A 11 de mar\u00e7o de 2026, o Servi\u00e7o de Informa\u00e7\u00f5es de Seguran\u00e7a (SIS) de Portugal emitiu um alerta p\u00fablico raro: hackers patrocinados por um Estado estrangeiro lan\u00e7aram uma campanha global para aceder \u00e0s contas de WhatsApp e Signal de funcion\u00e1rios governamentais, diplomatas e militares portugueses. Dois dias antes, os servi\u00e7os de intelig\u00eancia holandeses, o AIVD e o MIVD, tinham identificado a R\u00fassia como o autor da opera\u00e7\u00e3o, confirmando que funcion\u00e1rios do governo neerland\u00eas figuravam entre os alvos e v\u00edtimas. A campanha n\u00e3o recorreu a nenhuma vulnerabilidade t\u00e9cnica nas plataformas de mensagens: usou engenharia social, intelig\u00eancia artificial e as pr\u00f3prias funcionalidades leg\u00edtimas das aplica\u00e7\u00f5es para trair os utilizadores.<\/p>\n\n\n\n
O SIS publicou um relat\u00f3rio de sete p\u00e1ginas que constitui uma das mais detalhadas advert\u00eancias p\u00fablicas j\u00e1 emitidas por um servi\u00e7o de intelig\u00eancia portugu\u00eas sobre amea\u00e7as digitais. O documento descreve uma opera\u00e7\u00e3o de ciberespionagem com alcance global, cujo objetivo \u00e9 extrair informa\u00e7\u00e3o privilegiada de Portugal e dos pa\u00edses aliados, comprometendo as contas de aplica\u00e7\u00f5es de mensagens de pessoas com acesso a dados confidenciais.<\/p>\n\n\n\n
O SIS deixou claro que os atacantes n\u00e3o conseguiram violar a encripta\u00e7\u00e3o das plataformas. O que conseguiram foi manipular os utilizadores para que eles pr\u00f3prios entregassem o controlo das suas contas. A ag\u00eancia escreveu no relat\u00f3rio: “Os atacantes n\u00e3o comprometem as aplica\u00e7\u00f5es WhatsApp ou Signal nem a sua encripta\u00e7\u00e3o. O objetivo \u00e9 levar os utilizadores a tomar a\u00e7\u00f5es que quebrem a seguran\u00e7a das suas pr\u00f3prias contas.”<\/strong><\/p>\n\n\n\n O SIS precisou que os alvos da campanha incluem “funcion\u00e1rios governamentais, diplomatas, militares e membros da sociedade civil com acesso a informa\u00e7\u00e3o privilegiada de Portugal e dos pa\u00edses aliados”<\/strong>. A ag\u00eancia n\u00e3o identificou o Estado estrangeiro respons\u00e1vel pelos ataques, mas indicou que emitiu o alerta tamb\u00e9m para ajudar o p\u00fablico em geral a preparar-se para potenciais amea\u00e7as cibern\u00e9ticas.<\/p>\n\n\n\n O alerta portugu\u00eas seguiu-se, com 48 horas de diferen\u00e7a, a uma comunica\u00e7\u00e3o conjunta do Servi\u00e7o Geral de Informa\u00e7\u00f5es e Seguran\u00e7a holand\u00eas (AIVD) e do Servi\u00e7o de Informa\u00e7\u00f5es e Seguran\u00e7a Militares (MIVD), publicada a 9 de mar\u00e7o de 2026. Os servi\u00e7os neerlandeses foram mais diretos: atribu\u00edram explicitamente a campanha a hackers de Estado russos<\/strong> e confirmaram que funcion\u00e1rios do governo neerland\u00eas se encontravam entre os alvos e as v\u00edtimas da opera\u00e7\u00e3o.<\/p>\n\n\n\n Simone Smit, Diretora-Geral do AIVD, declarou publicamente: “N\u00e3o \u00e9 o caso de o Signal ou o WhatsApp como um todo terem sido comprometidos. As contas individuais dos utilizadores \u00e9 que est\u00e3o a ser visadas.”<\/strong> Esta distin\u00e7\u00e3o \u00e9 fundamental para compreender a natureza do ataque: n\u00e3o se trata de uma falha nas plataformas, mas de uma explora\u00e7\u00e3o sistem\u00e1tica do comportamento humano.<\/p>\n\n\n\n O comunicado conjunto do AIVD e do MIVD avan\u00e7ou que os hackers russos “obtiveram provavelmente acesso a informa\u00e7\u00e3o sens\u00edvel”<\/strong> atrav\u00e9s desta campanha, sem especificar o volume ou a natureza dos dados comprometidos. Os servi\u00e7os holandeses confirmaram tamb\u00e9m que jornalistas podiam estar entre os alvos da opera\u00e7\u00e3o, al\u00e9m dos funcion\u00e1rios governamentais e militares.<\/p>\n\n\n\n A campanha identificada pelo SIS e pelos servi\u00e7os holandeses n\u00e3o tem como alvo utilizadores comuns das aplica\u00e7\u00f5es de mensagens. A opera\u00e7\u00e3o concentra-se em perfis de alto valor: pessoas com acesso a informa\u00e7\u00e3o confidencial sobre defesa nacional, pol\u00edtica externa ou estrat\u00e9gia militar de Portugal e dos seus aliados da NATO.<\/p>\n\n\n\n Os grupos identificados como alvos priorit\u00e1rios incluem funcion\u00e1rios governamentais com acesso a documenta\u00e7\u00e3o classificada, diplomatas envolvidos em negocia\u00e7\u00f5es sens\u00edveis, militares com conhecimento de opera\u00e7\u00f5es ou capacidades das for\u00e7as armadas, membros da sociedade civil em posi\u00e7\u00f5es de influ\u00eancia ou com acesso a redes governamentais, e jornalistas que cubram temas de seguran\u00e7a ou defesa.<\/p>\n\n\n\n A l\u00f3gica da opera\u00e7\u00e3o \u00e9 clara: ao comprometer a conta de um \u00fanico funcion\u00e1rio de alto valor, os atacantes ganham n\u00e3o s\u00f3 acesso \u00e0s suas conversas passadas e futuras, mas tamb\u00e9m a todos os grupos de chat de que ele faz parte. Um membro comprometido transforma-se imediatamente num ponto de entrada para o pr\u00f3ximo alvo, criando um efeito de cascata dentro de redes diplom\u00e1ticas e militares.<\/p>\n\n\n\n O aspeto mais relevante desta campanha, do ponto de vista t\u00e9cnico, \u00e9 o que ela n\u00e3o usa. N\u00e3o h\u00e1 CVE associado. N\u00e3o h\u00e1 exploit de zero-day. N\u00e3o h\u00e1 malware implantado nos dispositivos das v\u00edtimas. A encripta\u00e7\u00e3o de ponta a ponta do Signal e do WhatsApp, baseada no protocolo Signal, permanece intacta.<\/p>\n\n\n\n O que os hackers russos exploram s\u00e3o as funcionalidades leg\u00edtimas das pr\u00f3prias plataformas e a confian\u00e7a dos utilizadores em comunica\u00e7\u00f5es aparentemente cred\u00edveis. O SIS identificou cinco vetores principais de ataque utilizados na campanha:<\/p>\n\n\n\n Em todos os casos, o objetivo \u00e9 o mesmo: obter os c\u00f3digos de verifica\u00e7\u00e3o por SMS ou o PIN do Signal que permitem ao atacante registar um novo dispositivo na conta da v\u00edtima.<\/p>\n\n\n\n O AIVD e o MIVD identificaram um m\u00e9todo como o mais frequentemente utilizado pelos hackers russos: a cria\u00e7\u00e3o de chatbots falsos que se fazem passar pelo servi\u00e7o de suporte oficial do Signal. A opera\u00e7\u00e3o funciona em tr\u00eas passos r\u00e1pidos.<\/p>\n\n\n\n Primeiro, a v\u00edtima recebe uma mensagem aparentemente leg\u00edtima de um chatbot “Signal Support” a alert\u00e1-la para atividade suspeita na sua conta ou para a necessidade de verificar a identidade para uma atualiza\u00e7\u00e3o de seguran\u00e7a. Segundo, o chatbot pede que a v\u00edtima partilhe o c\u00f3digo de verifica\u00e7\u00e3o recebido por SMS, ou o PIN que protege a conta do Signal. Terceiro, com esse c\u00f3digo, o atacante regista um novo dispositivo ligado \u00e0 conta da v\u00edtima e passa a receber, em tempo real, todas as mensagens enviadas e recebidas.<\/p>\n\n\n\n A efic\u00e1cia deste m\u00e9todo reside na sua simplicidade. N\u00e3o requer capacidades t\u00e9cnicas avan\u00e7adas por parte da v\u00edtima nem exige que esta instale nenhum software malicioso. Basta um momento de descuido ou de confian\u00e7a excessiva numa mensagem de apar\u00eancia profissional. O AIVD confirmou que este foi o vetor mais frequentemente observado em toda a campanha russa.<\/p>\n\n\n\n O segundo m\u00e9todo mais documentado pelos servi\u00e7os de intelig\u00eancia holandeses explora a funcionalidade de “dispositivos ligados” (linked devices) presente tanto no Signal como no WhatsApp. Esta funcionalidade foi concebida para permitir que um utilizador aceda \u00e0 sua conta a partir de v\u00e1rios dispositivos, como um computador port\u00e1til al\u00e9m do telem\u00f3vel. Os hackers russos transformaram-na numa ferramenta de espionagem.<\/p>\n\n\n\n O ataque come\u00e7a geralmente com um QR code enviado ao utilizador sob um pretexto leg\u00edtimo: uma convocat\u00f3ria para uma reuni\u00e3o, uma atualiza\u00e7\u00e3o de seguran\u00e7a urgente ou uma liga\u00e7\u00e3o partilhada por um contacto de confian\u00e7a j\u00e1 comprometido. Quando a v\u00edtima digitaliza o c\u00f3digo QR com o telem\u00f3vel, autoriza inadvertidamente a liga\u00e7\u00e3o de um dispositivo controlado pelo atacante \u00e0 sua conta. A partir desse momento, o atacante recebe uma c\u00f3pia de todas as mensagens, sem que a v\u00edtima tenha qualquer indica\u00e7\u00e3o vis\u00edvel de que a conta foi comprometida.<\/p>\n\n\n\n O AIVD deu uma indica\u00e7\u00e3o pr\u00e1tica para detetar este tipo de comprometimento: verificar a lista de membros nos grupos de chat do Signal. Se um contacto aparece duplicado, com o mesmo nome ou um nome ligeiramente diferente, pode ser evid\u00eancia de que a sua conta foi tomada pelos atacantes. Esta verifica\u00e7\u00e3o simples pode revelar comprometimentos que de outro modo passariam despercebidos durante semanas ou meses.<\/p>\n\n\n\n O SIS introduziu no seu relat\u00f3rio um elemento que distingue esta campanha das opera\u00e7\u00f5es de espionagem digital anteriores: o recurso a ferramentas de intelig\u00eancia artificial para tornar os ataques de engenharia social mais convincentes e mais dif\u00edceis de detetar.<\/p>\n\n\n\n Segundo a ag\u00eancia portuguesa, os atacantes recolhem registos de voz e imagens dos alvos e utilizam tecnologia de IA generativa para produzir conversas de apar\u00eancia natural por mensagem escrita, chamada telef\u00f3nica ou videochamada. Um funcion\u00e1rio que receba uma chamada de v\u00eddeo de quem parece ser o seu superior direto a pedir o c\u00f3digo de verifica\u00e7\u00e3o da conta tem muito menos raz\u00f5es para desconfiar do que se recebesse uma mensagem de texto de um n\u00famero desconhecido.<\/p>\n\n\n\n Esta dimens\u00e3o da campanha tem implica\u00e7\u00f5es que v\u00e3o al\u00e9m da presente opera\u00e7\u00e3o. Se os ataques de engenharia social passam a incorporar IA generativa capaz de replicar voz e imagem de forma convincente, os protocolos tradicionais de verifica\u00e7\u00e3o de identidade, como reconhecer a voz de um colega, tornam-se progressivamente menos fi\u00e1veis. As organiza\u00e7\u00f5es que dependem de comunica\u00e7\u00f5es digitais para tomar decis\u00f5es de seguran\u00e7a nacional precisam de repensar os seus procedimentos de autentica\u00e7\u00e3o.<\/p>\n\n\n\n Uma vez que o atacante ganha acesso a uma conta de WhatsApp ou Signal, as consequ\u00eancias estendem-se muito al\u00e9m das mensagens individuais da v\u00edtima. O SIS descreve tr\u00eas consequ\u00eancias imediatas e uma consequ\u00eancia em cadeia que pode multiplicar o impacto da opera\u00e7\u00e3o.<\/p>\n\n\n\n Em primeiro lugar, o atacante pode ler todas as conversas individuais e de grupo que a v\u00edtima tenha, incluindo ficheiros, documentos, fotografias e liga\u00e7\u00f5es partilhadas nas conversas. Em segundo lugar, ganha acesso a informa\u00e7\u00e3o sobre os contactos da v\u00edtima e \u00e0 estrutura das redes de comunica\u00e7\u00e3o em que ela participa. Em terceiro lugar, passa a receber, em tempo real, todas as mensagens futuras at\u00e9 que o comprometimento seja detetado e corrigido.<\/p>\n\n\n\n A consequ\u00eancia em cadeia \u00e9 a mais preocupante: a conta comprometida torna-se uma plataforma para lan\u00e7ar novos ataques de phishing contra os contactos da v\u00edtima. Quando uma mensagem chega de um colega de confian\u00e7a a pedir um c\u00f3digo de verifica\u00e7\u00e3o, a probabilidade de o destinat\u00e1rio obedecer \u00e9 substancialmente maior do que perante uma mensagem de um remetente desconhecido. Esta din\u00e2mica transforma cada conta comprometida num multiplicador da opera\u00e7\u00e3o.<\/p>\n\n\n\nA Holanda Aponta o Dedo \u00e0 R\u00fassia<\/h2>\n\n\n\n
Quem S\u00e3o os Alvos da Campanha<\/h2>\n\n\n\n
Como Funciona a Campanha: Engenharia Social em Vez de Zero-Day<\/h2>\n\n\n\n
\n
O Chatbot Falso do Signal: O M\u00e9todo Mais Observado<\/h2>\n\n\n\n
Dispositivos Ligados: A Porta Travessa para as Mensagens<\/h2>\n\n\n\n
Intelig\u00eancia Artificial ao Servi\u00e7o da Ciberespionagem<\/h2>\n\n\n\n
O Que Fica Exposto Quando uma Conta \u00e9 Comprometida<\/h2>\n\n\n\n
T\u00e1ticas de Ataque: O Que o SIS e o AIVD Documentaram<\/h2>\n\n\n\n