.
Cinco previsões para o resto de 2026
Com base nos dados do DBIR e na trajetória do mercado, estas são cinco previsões para os próximos meses.
- A gestão de exposição supera a gestão de vulnerabilidades nos orçamentos. As empresas vão deslocar verba da simples contagem de CVE para a priorização baseada em exploração real e em caminhos de ataque.
- O phishing por voz e vídeo, potenciado por IA, dispara. A engenharia social com vozes e imagens sintéticas deverá crescer de forma acentuada, forçando a verificação fora de banda como norma.
- A primeira grande coima NIS2 chega antes do fim de 2026. Com prazos de transposição ultrapassados, é provável que uma autoridade europeia aplique uma sanção de referência que servirá de aviso.
- A Shadow AI gera o primeiro incidente público de fuga de dados de grande dimensão. O uso de ferramentas de IA com contas pessoais vai produzir uma exposição de dados sensíveis amplamente noticiada.
- O tempo mediano de correção piora antes de melhorar. Sem automação de remediação, o indicador de 43 dias arrisca subir antes de a pressão regulatória inverter a tendência.
Como as empresas devem responder
O DBIR 2026 não é apenas um diagnóstico, é uma lista de prioridades. A primeira é reduzir a janela de correção das vulnerabilidades exploradas. Não se trata de corrigir tudo, mas de corrigir primeiro o que está no catálogo KEV da CISA e exposto à Internet. A automação da remediação deixa de ser luxo para passar a ser sobrevivência.
A segunda prioridade é fechar as lacunas de configuração. Os 37% de organizações com contas de administrador em cloud sem MFA representam fruto fácil de colher para os atacantes. Ativar MFA em todas as contas privilegiadas, em especial nas de infraestrutura, é um controlo de baixo custo e alto impacto. Para equipas técnicas, vale a pena rever a implementação de autenticação de dois fatores nas próprias aplicações.
A terceira é tratar a cadeia de fornecimento como extensão do próprio perímetro. Inventariar fornecedores críticos, exigir garantias de segurança contratuais e monitorizar acessos de terceiros responde diretamente ao dado dos 48%. A quarta é governar o uso de IA, com políticas claras e ferramentas aprovadas, para que a produtividade não se transforme em fuga de dados. Quem queira mapear o panorama completo deve começar pela leitura sobre como as violações de dados acontecem e como se proteger.
Related Coverage
- NIS2 Portugal: Coimas de 10M e 60 Dias para Registo
- Ciberataques em Portugal: 2.437 por Semana, +32% na UE
- CVE em Crise: EUVD da UE e 11 Meses de Risco
- Extorsão de Dados: Resgate Médio de 1,5M de Dólares
- Ransomware na Saúde: 2,7M de Doentes Expostos
- Violações de Dados: Como Acontecem e Como se Proteger
Perguntas frequentes sobre o DBIR 2026
O que é o Verizon DBIR?
O Data Breach Investigations Report é um relatório anual da Verizon que analisa milhares de violações de dados e incidentes de segurança reais, fornecidos por dezenas de organizações. A edição de 2026, divulgada a 19 de maio, examinou mais de 22.000 violações confirmadas e é considerada uma das referências mais credíveis do setor.
Qual foi a principal conclusão do DBIR 2026?
Pela primeira vez em anos, a exploração de vulnerabilidades de software tornou-se o principal vetor de acesso inicial, presente em 31% das violações, ultrapassando as credenciais roubadas, que ficaram nos 13%.
Quanto tempo demoram as empresas a corrigir vulnerabilidades?
Segundo o DBIR 2026, o tempo mediano de correção subiu para 43 dias, contra 32 dias na edição anterior. Apenas 26% das vulnerabilidades ativamente exploradas no catálogo KEV da CISA chegam a ser totalmente corrigidas.
O ransomware continua a crescer?
O ransomware apareceu em 48% das violações, mas 69% das vítimas não pagaram resgate e o valor mediano pago caiu para 139.875 dólares. A tendência aponta para maior resistência ao pagamento, em parte graças a melhores cópias de segurança e à pressão regulatória.
Como afeta a inteligência artificial estes números?
A IA já é usada por 45% dos funcionários em dispositivos da empresa, muitas vezes com contas pessoais. Do lado ofensivo, a Verizon e a Anthropic analisaram 793 atores de ameaça, com o ator mediano assistido por IA a usar 15 técnicas distintas do MITRE ATT&CK. A Shadow AI tornou-se a terceira ação de insider não malicioso mais comum.
O que devem fazer as empresas portuguesas?
Priorizar a correção das vulnerabilidades exploradas, ativar MFA em todas as contas privilegiadas, gerir o risco da cadeia de fornecimento e governar o uso de IA. Estas ações respondem tanto às conclusões do DBIR como às exigências do regime NIS2 em vigor na União Europeia.
