A 11 de março de 2026, o Serviço de Informações de Segurança (SIS) de Portugal emitiu um alerta público raro: hackers patrocinados por um Estado estrangeiro lançaram uma campanha global para aceder às contas de WhatsApp e Signal de funcionários governamentais, diplomatas e militares portugueses. Dois dias antes, os serviços de inteligência holandeses, o AIVD e o MIVD, tinham identificado a Rússia como o autor da operação, confirmando que funcionários do governo neerlandês figuravam entre os alvos e vítimas. A campanha não recorreu a nenhuma vulnerabilidade técnica nas plataformas de mensagens: usou engenharia social, inteligência artificial e as próprias funcionalidades legítimas das aplicações para trair os utilizadores.
O Alerta do SIS: Uma Advertência de Sete Páginas
O SIS publicou um relatório de sete páginas que constitui uma das mais detalhadas advertências públicas já emitidas por um serviço de inteligência português sobre ameaças digitais. O documento descreve uma operação de ciberespionagem com alcance global, cujo objetivo é extrair informação privilegiada de Portugal e dos países aliados, comprometendo as contas de aplicações de mensagens de pessoas com acesso a dados confidenciais.
O SIS deixou claro que os atacantes não conseguiram violar a encriptação das plataformas. O que conseguiram foi manipular os utilizadores para que eles próprios entregassem o controlo das suas contas. A agência escreveu no relatório: “Os atacantes não comprometem as aplicações WhatsApp ou Signal nem a sua encriptação. O objetivo é levar os utilizadores a tomar ações que quebrem a segurança das suas próprias contas.”
O SIS precisou que os alvos da campanha incluem “funcionários governamentais, diplomatas, militares e membros da sociedade civil com acesso a informação privilegiada de Portugal e dos países aliados”. A agência não identificou o Estado estrangeiro responsável pelos ataques, mas indicou que emitiu o alerta também para ajudar o público em geral a preparar-se para potenciais ameaças cibernéticas.
A Holanda Aponta o Dedo à Rússia
O alerta português seguiu-se, com 48 horas de diferença, a uma comunicação conjunta do Serviço Geral de Informações e Segurança holandês (AIVD) e do Serviço de Informações e Segurança Militares (MIVD), publicada a 9 de março de 2026. Os serviços neerlandeses foram mais diretos: atribuíram explicitamente a campanha a hackers de Estado russos e confirmaram que funcionários do governo neerlandês se encontravam entre os alvos e as vítimas da operação.
Simone Smit, Diretora-Geral do AIVD, declarou publicamente: “Não é o caso de o Signal ou o WhatsApp como um todo terem sido comprometidos. As contas individuais dos utilizadores é que estão a ser visadas.” Esta distinção é fundamental para compreender a natureza do ataque: não se trata de uma falha nas plataformas, mas de uma exploração sistemática do comportamento humano.
O comunicado conjunto do AIVD e do MIVD avançou que os hackers russos “obtiveram provavelmente acesso a informação sensível” através desta campanha, sem especificar o volume ou a natureza dos dados comprometidos. Os serviços holandeses confirmaram também que jornalistas podiam estar entre os alvos da operação, além dos funcionários governamentais e militares.
Quem São os Alvos da Campanha
A campanha identificada pelo SIS e pelos serviços holandeses não tem como alvo utilizadores comuns das aplicações de mensagens. A operação concentra-se em perfis de alto valor: pessoas com acesso a informação confidencial sobre defesa nacional, política externa ou estratégia militar de Portugal e dos seus aliados da NATO.
Os grupos identificados como alvos prioritários incluem funcionários governamentais com acesso a documentação classificada, diplomatas envolvidos em negociações sensíveis, militares com conhecimento de operações ou capacidades das forças armadas, membros da sociedade civil em posições de influência ou com acesso a redes governamentais, e jornalistas que cubram temas de segurança ou defesa.
A lógica da operação é clara: ao comprometer a conta de um único funcionário de alto valor, os atacantes ganham não só acesso às suas conversas passadas e futuras, mas também a todos os grupos de chat de que ele faz parte. Um membro comprometido transforma-se imediatamente num ponto de entrada para o próximo alvo, criando um efeito de cascata dentro de redes diplomáticas e militares.
Como Funciona a Campanha: Engenharia Social em Vez de Zero-Day
O aspeto mais relevante desta campanha, do ponto de vista técnico, é o que ela não usa. Não há CVE associado. Não há exploit de zero-day. Não há malware implantado nos dispositivos das vítimas. A encriptação de ponta a ponta do Signal e do WhatsApp, baseada no protocolo Signal, permanece intacta.
O que os hackers russos exploram são as funcionalidades legítimas das próprias plataformas e a confiança dos utilizadores em comunicações aparentemente credíveis. O SIS identificou cinco vetores principais de ataque utilizados na campanha:
- Phishing dirigido: mensagens personalizadas que imitam comunicações de confiança para induzir a vítima a clicar em ligações maliciosas.
- Falso suporte técnico: o atacante faz-se passar por técnico das plataformas ou do departamento de segurança informática da organização da vítima.
- Ligações maliciosas: URLs que redirecionam para páginas falsas de verificação de conta ou de autorização de dispositivo.
- QR codes manipulados: códigos QR que, quando digitalizados, autorizam um dispositivo controlado pelo atacante a ligar-se à conta da vítima.
- Personificação de contactos de confiança: o atacante assume a identidade de um colega ou superior hierárquico para pedir informação de verificação.
Em todos os casos, o objetivo é o mesmo: obter os códigos de verificação por SMS ou o PIN do Signal que permitem ao atacante registar um novo dispositivo na conta da vítima.
O Chatbot Falso do Signal: O Método Mais Observado
O AIVD e o MIVD identificaram um método como o mais frequentemente utilizado pelos hackers russos: a criação de chatbots falsos que se fazem passar pelo serviço de suporte oficial do Signal. A operação funciona em três passos rápidos.
Primeiro, a vítima recebe uma mensagem aparentemente legítima de um chatbot “Signal Support” a alertá-la para atividade suspeita na sua conta ou para a necessidade de verificar a identidade para uma atualização de segurança. Segundo, o chatbot pede que a vítima partilhe o código de verificação recebido por SMS, ou o PIN que protege a conta do Signal. Terceiro, com esse código, o atacante regista um novo dispositivo ligado à conta da vítima e passa a receber, em tempo real, todas as mensagens enviadas e recebidas.
A eficácia deste método reside na sua simplicidade. Não requer capacidades técnicas avançadas por parte da vítima nem exige que esta instale nenhum software malicioso. Basta um momento de descuido ou de confiança excessiva numa mensagem de aparência profissional. O AIVD confirmou que este foi o vetor mais frequentemente observado em toda a campanha russa.
Dispositivos Ligados: A Porta Travessa para as Mensagens
O segundo método mais documentado pelos serviços de inteligência holandeses explora a funcionalidade de “dispositivos ligados” (linked devices) presente tanto no Signal como no WhatsApp. Esta funcionalidade foi concebida para permitir que um utilizador aceda à sua conta a partir de vários dispositivos, como um computador portátil além do telemóvel. Os hackers russos transformaram-na numa ferramenta de espionagem.
O ataque começa geralmente com um QR code enviado ao utilizador sob um pretexto legítimo: uma convocatória para uma reunião, uma atualização de segurança urgente ou uma ligação partilhada por um contacto de confiança já comprometido. Quando a vítima digitaliza o código QR com o telemóvel, autoriza inadvertidamente a ligação de um dispositivo controlado pelo atacante à sua conta. A partir desse momento, o atacante recebe uma cópia de todas as mensagens, sem que a vítima tenha qualquer indicação visível de que a conta foi comprometida.
O AIVD deu uma indicação prática para detetar este tipo de comprometimento: verificar a lista de membros nos grupos de chat do Signal. Se um contacto aparece duplicado, com o mesmo nome ou um nome ligeiramente diferente, pode ser evidência de que a sua conta foi tomada pelos atacantes. Esta verificação simples pode revelar comprometimentos que de outro modo passariam despercebidos durante semanas ou meses.
Inteligência Artificial ao Serviço da Ciberespionagem
O SIS introduziu no seu relatório um elemento que distingue esta campanha das operações de espionagem digital anteriores: o recurso a ferramentas de inteligência artificial para tornar os ataques de engenharia social mais convincentes e mais difíceis de detetar.
Segundo a agência portuguesa, os atacantes recolhem registos de voz e imagens dos alvos e utilizam tecnologia de IA generativa para produzir conversas de aparência natural por mensagem escrita, chamada telefónica ou videochamada. Um funcionário que receba uma chamada de vídeo de quem parece ser o seu superior direto a pedir o código de verificação da conta tem muito menos razões para desconfiar do que se recebesse uma mensagem de texto de um número desconhecido.
Esta dimensão da campanha tem implicações que vão além da presente operação. Se os ataques de engenharia social passam a incorporar IA generativa capaz de replicar voz e imagem de forma convincente, os protocolos tradicionais de verificação de identidade, como reconhecer a voz de um colega, tornam-se progressivamente menos fiáveis. As organizações que dependem de comunicações digitais para tomar decisões de segurança nacional precisam de repensar os seus procedimentos de autenticação.
O Que Fica Exposto Quando uma Conta é Comprometida
Uma vez que o atacante ganha acesso a uma conta de WhatsApp ou Signal, as consequências estendem-se muito além das mensagens individuais da vítima. O SIS descreve três consequências imediatas e uma consequência em cadeia que pode multiplicar o impacto da operação.
Em primeiro lugar, o atacante pode ler todas as conversas individuais e de grupo que a vítima tenha, incluindo ficheiros, documentos, fotografias e ligações partilhadas nas conversas. Em segundo lugar, ganha acesso a informação sobre os contactos da vítima e à estrutura das redes de comunicação em que ela participa. Em terceiro lugar, passa a receber, em tempo real, todas as mensagens futuras até que o comprometimento seja detetado e corrigido.
A consequência em cadeia é a mais preocupante: a conta comprometida torna-se uma plataforma para lançar novos ataques de phishing contra os contactos da vítima. Quando uma mensagem chega de um colega de confiança a pedir um código de verificação, a probabilidade de o destinatário obedecer é substancialmente maior do que perante uma mensagem de um remetente desconhecido. Esta dinâmica transforma cada conta comprometida num multiplicador da operação.
Táticas de Ataque: O Que o SIS e o AIVD Documentaram
| Tática | Descrição | Plataforma Alvo | Nível de Risco |
|---|---|---|---|
| Chatbot falso de suporte | Mensagem que imita o suporte oficial do Signal a pedir código de verificação ou PIN | Signal | Muito alto |
| QR code malicioso | Código QR que autoriza um dispositivo do atacante a ligar-se à conta da vítima | Signal, WhatsApp | Muito alto |
| Phishing por ligação | URL enviado por mensagem que redireciona para página falsa de verificação | Signal, WhatsApp | Alto |
| Falso suporte técnico | Personificação de técnico de IT ou de segurança da organização da vítima | Signal, WhatsApp | Alto |
| Personificação por IA | Chamada de voz ou vídeo gerada por IA que imita contacto de confiança | Qualquer canal | Muito alto |
| Contacto comprometido | Ataque lançado a partir de conta já tomada de colega ou superior hierárquico | Signal, WhatsApp | Extremo |
A Resposta das Plataformas: Signal Confirma Phishing, Nega Falha Técnica
Perante a publicidade gerada pelos alertas do SIS e dos serviços holandeses, o Signal publicou uma declaração oficial em que confirmou a existência de ataques de phishing que comprometeram contas de funcionários governamentais e jornalistas, mas refutou qualquer falha nas suas defesas técnicas. A plataforma declarou: “A encriptação e a infraestrutura do Signal não foram comprometidas e permanecem robustas. Estes ataques foram executados por meio de sofisticadas campanhas de phishing, concebidas para enganar os utilizadores a partilhar informação, códigos SMS e/ou o PIN do Signal, para aceder às suas contas.”
O Signal acrescentou que leva os relatos de atividade maliciosa “muito a sério” e reconheceu que “ataques de phishing dirigidos” comprometeram algumas contas de utilizadores, incluindo funcionários governamentais e jornalistas. A empresa não divulgou o número total de contas afetadas a nível global.
O WhatsApp não emitiu uma declaração independente em resposta aos alertas dos governos europeus. Ambas as plataformas mantêm, porém, funcionalidades que permitem aos utilizadores verificar e revogar dispositivos ligados a qualquer momento, o que constitui o principal mecanismo de defesa disponível para utilizadores individuais.
Impacto para a Segurança Nacional e a Coerência das Alianças
A campanha documentada pelo SIS e pelos serviços holandeses insere-se num padrão mais vasto de ciberespionagem russa contra governos europeus que se intensificou nos últimos dois anos. A escolha do WhatsApp e do Signal como vetores de ataque é estrategicamente significativa: estas aplicações tornaram-se canais de comunicação rotineiros em muitos governos europeus, precisamente porque os utilizadores confiam na sua encriptação.
Essa confiança, como o SIS sublinhou, pode converter-se numa vulnerabilidade quando leva os utilizadores a baixar a guarda perante pedidos suspeitos. Um funcionário que sabe que o Signal encripta as suas mensagens pode subestimar a importância de verificar cuidadosamente quem está a pedir o seu PIN de segurança.
A dimensão europeia da campanha é igualmente relevante. O facto de Portugal e a Holanda terem emitido alertas separados com apenas 48 horas de diferença sugere que a operação tem um alcance que vai bem além dos dois países. Os serviços de inteligência holandeses descreveram explicitamente a campanha como uma “operação cibernética global”, implicando que governos em múltiplos países da NATO e da União Europeia podem ter sido visados simultaneamente. A Euronews reportou que a campanha visava “funcionários europeus de forma mais ampla”.
Para Portugal, o impacto potencial é agravado pela posição geopolítica do país. Como membro fundador da NATO e país com acesso a informação partilhada entre os aliados da aliança, a exposição de comunicações de diplomatas ou militares portugueses pode ter implicações que vão além das fronteiras nacionais e afetam a confiança operacional entre parceiros da aliança.
Contexto Histórico: Uma Década de Espionagem Digital Contra a Europa
A campanha de 2026 não surgiu no vazio. Os serviços de inteligência russos têm um historial documentado de operações de ciberespionagem contra governos europeus que remonta, pelo menos, aos ataques ao Bundestag alemão em 2015, atribuídos ao grupo APT28 (também conhecido como Fancy Bear), ligado ao GRU, o serviço de informações militares russo.
Em 2022, o ataque à Vodafone Portugal interrompeu serviços de voz, dados e televisão para milhares de clientes, num incidente descrito como um ataque deliberado e malicioso às infraestruturas da empresa. Em 2024 e 2025, a pressão sobre as comunicações de funcionários europeus intensificou-se, com múltiplos países a reportar tentativas de comprometimento de contas de email e de aplicações de mensagens de colaboradores em posições sensíveis.
O que distingue a campanha de 2026 das operações anteriores é a sofisticação da componente de IA e a escala global da operação coordenada. Em vez de atacar infraestruturas técnicas, os hackers passaram a atacar a camada humana, contornando a encriptação sem a necessidade de a quebrar. Esta evolução tática reflete uma adaptação às melhorias de segurança das plataformas: quando a encriptação se torna difícil de vencer, o alvo passa a ser o utilizador que detém as chaves.
Como Proteger a Conta: Medidas Recomendadas pelo SIS e pelo AIVD
O SIS e o AIVD emitiram recomendações concretas para reduzir o risco de comprometimento. A proteção eficaz requer uma combinação de medidas técnicas e de comportamento consciente.
| Medida de Proteção | Como Implementar | Aplicação | Prioridade |
|---|---|---|---|
| Ativar PIN de registo | Definições > Conta > PIN de registo e ativar | Signal | Crítica |
| Ativar verificação em dois passos | Definições > Conta > Verificação em dois passos | Crítica | |
| Auditar dispositivos ligados | Verificar e revogar dispositivos desconhecidos em Definições > Dispositivos ligados | Signal, WhatsApp | Alta |
| Nunca partilhar código por SMS | Nenhum serviço legítimo pede o código de verificação ou PIN por mensagem | Ambas | Crítica |
| Verificar membros duplicados em grupos | Abrir grupo > Membros e verificar se algum contacto aparece duplicado | Signal | Alta |
| Recusar QR codes não solicitados | Nunca digitalizar QR codes recebidos por mensagem sem confirmar a origem por outro canal | Signal, WhatsApp | Alta |
| Desconfiar de suporte técnico não solicitado | Signal e WhatsApp não enviam mensagens de suporte proativamente a pedir dados de acesso | Ambas | Crítica |
O AIVD deu ainda uma recomendação específica para organizações: os utilizadores que suspeitem de comprometimento devem reportar a situação ao departamento de segurança informática da sua instituição. Para organizações governamentais ou militares, qualquer suspeita de acesso não autorizado a contas de mensagens deve ser tratada como um incidente de segurança e investigada com urgência.
A Nova Lei do Cibercrime em Portugal: Legislação em Atualização
Em paralelo com o alerta do SIS, Portugal atualizou a sua legislação de cibercrime em dezembro de 2025, criando uma salvaguarda legal para investigadores de segurança que atuem de boa-fé. A alteração estabelece um “porto seguro” que protege profissionais de cibersegurança de processos criminais quando realizam testes ou investigações responsáveis a sistemas informáticos, uma prática que anteriormente existia numa zona cinzenta legal.
Em março de 2026, Portugal colocou também em consulta pública a regulamentação que concretiza as disposições da sua lei de cibersegurança, incluindo regras sobre as medidas mínimas de cibersegurança obrigatórias para entidades públicas e privadas. Estes dois movimentos legislativos indicam que o governo português está a construir progressivamente um enquadramento legal mais robusto para responder às ameaças digitais, embora os analistas sublinhem que a eficácia destes quadros depende da velocidade de implementação na prática.
Previsões: O Que Esperar até ao Final de 2026
Com base nos padrões identificados pelos serviços de inteligência europeus e na evolução documentada das táticas russas, é possível antecipar vários desenvolvimentos para os próximos meses.
Mais alertas de governos europeus. Dada a escala global descrita pelo AIVD e pelo MIVD, outros países europeus deverão emitir alertas semelhantes antes do final de 2026. A coordenação entre serviços de inteligência aliados tornará cada vez mais difícil manter estas operações sem resposta pública.
Expansão para outras aplicações de mensagens. A campanha focou-se no WhatsApp e no Signal. Com o aumento da consciencialização sobre estes vetores, os hackers tenderão a alargar o alcance para outras plataformas de mensagens encriptadas, como Telegram, Threema ou Element, onde os utilizadores podem ter uma postura de segurança menos rigorosa.
Protocolos de comunicação obrigatórios para funcionários. A pressão dos alertas de inteligência deve levar governos europeus a implementar, ainda em 2026, protocolos formais que regulem o uso de aplicações de mensagens comerciais por funcionários com acesso a informação classificada. Alguns países podem optar por proibir o uso de WhatsApp e Signal para comunicações sensíveis, em favor de plataformas desenvolvidas pelos próprios governos.
Novas funcionalidades de segurança nas plataformas. O Signal e o WhatsApp deverão introduzir funcionalidades adicionais de deteção e prevenção de comprometimento de conta em resposta à campanha russa. Notificações obrigatórias para a ligação de novos dispositivos, com passo de confirmação explícito, são uma das melhorias mais esperadas.
Ataques de IA mais sofisticados. O uso de IA para replicar voz e imagem em ataques de engenharia social vai tornar-se mais prevalente e mais convincente ao longo de 2026. A qualidade dos “deepfakes” de áudio e vídeo em tempo real está a melhorar rapidamente, reduzindo o custo e a complexidade técnica deste tipo de ataque para os operadores de ciberespionagem.
Cobertura Relacionada
Para contexto adicional sobre as ameaças digitais que afetam Portugal e a Europa em 2026:
- Holanda Apreende 800 Servidores Bulletproof: A Operação que Desmantelou uma Rede Global
- DBIR 2026: 31% das Fugas por Vulnerabilidades, o Relatório que Define a Agenda de Segurança
- Novo Nordisk: FulcrumSec Rouba 1,3 TB e Exige $25M em Resgate
- Extorsão de Dados: Resgate Médio Atinge $1,5M em 2026
- Fuga de Dados Odido: 6,39M Afetados e Como os Atacantes Exploram Dados Roubados
Fontes e Referências
- AIVD/MIVD: Russia targets Signal and WhatsApp accounts in cyber campaign (9 de março de 2026)
- Euronews: Russia-linked hackers target messaging apps of European officials (12 de março de 2026)
- Global Banking and Finance: Portugal Warns of State-Backed Hackers Targeting Messaging Apps
- Bleeping Computer: Portugal updates cybercrime law to exempt security researchers (dezembro de 2025)
- Signal: Blog Oficial e Comunicados de Segurança
Perguntas Frequentes
A encriptação do Signal e do WhatsApp foi quebrada?
Não. Tanto o SIS como o Signal confirmaram que a encriptação de ponta a ponta das plataformas permanece intacta. Os atacantes não quebraram nenhum algoritmo criptográfico. Manipularam os utilizadores para que eles próprios entregassem o controlo das suas contas através de engenharia social.
Quem é responsável pelos ataques?
Os serviços de inteligência holandeses, o AIVD e o MIVD, atribuíram a campanha a hackers de Estado russos numa declaração conjunta publicada a 9 de março de 2026. Portugal não identificou publicamente o Estado responsável no seu alerta de 11 de março.
Cidadãos comuns estão em risco?
A campanha identificada pelo SIS e pelo AIVD/MIVD foca-se em alvos de alto valor: funcionários governamentais, diplomatas, militares e jornalistas. Cidadãos sem acesso a informação sensível têm um risco muito menor de ser visados por esta operação específica. As boas práticas de segurança recomendadas, como ativar o PIN de registo e a verificação em dois passos, beneficiam todos os utilizadores independentemente do perfil.
Como posso verificar se a minha conta Signal foi comprometida?
Vá a Definições > Dispositivos ligados e verifique se existe algum dispositivo que não reconhece. Se encontrar um dispositivo desconhecido, revogue-o imediatamente. Verifique também os grupos de chat do Signal: se um membro aparece duplicado na lista de membros, pode indicar que a sua conta foi tomada pelos atacantes.
O que devo fazer se receber uma mensagem do “suporte Signal” a pedir o meu PIN?
Nunca partilhe o PIN ou o código de verificação por SMS com ninguém. O Signal não envia mensagens de suporte proativamente a pedir dados de acesso. Trate qualquer mensagem deste tipo como uma tentativa de phishing, não responda e reporte-a ao departamento de segurança informática da sua organização.
O que é o PIN de registo do Signal e por que é importante?
O PIN de registo do Signal é uma camada de proteção adicional que impede que alguém re-registe o número de telefone no Signal noutro dispositivo sem conhecer o PIN. Sem este PIN ativado, quem tiver acesso ao código de verificação SMS pode registar a conta num novo dispositivo. Para ativar, aceda a Definições > Conta > PIN de registo.
A campanha ainda está em curso em junho de 2026?
Os alertas públicos do SIS e do AIVD/MIVD não estabeleceram uma data de fim para a campanha. O SIS descreveu a operação como contínua no momento do alerta de março de 2026 e não emitiu nenhuma comunicação subsequente a confirmar o encerramento da operação. A postura recomendada é tratar a ameaça como ativa e manter as medidas de proteção implementadas.
