{"id":148,"date":"2026-06-19T09:02:18","date_gmt":"2026-06-19T09:02:18","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/19\/unit-42-relatorio-2026-ciberataques-72-minutos\/"},"modified":"2026-06-19T09:03:40","modified_gmt":"2026-06-19T09:03:40","slug":"unit-42-relatorio-2026-ciberataques-72-minutos","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/19\/unit-42-relatorio-2026-ciberataques-72-minutos\/","title":{"rendered":"Relat\u00f3rio Unit 42 2026: Ciberataques Roubam Dados em 72 Minutos"},"content":{"rendered":"\n

O Relat\u00f3rio Global de Resposta a Incidentes da Unit 42 de 2026<\/strong>, publicado pela Palo Alto Networks com base em mais de 750 investiga\u00e7\u00f5es conduzidas ao longo de 2025, revela uma acelera\u00e7\u00e3o sem precedentes nos ciberataques empresariais. O dado mais perturbador: os ataques mais r\u00e1pidos j\u00e1 roubam dados em 72 minutos<\/strong>, quatro vezes mais depressa do que em 2024, quando o mesmo limiar era de 285 minutos. Para as equipas de seguran\u00e7a, a janela de resposta encolheu para menos de duas horas. Em mais de 90% dos incidentes documentados, a causa raiz foi uma lacuna de exposi\u00e7\u00e3o evit\u00e1vel, n\u00e3o uma t\u00e9cnica de ataque sofisticada.<\/p>\n\n\n\n

Os Quatro Pilares do Relat\u00f3rio Unit 42 2026<\/h2>\n\n\n\n

A Unit 42<\/a>, a divis\u00e3o de investiga\u00e7\u00e3o e resposta a incidentes da Palo Alto Networks, identificou quatro for\u00e7as convergentes que definem o panorama de amea\u00e7as em 2026: a intelig\u00eancia artificial<\/strong> como multiplicador de for\u00e7a para os atacantes, a identidade<\/strong> como principal superf\u00edcie de ataque, o risco da cadeia de abastecimento de software<\/strong> em expans\u00e3o, e a adapta\u00e7\u00e3o t\u00e1tica dos atores ligados a estados-na\u00e7\u00e3o<\/strong>. Cada pilar \u00e9 suportado por dados emp\u00edricos extra\u00eddos das mais de 750 interven\u00e7\u00f5es de resposta a incidentes, abrangendo todas as grandes ind\u00fastrias e mais de 50 pa\u00edses.<\/p>\n\n\n\n

Em 87% dos incidentes analisados, os atacantes operaram em m\u00faltiplas superf\u00edcies de ataque em simult\u00e2neo, combinando endpoints, redes, infraestrutura cloud, aplica\u00e7\u00f5es SaaS e camadas de identidade. Quase metade dos casos, exactamente 48%, envolveu atividade com origem no navegador, reflectindo como os ataques intersectam cada vez mais os fluxos de trabalho quotidianos dos utilizadores. Esta fragmenta\u00e7\u00e3o da superf\u00edcie de ataque representa o principal desafio operacional para os centros de opera\u00e7\u00f5es de seguran\u00e7a (SOC) modernos, obrigados a monitorizar m\u00faltiplos planos em simult\u00e2neo sem perder coer\u00eancia na correla\u00e7\u00e3o de alertas.<\/p>\n\n\n\n

Wendi Whitmore, Vice-Presidente S\u00e9nior e Respons\u00e1vel da Unit 42 na Palo Alto Networks, sintetizou a situa\u00e7\u00e3o na apresenta\u00e7\u00e3o p\u00fablica do relat\u00f3rio: “Os nossos advers\u00e1rios fazem exatamente o que n\u00f3s fazemos: recorrer \u00e0 IA para automatizar partes do ataque. Nos casos mais r\u00e1pidos, os atacantes j\u00e1 exfiltram dados em menos de uma hora.” A frase captura a natureza do problema central: a IA n\u00e3o \u00e9 apenas uma ferramenta defensiva, mas um recurso que os atacantes adotaram operacionalmente antes de muitas organiza\u00e7\u00f5es terem terminado as suas pr\u00f3prias avalia\u00e7\u00f5es de risco associadas \u00e0 tecnologia.<\/p>\n\n\n\n

Velocidade de Exfiltra\u00e7\u00e3o: De 285 para 72 Minutos em Um Ano<\/h2>\n\n\n\n

A m\u00e9trica mais citada do relat\u00f3rio \u00e9 o tempo de exfiltra\u00e7\u00e3o<\/strong>: o intervalo entre o comprometimento inicial e o roubo confirmado de dados. Em 2025, o quartil mais r\u00e1pido de intrus\u00f5es atingiu a exfiltra\u00e7\u00e3o em 72 minutos<\/strong>, contra 285 minutos<\/strong> no ano anterior. Esta redu\u00e7\u00e3o de 75% num \u00fanico ano reflecte a automa\u00e7\u00e3o crescente do ciclo de ataque, em grande parte impulsionada por ferramentas de IA integradas nas opera\u00e7\u00f5es de grupos criminosos e estatais.<\/p>\n\n\n\n

A acelera\u00e7\u00e3o n\u00e3o se limita aos ataques mais r\u00e1pidos. A propor\u00e7\u00e3o de incidentes que atingem exfiltra\u00e7\u00e3o em menos de uma hora subiu de 19% em 2024<\/strong> para 22% em 2025<\/strong>. Numa simula\u00e7\u00e3o interna, analistas da Unit 42 usaram ferramentas de IA para reproduzir um ataque real e reduziram o tempo de exfiltra\u00e7\u00e3o para 25 minutos<\/strong>, ilustrando o potencial ainda n\u00e3o totalmente explorado por grupos mais avan\u00e7ados. O tempo mediano de exfiltra\u00e7\u00e3o, calculado sobre o conjunto total de incidentes, ficou nos dois dias<\/strong>, mas este valor m\u00e9dio mascara a cauda cr\u00edtica de ataques extremamente r\u00e1pidos que comprometem organiza\u00e7\u00f5es inteiras antes de qualquer alerta chegar a um analista dispon\u00edvel.<\/p>\n\n\n\n

Para o contexto europeu, incluindo Portugal, esta acelera\u00e7\u00e3o tem implica\u00e7\u00f5es directas para os planos de resposta a incidentes. Os SLA de resposta definidos ao abrigo do Regulamento DORA para o setor financeiro, ou da Directiva NIS2 para infraestruturas cr\u00edticas, pressup\u00f5em janelas de dete\u00e7\u00e3o e conten\u00e7\u00e3o que a velocidade actual dos ataques torna obsoletas em muitos cen\u00e1rios pr\u00e1ticos. Um ataque que completa a exfiltra\u00e7\u00e3o em 72 minutos ultrapassa os tempos m\u00e9dios de dete\u00e7\u00e3o da maioria das organiza\u00e7\u00f5es europeias de m\u00e9dia dimens\u00e3o, estimados pela ind\u00fastria em v\u00e1rias horas para o primeiro alerta validado.<\/p>\n\n\n\n

IA como Multiplicador de For\u00e7a: O Ciclo de Ataque Comprimido<\/h2>\n\n\n\n

O relat\u00f3rio documenta a transi\u00e7\u00e3o dos grupos de amea\u00e7a de uma fase experimental para uma fase operacional no uso de IA. Em 2025, os atacantes deixaram de testar ferramentas de IA para as integrar em fluxos de trabalho padr\u00e3o. As principais aplica\u00e7\u00f5es observadas incluem: automa\u00e7\u00e3o do reconhecimento de alvos nos minutos seguintes \u00e0 divulga\u00e7\u00e3o p\u00fablica de CVEs, paraleliza\u00e7\u00e3o de campanhas de reconhecimento contra centenas de alvos em simult\u00e2neo, personaliza\u00e7\u00e3o em escala de ataques de phishing, e automatiza\u00e7\u00e3o das opera\u00e7\u00f5es de ransomware, incluindo fases de negocia\u00e7\u00e3o e extors\u00e3o.<\/p>\n\n\n\n

O relat\u00f3rio afirma directamente: “A IA tornou-se um multiplicador de for\u00e7a para os agentes de amea\u00e7a. Comprime o ciclo de ataque, do acesso ao impacto, introduzindo ao mesmo tempo novos vetores.” Esta compress\u00e3o \u00e9 quantific\u00e1vel: a velocidade de exfiltra\u00e7\u00e3o dos ataques mais r\u00e1pidos quadruplicou em 2025 face a 2024. A IA permite ainda que grupos com menor capacidade t\u00e9cnica conduzam opera\u00e7\u00f5es que anteriormente exigiam equipas de especialistas, democratizando o acesso a t\u00e9cnicas de ataque avan\u00e7adas e baixando substancialmente o custo de entrada para atores menos sofisticados mas financeiramente motivados.<\/p>\n\n\n\n

Para as organiza\u00e7\u00f5es, a resposta n\u00e3o pode continuar a depender de processos manuais. O relat\u00f3rio recomenda que os SOC adoptem automa\u00e7\u00e3o de resposta capaz de funcionar \u00e0 velocidade das m\u00e1quinas, n\u00e3o dos humanos. Processos que hoje demoram horas de an\u00e1lise humana precisam de ser comprimidos para minutos de resposta autom\u00e1tica, ou os atacantes completar\u00e3o a miss\u00e3o antes de qualquer alerta chegar a um analista dispon\u00edvel. A automa\u00e7\u00e3o de conten\u00e7\u00e3o, como isolamento autom\u00e1tico de endpoint ou revoga\u00e7\u00e3o de token ao primeiro sinal de comprometimento, deixa de ser uma funcionalidade avan\u00e7ada para passar a ser um pr\u00e9-requisito operacional b\u00e1sico.<\/p>\n\n\n\n

Identidade: O Novo Per\u00edmetro e o Principal Vetor de Entrada<\/h2>\n\n\n\n

A segunda grande conclus\u00e3o do relat\u00f3rio \u00e9 a centralidade da identidade como superf\u00edcie de ataque. Em quase 90%<\/strong> das investiga\u00e7\u00f5es da Unit 42, foram encontradas fragilidades de identidade com papel material no incidente. O relat\u00f3rio \u00e9 expl\u00edcito: “A identidade tornou-se o caminho mais fi\u00e1vel para o sucesso do atacante. Os atacantes acedem cada vez mais usando credenciais e tokens roubados, explorando estates de identidade fragmentados para escalar privil\u00e9gios e mover-se lateralmente.”<\/p>\n\n\n\n

Os dados de acesso inicial refor\u00e7am esta conclus\u00e3o: 65% dos acessos iniciais documentados s\u00e3o baseados em identidade<\/strong>, com atacantes a usar credenciais comprometidas, bypass de autentica\u00e7\u00e3o multifactor (MFA) e configura\u00e7\u00f5es incorretas de IAM (Identity and Access Management) para ganhar entrada. O phishing e a explora\u00e7\u00e3o de vulnerabilidades partilham o segundo lugar, com 22% cada<\/strong> como vetores de acesso inicial. Esta mudan\u00e7a de paradigma, da explora\u00e7\u00e3o t\u00e9cnica para o uso indevido de identidade, exige uma resposta diferente das organiza\u00e7\u00f5es: menos foco em firewalls de per\u00edmetro, mais foco em gest\u00e3o de identidade, autentica\u00e7\u00e3o forte e monitoriza\u00e7\u00e3o de comportamento.<\/p>\n\n\n\n

O modelo de per\u00edmetro de rede, j\u00e1 considerado obsoleto antes de 2020, torna-se ainda menos relevante quando o atacante simplesmente “entra” com credenciais v\u00e1lidas e gera tr\u00e1fego que parece normal para todos os sistemas de monitoriza\u00e7\u00e3o que n\u00e3o analisam comportamento. A implementa\u00e7\u00e3o de MFA resistente a phishing, a elimina\u00e7\u00e3o de privil\u00e9gios administrativos permanentes e a monitoriza\u00e7\u00e3o cont\u00ednua de identidades, tanto humanas como de m\u00e1quina, s\u00e3o as prioridades operacionais identificadas pelo relat\u00f3rio para 2026.<\/p>\n\n\n\n

Cadeia de Abastecimento de Software: O Risco das Integra\u00e7\u00f5es SaaS<\/h2>\n\n\n\n

O terceiro pilar do relat\u00f3rio aborda a expans\u00e3o do risco na cadeia de abastecimento de software. A conclus\u00e3o \u00e9 que o problema j\u00e1 n\u00e3o se limita a c\u00f3digo vulner\u00e1vel em bibliotecas open-source. Segundo o relat\u00f3rio: “O risco da cadeia de abastecimento de software expandiu-se para al\u00e9m do c\u00f3digo vulner\u00e1vel para o uso indevido de conectividade de confian\u00e7a. Os atacantes exploram integra\u00e7\u00f5es de SaaS, ferramentas de fornecedores e depend\u00eancias de aplica\u00e7\u00f5es para contornar per\u00edmetros \u00e0 escala.”<\/p>\n\n\n\n

Na pr\u00e1tica, isto significa que a confian\u00e7a impl\u00edcita concedida a integra\u00e7\u00f5es de terceiros, ferramentas de fornecedores com acesso privilegiado, e depend\u00eancias transitivas de software open-source criou caminhos de ataque que os modelos de seguran\u00e7a tradicionais n\u00e3o contemplam. Um atacante que comprometa um fornecedor de software de gest\u00e3o com acesso a dezenas de clientes empresariais pode mover-se de organiza\u00e7\u00e3o em organiza\u00e7\u00e3o usando esses acessos leg\u00edtimos, sem precisar de explorar qualquer vulnerabilidade t\u00e9cnica nas redes das v\u00edtimas directas. O ataque \u00e0 cadeia de abastecimento \u00e9, por defini\u00e7\u00e3o, um ataque \u00e0 confian\u00e7a estabelecida.<\/p>\n\n\n\n

Esta tend\u00eancia \u00e9 especialmente relevante para o mercado europeu ap\u00f3s a entrada em vigor do Cyber Resilience Act<\/a>, que estabelece requisitos de seguran\u00e7a para produtos digitais comercializados na UE. O CRA foca-se principalmente em fabricantes de hardware e software, deixando zonas cinzentas em rela\u00e7\u00e3o a integra\u00e7\u00f5es SaaS e fluxos de dados entre plataformas. O relat\u00f3rio da Unit 42 sugere que os atacantes est\u00e3o activamente a explorar estas zonas cinzentas regulat\u00f3rias, onde a responsabilidade de seguran\u00e7a \u00e9 difusa e a monitoriza\u00e7\u00e3o \u00e9 frequentemente inexistente nas organiza\u00e7\u00f5es mais pequenas.<\/p>\n\n\n\n

Atores Estatais: Infiltra\u00e7\u00e3o por Persona Sint\u00e9tica e IA Ofensiva<\/h2>\n\n\n\n

O quarto pilar do relat\u00f3rio documenta a evolu\u00e7\u00e3o t\u00e1tica dos atores ligados a estados-na\u00e7\u00e3o. A Unit 42 observou que estes grupos est\u00e3o a transitar para t\u00e9cnicas de maior furtividade e persist\u00eancia, abandonando ataques destrutivos e vis\u00edveis em favor de comprometimentos silenciosos de longo prazo. O relat\u00f3rio regista “primeiros sinais de ferramentas de IA usadas para refor\u00e7ar estas posi\u00e7\u00f5es”, indicando que os estados mais avan\u00e7ados est\u00e3o a integrar IA nas suas opera\u00e7\u00f5es ofensivas de forma estruturada e rotineira.<\/p>\n\n\n\n

Uma t\u00e9cnica documentada \u00e9 a infiltra\u00e7\u00e3o por persona<\/strong>: a cria\u00e7\u00e3o de identidades sint\u00e9ticas ou o uso de identidades comprometidas reais para infiltrar organiza\u00e7\u00f5es-alvo como funcion\u00e1rios ou contratantes leg\u00edtimos. Grupos ligados \u00e0 Coreia do Norte t\u00eam sido associados a opera\u00e7\u00f5es em que agentes se candidatam a posi\u00e7\u00f5es t\u00e9cnicas em empresas de tecnologia ocidentais, com o objetivo de instalar acesso persistente ou exfiltrar propriedade intelectual de alto valor. O padr\u00e3o de comprometimento de camadas de virtualiza\u00e7\u00e3o e infraestrutura de base permite a estes atores manter acesso mesmo ap\u00f3s remedia\u00e7\u00e3o de incidentes vis\u00edveis, criando persist\u00eancia extremamente dif\u00edcil de erradicar com m\u00e9todos convencionais de resposta a incidentes.<\/p>\n\n\n\n

A China foi identificada como actora na explora\u00e7\u00e3o de vulnerabilidades cr\u00edticas em software empresarial amplamente utilizado, incluindo o caso documentado da explora\u00e7\u00e3o de falhas no Microsoft SharePoint em julho de 2025, que afectou ag\u00eancias governamentais dos EUA e empresas internacionais. Para Portugal, membro da NATO com infraestruturas cr\u00edticas partilhadas com aliados, este vetor de amea\u00e7a estatal n\u00e3o \u00e9 acad\u00e9mico: \u00e9 operacionalmente relevante, como foi explicitamente reconhecido no alerta do SIS sobre ataques a plataformas de comunica\u00e7\u00e3o de oficiais portugueses<\/a> no in\u00edcio de 2026.<\/p>\n\n\n\n

Tabela 1: M\u00e9tricas-Chave de Ataque, 2024 vs 2025<\/h2>\n\n\n\n
\n\n\n\n\n\n\n\n\n\n\n
M\u00e9trica<\/th>\n2024<\/th>\n2025<\/th>\nVaria\u00e7\u00e3o<\/th>\n<\/tr>\n<\/thead>\n
Tempo de exfiltra\u00e7\u00e3o (quartil mais r\u00e1pido)<\/td>\n285 minutos<\/td>\n72 minutos<\/td>\n-75%<\/td>\n<\/tr>\n
Tempo de exfiltra\u00e7\u00e3o (simula\u00e7\u00e3o com IA)<\/td>\nN\/D<\/td>\n25 minutos<\/td>\nNovo registo<\/td>\n<\/tr>\n
Tempo mediano de exfiltra\u00e7\u00e3o<\/td>\nN\/D<\/td>\n2 dias<\/td>\nRefer\u00eancia<\/td>\n<\/tr>\n
Incidentes com exfiltra\u00e7\u00e3o em menos de 1 hora<\/td>\n19%<\/td>\n22%<\/td>\n+3 p.p.<\/td>\n<\/tr>\n
Pedido mediano de resgate<\/td>\n$1,25 milh\u00f5es<\/td>\n$1,5 milh\u00f5es<\/td>\n+20%<\/td>\n<\/tr>\n
Pagamento mediano de resgate<\/td>\n$267.500<\/td>\n$500.000<\/td>\n+87%<\/td>\n<\/tr>\n
Casos de extors\u00e3o com encripta\u00e7\u00e3o<\/td>\nAcima de 90%<\/td>\n78%<\/td>\n-12 p.p.<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n

Fonte: Palo Alto Networks Unit 42 Global Incident Response Report 2026<\/a><\/em><\/p>\n\n\n\n

Tabela 2: Vetores de Ataque e Superf\u00edcies Comprometidas<\/h2>\n\n\n\n
\n\n\n\n\n\n\n\n\n\n\n
Vetor ou Superf\u00edcie<\/th>\nFrequ\u00eancia<\/th>\nObserva\u00e7\u00e3o<\/th>\n<\/tr>\n<\/thead>\n
Fragilidades de identidade (qualquer papel)<\/td>\n~90% das investiga\u00e7\u00f5es<\/td>\nFator material em quase todos os casos<\/td>\n<\/tr>\n
Acesso inicial baseado em identidade<\/td>\n65%<\/td>\nCredenciais roubadas, bypass MFA, IAM incorreto<\/td>\n<\/tr>\n
Phishing como vetor de acesso inicial<\/td>\n22%<\/td>\nEmpatado com explora\u00e7\u00e3o de vulnerabilidades<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o de vulnerabilidades<\/td>\n22%<\/td>\nAutoma\u00e7\u00e3o por IA acelera weaponization de CVEs<\/td>\n<\/tr>\n
Intrus\u00f5es em m\u00faltiplas superf\u00edcies<\/td>\n87%<\/td>\nEndpoint, cloud, SaaS e identidade combinados<\/td>\n<\/tr>\n
Atividade com origem no navegador<\/td>\n48%<\/td>\nBrowser como nova linha da frente empresarial<\/td>\n<\/tr>\n
Roubo de dados em casos de extors\u00e3o<\/td>\nMais de 50%<\/td>\nMantido consistentemente ano ap\u00f3s ano<\/td>\n<\/tr>\n<\/tbody>\n<\/table><\/figure>\n\n\n\n

Fonte: Relat\u00f3rio Unit 42 2026, via KBI Media<\/a><\/em><\/p>\n\n\n\n

Ransomware em 2025: Encripta\u00e7\u00e3o J\u00e1 N\u00e3o \u00e9 Obrigat\u00f3ria<\/h2>\n\n\n\n

Uma das mudan\u00e7as mais significativas documentadas no relat\u00f3rio \u00e9 a redu\u00e7\u00e3o do uso de encripta\u00e7\u00e3o em ataques de extors\u00e3o. Em 2025, a encripta\u00e7\u00e3o esteve presente em 78% dos casos de extors\u00e3o<\/strong>, contra mais de 90% em anos anteriores. Esta queda reflecte uma realidade operacional que os grupos de ransomware descobriram progressivamente: a amea\u00e7a de publica\u00e7\u00e3o de dados roubados \u00e9 frequentemente mais eficaz, e mais lucrativa, do que encriptar sistemas inteiros.<\/p>\n\n\n\n

A extors\u00e3o baseada exclusivamente em roubo de dados \u00e9 mais r\u00e1pida de executar e menos sujeita a disru\u00e7\u00e3o por ferramentas de decripta\u00e7\u00e3o gratuitas disponibilizadas por autoridades policiais e investigadores de seguran\u00e7a. Para organiza\u00e7\u00f5es com backups robustos que minimizam o impacto operacional da encripta\u00e7\u00e3o, a amea\u00e7a de publica\u00e7\u00e3o p\u00fablica de dados de clientes, registos de sa\u00fade ou informa\u00e7\u00e3o financeira continua a ser um incentivo poderoso ao pagamento de resgate. Esta evolu\u00e7\u00e3o do modelo de neg\u00f3cio dos grupos de ransomware est\u00e1 detalhada no artigo sobre ransomware sem encripta\u00e7\u00e3o<\/a>, que analisa os padr\u00f5es espec\u00edficos observados em 2026.<\/p>\n\n\n\n

O relat\u00f3rio da Unit 42<\/a> apela explicitamente a que os defensores assumam que os atacantes tratam a encripta\u00e7\u00e3o como opcional. Esta mudan\u00e7a de pressupostos afecta directamente como as organiza\u00e7\u00f5es devem estruturar as suas defesas: backups robustos continuam a ser necess\u00e1rios para o componente de encripta\u00e7\u00e3o, mas o problema da exfiltra\u00e7\u00e3o de dados requer controlos adicionais de segmenta\u00e7\u00e3o de rede, monitoriza\u00e7\u00e3o de movimenta\u00e7\u00e3o de dados e preven\u00e7\u00e3o de perda de dados (DLP) que muitas organiza\u00e7\u00f5es europeias ainda n\u00e3o implementaram de forma abrangente.<\/p>\n\n\n\n

Resgates a $1,5 Milh\u00f5es: O Custo Financeiro em 2025<\/h2>\n\n\n\n

Os dados financeiros do relat\u00f3rio pintam um quadro de escalada consistente. O pedido mediano de resgate subiu de $1,25 milh\u00f5es em 2024<\/strong> para $1,5 milh\u00f5es em 2025<\/strong>. O pagamento mediano efectivo mais do que duplicou, passando de $267.500 em 2024<\/strong> para $500.000 em 2025<\/strong>. Esta diverg\u00eancia entre pedidos e pagamentos reflecte uma estrat\u00e9gia de negocia\u00e7\u00e3o bem estabelecida: os grupos pedem valores elevados, mas aceitam montantes inferiores quando as v\u00edtimas negociam activamente. A an\u00e1lise detalhada desta din\u00e2mica de extors\u00e3o est\u00e1 no artigo sobre extors\u00e3o de dados e resgates medianos em 2026<\/a>.<\/p>\n\n\n\n

O roubo de dados foi registado em mais de metade dos casos de extors\u00e3o, confirmando que a exfiltra\u00e7\u00e3o como alavanca de negocia\u00e7\u00e3o \u00e9 agora o padr\u00e3o do sector, n\u00e3o a excep\u00e7\u00e3o. Os sectores mais visados continuam a ser os que combinam dados sens\u00edveis com menor maturidade de seguran\u00e7a: sa\u00fade, educa\u00e7\u00e3o, servi\u00e7os jur\u00eddicos e administra\u00e7\u00e3o local. Para o mercado portugu\u00eas, onde v\u00e1rios munic\u00edpios e hospitais sofreram ataques de ransomware nos \u00faltimos tr\u00eas anos com pagamentos ou custos de remedia\u00e7\u00e3o significativos, estes dados representam um aviso claro sobre o n\u00edvel de risco sist\u00e9mico da infraestrutura p\u00fablica nacional.<\/p>\n\n\n\n

90% das Viola\u00e7\u00f5es S\u00e3o Evit\u00e1veis: O Argumento da Exposi\u00e7\u00e3o Evit\u00e1vel<\/h2>\n\n\n\n

Uma das conclus\u00f5es mais importantes, e mais inc\u00f3modas, do relat\u00f3rio \u00e9 que mais de 90% das viola\u00e7\u00f5es documentadas foram permitidas por lacunas de exposi\u00e7\u00e3o evit\u00e1veis<\/strong>, n\u00e3o por t\u00e9cnicas de ataque avan\u00e7adas e dif\u00edceis de controlar. A maioria dos incidentes graves poderia ter sido prevenida com controlos de seguran\u00e7a fundamentais devidamente implementados: MFA robusto, gest\u00e3o de patches actualizada, configura\u00e7\u00e3o correcta de IAM, e monitoriza\u00e7\u00e3o de telemetria consolidada.<\/p>\n\n\n\n

Esta conclus\u00e3o tem implica\u00e7\u00f5es or\u00e7amentais directas para gestores de seguran\u00e7a que argumentam n\u00e3o ter recursos para investir em capacidades avan\u00e7adas. O problema, segundo os dados da Unit 42, n\u00e3o \u00e9 a falta de ferramentas sofisticadas: \u00e9 a implementa\u00e7\u00e3o deficiente de controlos fundamentais que existem, s\u00e3o bem compreendidos, e est\u00e3o dispon\u00edveis a custo razo\u00e1vel. A Unit 42 recomenda que as organiza\u00e7\u00f5es priorizem a redu\u00e7\u00e3o da superf\u00edcie de exposi\u00e7\u00e3o antes de investir em capacidades de dete\u00e7\u00e3o e resposta mais complexas e onerosas.<\/p>\n\n\n\n

Para Portugal e o mercado europeu, onde o F\u00f3rum Econ\u00f3mico Mundial registou no seu Relat\u00f3rio Global de Ciberseguran\u00e7a 2026 que 64% das organiza\u00e7\u00f5es globais<\/strong> j\u00e1 incorporam a geopol\u00edtica nos seus planos de gest\u00e3o de risco cibern\u00e9tico, o contexto \u00e9 de consciencializa\u00e7\u00e3o crescente mas execu\u00e7\u00e3o ainda insuficiente. Os dados da Unit 42 sugerem que o intervalo entre a consciencializa\u00e7\u00e3o do risco e a implementa\u00e7\u00e3o efectiva dos controlos b\u00e1sicos \u00e9, precisamente, o espa\u00e7o onde os atacantes prosperam e onde os incidentes mais custosos acontecem com maior frequ\u00eancia.<\/p>\n\n\n\n

Recomenda\u00e7\u00f5es da Unit 42: Seis Prioridades Operacionais para 2026<\/h2>\n\n\n\n

O relat\u00f3rio estrutura as recomenda\u00e7\u00f5es em tr\u00eas camadas: reduzir a exposi\u00e7\u00e3o, limitar o impacto e responder \u00e0 velocidade das m\u00e1quinas. Segundo o sum\u00e1rio do RH-ISAC ao relat\u00f3rio<\/a>, as seis prioridades operacionais identificadas s\u00e3o as seguintes.<\/p>\n\n\n\n