{"id":94,"date":"2026-06-14T08:58:35","date_gmt":"2026-06-14T08:58:35","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/14\/dbir-2026-vulnerabilidades-fugas\/"},"modified":"2026-06-14T08:59:59","modified_gmt":"2026-06-14T08:59:59","slug":"dbir-2026-vulnerabilidades-fugas","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/14\/dbir-2026-vulnerabilidades-fugas\/","title":{"rendered":"DBIR 2026: 31% das Fugas por Vulnerabilidades [2026]"},"content":{"rendered":"\n

O relat\u00f3rio mais influente da ciberseguran\u00e7a mundial mudou de eixo. O Verizon 2026 Data Breach Investigations Report<\/strong> (DBIR), divulgado a 19 de maio de 2026, confirma uma viragem que os respons\u00e1veis de seguran\u00e7a temiam: a explora\u00e7\u00e3o de vulnerabilidades de software tornou-se o principal vetor de acesso inicial, presente em 31% das viola\u00e7\u00f5es de dados<\/strong>. Pela primeira vez em v\u00e1rios anos, as falhas t\u00e9cnicas ultrapassaram as credenciais roubadas como porta de entrada favorita dos atacantes.<\/p>\n\n\n\n

A edi\u00e7\u00e3o de 2026 analisou mais de 22.000 viola\u00e7\u00f5es de dados confirmadas e mais de 31.000 incidentes de seguran\u00e7a em dezenas de pa\u00edses. Os n\u00fameros desenham um cen\u00e1rio onde o ransomware aparece em quase metade das viola\u00e7\u00f5es, a cadeia de fornecimento se tornou um risco sist\u00e9mico e a intelig\u00eancia artificial passou a acelerar tanto o ataque como a defesa. Para as empresas portuguesas, que entraram em 2026 sob a press\u00e3o do novo regime NIS2 em Portugal<\/a>, as conclus\u00f5es funcionam como um aviso e um gui\u00e3o.<\/p>\n\n\n\n

Esta an\u00e1lise destrincha os dados que importam, compara o relat\u00f3rio com edi\u00e7\u00f5es anteriores e com outros estudos, ouve especialistas e tra\u00e7a cinco previs\u00f5es para o que resta de 2026. Todos os n\u00fameros citados v\u00eam do DBIR 2026 ou de relat\u00f3rios p\u00fablicos identificados ao longo do texto.<\/p>\n\n\n\n

DBIR 2026: as vulnerabilidades ultrapassam as senhas<\/h2>\n\n\n\n

A manchete do DBIR 2026 \u00e9 direta. A explora\u00e7\u00e3o de vulnerabilidades respondeu por 31% das viola\u00e7\u00f5es de dados<\/strong> como vetor de acesso inicial, contra 13% atribu\u00eddos a credenciais roubadas<\/strong>. Durante anos, a senha comprometida foi o pecado original das empresas. Em 2026, o problema passou a ser o software por corrigir exposto \u00e0 Internet.<\/p>\n\n\n\n

A leitura n\u00e3o \u00e9 que as credenciais deixaram de importar. \u00c9 que os atacantes encontraram um caminho mais r\u00e1pido e mais escal\u00e1vel. Quando um \u00fanico CVE cr\u00edtico afeta milhares de dispositivos de borda, firewalls ou servidores VPN, basta uma campanha automatizada para varrer a Internet inteira em horas. A press\u00e3o sobre a gest\u00e3o de vulnerabilidades, j\u00e1 documentada na crise dos CVE e na base de dados EUVD da UE<\/a>, agora aparece quantificada num dos relat\u00f3rios mais citados do setor.<\/p>\n\n\n\n

O padr\u00e3o de ataque dominante continua a ser a intrus\u00e3o de sistemas (System Intrusion), presente em 60% das viola\u00e7\u00f5es<\/strong>. Este padr\u00e3o combina explora\u00e7\u00e3o t\u00e9cnica, movimento lateral e, frequentemente, ransomware na fase final. O elemento humano, que inclui erros, uso indevido de privil\u00e9gios e engenharia social, mant\u00e9m-se em 62% das viola\u00e7\u00f5es<\/strong>, prova de que tecnologia e comportamento continuam entrela\u00e7ados.<\/p>\n\n\n\n

A mudan\u00e7a de vetor tem consequ\u00eancias operacionais. Defender contra credenciais roubadas significa investir em autentica\u00e7\u00e3o multifator e gest\u00e3o de identidade. Defender contra explora\u00e7\u00e3o de vulnerabilidades significa reduzir a superf\u00edcie de exposi\u00e7\u00e3o e corrigir mais depressa, duas tarefas onde, como veremos, a maioria das organiza\u00e7\u00f5es est\u00e1 a perder terreno.<\/p>\n\n\n\n

Os n\u00fameros que definem o relat\u00f3rio de 2026<\/h2>\n\n\n\n

A tabela seguinte re\u00fane os indicadores centrais do DBIR 2026. S\u00e3o os valores que v\u00e3o orientar or\u00e7amentos de seguran\u00e7a e auditorias ao longo do ano.<\/p>\n\n\n\n

\n
Indicador<\/th>Valor 2026<\/th>Nota<\/th><\/tr><\/thead>
Explora\u00e7\u00e3o de vulnerabilidades (acesso inicial)<\/td>31%<\/td>Novo n\u00famero 1, ultrapassa credenciais<\/td><\/tr>\n
Credenciais roubadas (acesso inicial)<\/td>13%<\/td>Anterior vetor dominante<\/td><\/tr>\n
Viola\u00e7\u00f5es com envolvimento de terceiros<\/td>48%<\/td>Em forte subida<\/td><\/tr>\n
Viola\u00e7\u00f5es com elemento humano<\/td>62%<\/td>Erro, abuso e engenharia social<\/td><\/tr>\n
Padr\u00e3o System Intrusion<\/td>60%<\/td>Padr\u00e3o de ataque dominante<\/td><\/tr>\n
Viola\u00e7\u00f5es que envolveram ransomware<\/td>48%<\/td>Quase metade do total<\/td><\/tr>\n
V\u00edtimas de ransomware que n\u00e3o pagaram<\/td>69%<\/td>Resist\u00eancia ao pagamento cresce<\/td><\/tr>\n
Resgate mediano pago<\/td>139.875 d\u00f3lares<\/td>Em queda face a anos anteriores<\/td><\/tr>\n
Tempo mediano de corre\u00e7\u00e3o<\/td>43 dias<\/td>Subiu dos 32 dias do ano anterior<\/td><\/tr>\n
KEV da CISA totalmente corrigidas<\/td>26%<\/td>Atraso cr\u00f3nico na remedia\u00e7\u00e3o<\/td><\/tr>\n<\/tbody><\/table>
Fonte: Verizon 2026 Data Breach Investigations Report.<\/figcaption><\/figure>\n\n\n\n

Cada linha conta uma parte da hist\u00f3ria. O salto de 32 para 43 dias no tempo mediano de corre\u00e7\u00e3o representa quase duas semanas adicionais em que uma falha conhecida permanece aberta. Os 26% de vulnerabilidades catalogadas pela CISA como ativamente exploradas que chegam a ser totalmente corrigidas revelam um fosso enorme entre saber e agir.<\/p>\n\n\n\n

Porque \u00e9 que as falhas de software passaram a porta de entrada<\/h2>\n\n\n\n

Tr\u00eas for\u00e7as explicam a ascens\u00e3o da explora\u00e7\u00e3o de vulnerabilidades. A primeira \u00e9 a expans\u00e3o da superf\u00edcie de ataque. Dispositivos de borda, appliances de rede, servidores VPN e plataformas de cloud multiplicaram os pontos expostos \u00e0 Internet. Cada um traz o seu pr\u00f3prio fluxo de corre\u00e7\u00f5es e a sua pr\u00f3pria janela de risco.<\/p>\n\n\n\n

A segunda for\u00e7a \u00e9 a velocidade. Quando um fornecedor publica um patch, o c\u00f3digo da corre\u00e7\u00e3o revela frequentemente onde estava a falha. Grupos especializados transformam essa informa\u00e7\u00e3o em exploits funcionais em dias, por vezes horas. A janela entre divulga\u00e7\u00e3o e explora\u00e7\u00e3o em massa encolheu, um fen\u00f3meno j\u00e1 vis\u00edvel na nova velocidade dos ciberataques medidos em minutos<\/a>.<\/p>\n\n\n\n

A terceira for\u00e7a \u00e9 a automa\u00e7\u00e3o. Ferramentas de varredura percorrem blocos inteiros de endere\u00e7os IP \u00e0 procura de vers\u00f5es vulner\u00e1veis. O atacante n\u00e3o escolhe o alvo, escolhe a falha, e deixa que a Internet lhe entregue as v\u00edtimas. \u00c9 um modelo industrial que favorece quem age depressa sobre quem se defende devagar.<\/p>\n\n\n\n

O fosso da corre\u00e7\u00e3o em n\u00fameros<\/h3>\n\n\n\n

O DBIR 2026 quantifica o problema da remedia\u00e7\u00e3o como nunca antes. O tempo mediano para corrigir uma vulnerabilidade subiu para 43 dias<\/strong>. Apenas 26% das vulnerabilidades do cat\u00e1logo Known Exploited Vulnerabilities (KEV) da CISA<\/strong> foram totalmente corrigidas pelas organiza\u00e7\u00f5es da amostra. O relat\u00f3rio mostra ainda lacunas estruturais de configura\u00e7\u00e3o: 37% das organiza\u00e7\u00f5es tinham pelo menos uma conta de administrador em infraestrutura cloud (IaaS) sem autentica\u00e7\u00e3o multifator ativada<\/strong>, e apenas 23% das organiza\u00e7\u00f5es terceiras corrigiram totalmente lacunas de MFA na cloud<\/strong>.<\/p>\n\n\n\n

A equipa do DBIR da Verizon resumiu o agravamento numa frase citada por v\u00e1rios meios especializados: “O nosso novo tempo mediano \u00e9 de 43 dias, quase duas semanas mais do que os 32 dias do ano passado.”<\/em> Para os atacantes, cada dia de atraso \u00e9 uma oportunidade. Para os defensores, \u00e9 a confirma\u00e7\u00e3o de que a capacidade de corre\u00e7\u00e3o n\u00e3o acompanha o ritmo das amea\u00e7as.<\/p>\n\n\n\n

Ransomware: 48% das viola\u00e7\u00f5es, mas 69% recusam pagar<\/h2>\n\n\n\n

O ransomware continua a dominar o panorama, presente em 48% das viola\u00e7\u00f5es de dados<\/strong> analisadas. Mas o relat\u00f3rio regista uma mudan\u00e7a de comportamento das v\u00edtimas que merece aten\u00e7\u00e3o: 69% n\u00e3o pagaram o resgate<\/strong> e o valor mediano efetivamente pago caiu para 139.875 d\u00f3lares<\/strong>.<\/p>\n\n\n\n

A queda do pagamento mediano combina v\u00e1rios fatores. Melhores c\u00f3pias de seguran\u00e7a permitem recuperar sem ceder \u00e0 extors\u00e3o. A press\u00e3o legal e regulat\u00f3ria desincentiva transfer\u00eancias para grupos sancionados. E a maturidade crescente das equipas de resposta a incidentes reduz o p\u00e2nico que historicamente levava ao pagamento r\u00e1pido. Ainda assim, os grupos adaptaram-se com a dupla e tripla extors\u00e3o, roubando dados antes de cifrar e amea\u00e7ando public\u00e1-los, uma t\u00e1tica que j\u00e1 elevou o resgate mediano noutros estudos sobre a extors\u00e3o de dados em 2026<\/a>.<\/p>\n\n\n\n

Setores cr\u00edticos continuam na linha da frente. O impacto humano destes ataques ficou patente em incidentes como o ransomware na sa\u00fade que exp\u00f4s 2,7 milh\u00f5es de doentes<\/a>, onde a paragem de sistemas se traduz em risco cl\u00ednico direto. A recusa de pagar \u00e9 uma vit\u00f3ria estat\u00edstica, mas n\u00e3o anula o custo da recupera\u00e7\u00e3o, da notifica\u00e7\u00e3o e da perda de confian\u00e7a.<\/p>\n\n\n\n

A intelig\u00eancia artificial entra na equa\u00e7\u00e3o<\/h2>\n\n\n\n

A grande novidade do DBIR 2026 \u00e9 a presen\u00e7a estruturada da intelig\u00eancia artificial nos dados, dos dois lados da trincheira. Pela primeira vez, o relat\u00f3rio mede o uso de IA por atores de amea\u00e7a e por funcion\u00e1rios, e o retrato \u00e9 revelador.<\/p>\n\n\n\n

\n
Indicador de IA no DBIR 2026<\/th>Valor<\/th><\/tr><\/thead>
Funcion\u00e1rios que usam IA em dispositivos da empresa<\/td>45%<\/td><\/tr>\n
A iniciar sess\u00e3o com contas n\u00e3o corporativas<\/td>67%<\/td><\/tr>\n
Acesso inicial assistido por IA ligado a phishing<\/td>44%<\/td><\/tr>\n
Acesso inicial assistido por IA ligado a explora\u00e7\u00e3o de vulnerabilidades<\/td>32%<\/td><\/tr>\n
Atores de amea\u00e7a analisados (Verizon e Anthropic)<\/td>793<\/td><\/tr>\n
T\u00e9cnicas MITRE ATT&CK usadas pelo ator mediano assistido por IA<\/td>15<\/td><\/tr>\n<\/tbody><\/table>
Fonte: Verizon 2026 DBIR, sec\u00e7\u00e3o sobre uso de IA.<\/figcaption><\/figure>\n\n\n\n

Os n\u00fameros mostram que a IA j\u00e1 n\u00e3o \u00e9 tend\u00eancia futura, \u00e9 pr\u00e1tica corrente. Quase metade dos funcion\u00e1rios usa ferramentas de IA em equipamentos da empresa e dois ter\u00e7os fazem-no com contas pessoais, fora do controlo da organiza\u00e7\u00e3o. O relat\u00f3rio classifica a chamada Shadow AI<\/em> como a terceira a\u00e7\u00e3o n\u00e3o maliciosa de insider mais comum nos dados de preven\u00e7\u00e3o de perda de dados (DLP), um eco direto do problema da exposi\u00e7\u00e3o inadvertida de dados<\/a>.<\/p>\n\n\n\n

Do lado ofensivo, a Verizon analisou, em parceria com a Anthropic, 793 atores de amea\u00e7a. O ator mediano assistido por IA recorreu a 15 t\u00e9cnicas distintas do framework MITRE ATT&CK, sinal de que a IA amplia o alcance t\u00e9cnico de operadores que antes seriam limitados. Entre a atividade de acesso inicial assistida por IA, 44% correspondeu a phishing e 32% \u00e0 explora\u00e7\u00e3o de vulnerabilidades, ligando as duas grandes hist\u00f3rias do relat\u00f3rio.<\/p>\n\n\n\n

O elemento humano e o phishing por voz<\/h2>\n\n\n\n

Apesar do protagonismo das vulnerabilidades t\u00e9cnicas, o elemento humano persiste em 62% das viola\u00e7\u00f5es<\/strong>. A engenharia social evoluiu para l\u00e1 do email. O DBIR 2026 destaca o crescimento do phishing por voz e por mensagem (vishing e smishing), que em muitos casos supera o email tradicional na taxa de sucesso junto dos alvos.<\/p>\n\n\n\n

A combina\u00e7\u00e3o \u00e9 perigosa. Uma chamada cred\u00edvel, agora potenciada por vozes sint\u00e9ticas geradas por IA, pode contornar forma\u00e7\u00e3o que se concentrou durante anos em detetar emails suspeitos. O pretexto, a urg\u00eancia fabricada e a personaliza\u00e7\u00e3o aumentam a probabilidade de a v\u00edtima ceder credenciais ou aprovar um pedido de MFA. Quem queira aprofundar as defesas comportamentais encontra um guia pr\u00e1tico em como reconhecer e reagir ao phishing<\/a>.<\/p>\n\n\n\n

A li\u00e7\u00e3o operacional \u00e9 que a forma\u00e7\u00e3o de sensibiliza\u00e7\u00e3o tem de acompanhar a mudan\u00e7a de canal. Simula\u00e7\u00f5es que testam apenas email deixam um flanco aberto. Procedimentos de verifica\u00e7\u00e3o fora de banda para pedidos sens\u00edveis, como confirmar transfer\u00eancias por um segundo canal, tornam-se controlos essenciais e n\u00e3o opcionais.<\/p>\n\n\n\n

O risco de terceiros e a cadeia de fornecimento<\/h2>\n\n\n\n

Um dos dados mais citados do DBIR 2026 \u00e9 o salto do envolvimento de terceiros, presente em 48% das viola\u00e7\u00f5es<\/strong>. Quase metade dos incidentes tocou, de alguma forma, num fornecedor, parceiro tecnol\u00f3gico ou prestador de servi\u00e7os. A interdepend\u00eancia que torna as empresas eficientes tornou-as tamb\u00e9m coletivamente fr\u00e1geis.<\/p>\n\n\n\n

O padr\u00e3o repete-se. Uma plataforma de software usada por milhares de clientes \u00e9 comprometida e o efeito propaga-se em cascata. Credenciais de um fornecedor abrem a porta a v\u00e1rios clientes. Uma vulnerabilidade num componente partilhado exp\u00f5e toda uma ind\u00fastria. O relat\u00f3rio refor\u00e7a que avaliar a seguran\u00e7a pr\u00f3pria deixou de ser suficiente quando o risco entra pela porta de quem nos presta servi\u00e7os.<\/p>\n\n\n\n

Para as empresas portuguesas, este dado liga-se diretamente \u00e0s obriga\u00e7\u00f5es do NIS2, que imp\u00f5e gest\u00e3o de risco da cadeia de fornecimento \u00e0s entidades essenciais e importantes. A gest\u00e3o de terceiros passou de boa pr\u00e1tica a requisito legal, com implica\u00e7\u00f5es que detalhamos mais \u00e0 frente.<\/p>\n\n\n\n

Impacto financeiro e de mercado<\/h2>\n\n\n\n

O custo de uma viola\u00e7\u00e3o varia muito consoante o vetor de entrada. Os dados de mercado mostram que os incidentes mais caros come\u00e7am com insiders maliciosos e com a cadeia de fornecimento, precisamente as \u00e1reas onde o DBIR 2026 sinaliza maior press\u00e3o.<\/p>\n\n\n\n

\n
Vetor inicial de ataque<\/th>Custo m\u00e9dio por viola\u00e7\u00e3o<\/th><\/tr><\/thead>
Insiders maliciosos<\/td>4,92 milh\u00f5es de d\u00f3lares<\/td><\/tr>\n
Comprometimento da cadeia de fornecimento<\/td>4,73 milh\u00f5es de d\u00f3lares<\/td><\/tr>\n
Credenciais roubadas ou comprometidas<\/td>4,50 milh\u00f5es de d\u00f3lares<\/td><\/tr>\n
Custo m\u00e9dio global (todas as viola\u00e7\u00f5es)<\/td>4,88 milh\u00f5es de d\u00f3lares<\/td><\/tr>\n<\/tbody><\/table>
Fonte: estat\u00edsticas de viola\u00e7\u00e3o compiladas por StationX e SentinelOne, 2026.<\/figcaption><\/figure>\n\n\n\n

O custo m\u00e9dio global de uma viola\u00e7\u00e3o ronda os 4,88 milh\u00f5es de d\u00f3lares<\/strong>. Mas o n\u00famero agregado esconde a dispers\u00e3o. Uma viola\u00e7\u00e3o por cadeia de fornecimento custa, em m\u00e9dia, 4,73 milh\u00f5es, e arrasta consigo a complexidade de coordenar a resposta entre v\u00e1rias organiza\u00e7\u00f5es. Para o investidor, estes valores traduzem-se em provis\u00f5es, quedas de cota\u00e7\u00e3o ap\u00f3s divulga\u00e7\u00e3o e pr\u00e9mios de seguro mais altos.<\/p>\n\n\n\n

O mercado de ciberseguran\u00e7a responde a esta press\u00e3o com consolida\u00e7\u00e3o e crescimento. A procura por gest\u00e3o de exposi\u00e7\u00e3o, dete\u00e7\u00e3o e resposta e seguros cibern\u00e9ticos acelera. A tese central do DBIR 2026, de que o problema deixou de ser apenas gerir vulnerabilidades para passar a gerir exposi\u00e7\u00e3o, est\u00e1 a reescrever or\u00e7amentos de seguran\u00e7a em toda a Europa.<\/p>\n\n\n\n

Compara\u00e7\u00e3o com edi\u00e7\u00f5es anteriores e outros relat\u00f3rios<\/h2>\n\n\n\n

O contraste com edi\u00e7\u00f5es anteriores do DBIR \u00e9 o que d\u00e1 peso \u00e0 manchete de 2026. Durante anos, as credenciais roubadas lideraram os vetores de acesso inicial. A subida da explora\u00e7\u00e3o de vulnerabilidades para 31% e a queda das credenciais para 13% marcam uma invers\u00e3o clara de tend\u00eancia, n\u00e3o um ajuste estat\u00edstico.<\/p>\n\n\n\n

Outros estudos convergem com o DBIR. Relat\u00f3rios de intelig\u00eancia de amea\u00e7as t\u00eam apontado para a acelera\u00e7\u00e3o da explora\u00e7\u00e3o de falhas de borda e para o crescimento do envolvimento de terceiros. A novidade de 2026 \u00e9 a quantifica\u00e7\u00e3o rigorosa do uso de IA, com a amostra de 793 atores analisada em parceria com a Anthropic, algo que poucos relat\u00f3rios conseguiram medir com este detalhe.<\/p>\n\n\n\n

O alinhamento entre fontes refor\u00e7a a credibilidade das conclus\u00f5es. Quando o relat\u00f3rio de refer\u00eancia do setor, os fornecedores de gest\u00e3o de vulnerabilidades e as ag\u00eancias nacionais apontam na mesma dire\u00e7\u00e3o, a mensagem para os conselhos de administra\u00e7\u00e3o \u00e9 inequ\u00edvoca: a gest\u00e3o de exposi\u00e7\u00e3o passou a ser uma prioridade de topo, n\u00e3o um detalhe t\u00e9cnico delegado.<\/p>\n\n\n\n

O que muda para Portugal e a Uni\u00e3o Europeia<\/h2>\n\n\n\n

As conclus\u00f5es do DBIR chegam num momento decisivo para a Europa. A diretiva NIS2 entrou em vigor na UE em janeiro de 2023, com prazo de transposi\u00e7\u00e3o para o direito nacional at\u00e9 17 de outubro de 2024. Em 2026, a aplica\u00e7\u00e3o concreta depende da lei de transposi\u00e7\u00e3o de cada pa\u00eds e da supervis\u00e3o das autoridades setoriais, mas o quadro sancionat\u00f3rio \u00e9 severo.<\/p>\n\n\n\n

O NIS2 prev\u00ea coimas m\u00e1ximas de pelo menos 10 milh\u00f5es de euros ou 2% do volume de neg\u00f3cios anual mundial<\/strong> para entidades essenciais, e de pelo menos 7 milh\u00f5es de euros ou 1,4% do volume de neg\u00f3cios<\/strong> para entidades importantes. As obriga\u00e7\u00f5es incluem gest\u00e3o de risco, notifica\u00e7\u00e3o de incidentes em prazos apertados e, de forma muito relevante face ao DBIR, gest\u00e3o da seguran\u00e7a da cadeia de fornecimento. Os detalhes do regime portugu\u00eas est\u00e3o analisados no nosso guia sobre o NIS2 em Portugal<\/a>.<\/p>\n\n\n\n

O cruzamento dos dois mundos \u00e9 direto. O DBIR diz que 48% das viola\u00e7\u00f5es envolvem terceiros e que apenas 26% das vulnerabilidades exploradas conhecidas s\u00e3o corrigidas a tempo. O NIS2 exige exatamente que as empresas governem esses dois riscos. O panorama nacional, com os ciberataques em Portugal a crescer acima da m\u00e9dia da UE<\/a>, torna o cumprimento n\u00e3o um exerc\u00edcio de papel, mas uma necessidade operacional.<\/p>\n\n\n\n

O que dizem os especialistas<\/h2>\n\n\n\n

A interpreta\u00e7\u00e3o dos dados divide os analistas entre quem v\u00ea confirma\u00e7\u00e3o de tend\u00eancias e quem v\u00ea um ponto de viragem. A equipa de investiga\u00e7\u00e3o do DBIR, liderada por Alex Pinto no Verizon Threat Research Advisory Center, tem defendido publicamente que a ind\u00fastria continua a falhar nos fundamentos, com a corre\u00e7\u00e3o de vulnerabilidades a ficar para tr\u00e1s ano ap\u00f3s ano.<\/p>\n\n\n\n

Sobre o agravamento da remedia\u00e7\u00e3o, a equipa do DBIR foi expl\u00edcita: “O nosso novo tempo mediano \u00e9 de 43 dias, quase duas semanas mais do que os 32 dias do ano passado.”<\/em> A leitura dos investigadores \u00e9 que o volume de vulnerabilidades cresce mais depressa do que a capacidade das equipas para as tratar.<\/p>\n\n\n\n

Krista Case, analista principal e respons\u00e1vel pela \u00e1rea de resili\u00eancia cibern\u00e9tica na theCUBE Research, enquadrou o relat\u00f3rio como a prova de um fosso entre risco e resposta. Na sua an\u00e1lise p\u00fablica ao DBIR 2026, sublinha que as organiza\u00e7\u00f5es conhecem os riscos, mas n\u00e3o conseguem agir com a rapidez necess\u00e1ria, sobretudo na gest\u00e3o de exposi\u00e7\u00e3o e na cadeia de fornecimento.<\/p>\n\n\n\n

Analistas de fornecedores de gest\u00e3o de vulnerabilidades, como a Tenable e a Nucleus Security, leram a edi\u00e7\u00e3o de 2026 como a confirma\u00e7\u00e3o de uma mudan\u00e7a de paradigma da gest\u00e3o de vulnerabilidades para a gest\u00e3o de exposi\u00e7\u00e3o. A mensagem comum \u00e9 que corrigir tudo \u00e9 imposs\u00edvel e que a prioridade tem de recair sobre as falhas comprovadamente exploradas, como as do cat\u00e1logo KEV da CISA.<\/p>\n\n\n\n

Cinco previs\u00f5es para o resto de 2026<\/h2>\n\n\n\n

Com base nos dados do DBIR e na trajet\u00f3ria do mercado, estas s\u00e3o cinco previs\u00f5es para os pr\u00f3ximos meses.<\/p>\n\n\n\n

    \n
  1. A gest\u00e3o de exposi\u00e7\u00e3o supera a gest\u00e3o de vulnerabilidades nos or\u00e7amentos.<\/strong> As empresas v\u00e3o deslocar verba da simples contagem de CVE para a prioriza\u00e7\u00e3o baseada em explora\u00e7\u00e3o real e em caminhos de ataque.<\/li>\n
  2. O phishing por voz e v\u00eddeo, potenciado por IA, dispara.<\/strong> A engenharia social com vozes e imagens sint\u00e9ticas dever\u00e1 crescer de forma acentuada, for\u00e7ando a verifica\u00e7\u00e3o fora de banda como norma.<\/li>\n
  3. A primeira grande coima NIS2 chega antes do fim de 2026.<\/strong> Com prazos de transposi\u00e7\u00e3o ultrapassados, \u00e9 prov\u00e1vel que uma autoridade europeia aplique uma san\u00e7\u00e3o de refer\u00eancia que servir\u00e1 de aviso.<\/li>\n
  4. A Shadow AI gera o primeiro incidente p\u00fablico de fuga de dados de grande dimens\u00e3o.<\/strong> O uso de ferramentas de IA com contas pessoais vai produzir uma exposi\u00e7\u00e3o de dados sens\u00edveis amplamente noticiada.<\/li>\n
  5. O tempo mediano de corre\u00e7\u00e3o piora antes de melhorar.<\/strong> Sem automa\u00e7\u00e3o de remedia\u00e7\u00e3o, o indicador de 43 dias arrisca subir antes de a press\u00e3o regulat\u00f3ria inverter a tend\u00eancia.<\/li>\n<\/ol>\n\n\n\n

    Como as empresas devem responder<\/h2>\n\n\n\n

    O DBIR 2026 n\u00e3o \u00e9 apenas um diagn\u00f3stico, \u00e9 uma lista de prioridades. A primeira \u00e9 reduzir a janela de corre\u00e7\u00e3o das vulnerabilidades exploradas. N\u00e3o se trata de corrigir tudo, mas de corrigir primeiro o que est\u00e1 no cat\u00e1logo KEV da CISA e exposto \u00e0 Internet. A automa\u00e7\u00e3o da remedia\u00e7\u00e3o deixa de ser luxo para passar a ser sobreviv\u00eancia.<\/p>\n\n\n\n

    A segunda prioridade \u00e9 fechar as lacunas de configura\u00e7\u00e3o. Os 37% de organiza\u00e7\u00f5es com contas de administrador em cloud sem MFA representam fruto f\u00e1cil de colher para os atacantes. Ativar MFA em todas as contas privilegiadas, em especial nas de infraestrutura, \u00e9 um controlo de baixo custo e alto impacto. Para equipas t\u00e9cnicas, vale a pena rever a implementa\u00e7\u00e3o de autentica\u00e7\u00e3o de dois fatores<\/a> nas pr\u00f3prias aplica\u00e7\u00f5es.<\/p>\n\n\n\n

    A terceira \u00e9 tratar a cadeia de fornecimento como extens\u00e3o do pr\u00f3prio per\u00edmetro. Inventariar fornecedores cr\u00edticos, exigir garantias de seguran\u00e7a contratuais e monitorizar acessos de terceiros responde diretamente ao dado dos 48%. A quarta \u00e9 governar o uso de IA, com pol\u00edticas claras e ferramentas aprovadas, para que a produtividade n\u00e3o se transforme em fuga de dados. Quem queira mapear o panorama completo deve come\u00e7ar pela leitura sobre como as viola\u00e7\u00f5es de dados acontecem e como se proteger<\/a>.<\/p>\n\n\n\n

    Related Coverage<\/h3>\n\n\n\n