Recomendações tradicionais sobre “palavras-passe fortes” deixaram de ser suficientes para proteger organizações e utilizadores num cenário dominado por inteligência artificial generativa, malware infostealer e plataformas clandestinas de venda de credenciais roubadas, alerta a empresa de soluções de cibersegurança, Check Point.
Quando se assinala o World Password Day 2026, os especialistas da Check Point Research sublinham que o cibercrime evoluiu para uma verdadeira economia industrializada de “Cybercrime-as-a-Service” (CaaS), onde os atacantes já não precisam de invadir sistemas complexos, basta-lhes iniciar sessão com credenciais comprometidas.
Para a Check Point, o conceito clássico de palavra-passe segura perdeu eficácia num contexto em que malware especializado consegue extrair automaticamente credenciais armazenadas em browsers, aplicações e dispositivos pessoais, enquanto colaboradores partilham inadvertidamente informação sensível em plataformas de inteligência artificial não autorizadas.
“Estamos perante uma mudança estrutural no panorama das ameaças digitais. A segurança deixou de depender apenas da robustez de uma palavra-passe e passou a depender da capacidade de validar comportamentos, identidades e contextos em tempo real”, referiu, citado em comunicado, Rui Duro, Country Manager para Portugal da Check Point Software.
Os investigadores da Check Point Research revelaram que os tradicionais fóruns da dark web estão a ser substituídos por canais privados no Telegram e bots automatizados, permitindo a venda instantânea de acessos comprometidos.
Os dados recolhidos pela investigação da Check Point indicam que:
- Contas de redes sociais e email são vendidas entre 45 e 65 dólares
- Cartões bancários roubados podem custar entre 10 e 40 dólares
- Acessos administrativos a redes empresariais podem ultrapassar os 113 mil dólares
- Subscrições de malware infostealer como LummaC2 ou RedLine custam pouco mais de 100 dólares por mês
Um modelo que tornou o cibercrime acessível a atores pouco especializados, e levou a um aumento drástico do volume de ataques.
Para os investigadores da Check Point a reutilização de palavras-passe continua a ser um problema crítico, pois apesar de anos de campanhas de sensibilização, a reutilização de credenciais mantém-se um dos maiores riscos de segurança.
De acordo com os dados analisados pela Check Point:
- 94% das palavras-passe são reutilizadas em duas ou mais contas
- Apenas 3% cumprem totalmente as boas práticas definidas pelo NIST
- Quando uma plataforma sofre uma violação, ataques automáticos de credential stuffing conseguem comprometer centenas de serviços adicionais em segundos
A Check Point indicou que a Inteligência artificial tornou-se novo vector de fuga de informação, e destaca um crescimento alarmante da exposição involuntária de dados empresariais através de ferramentas GenAI.
Segundo os dados analisados pela Check Point:
- 45% dos colaboradores utilizam regularmente ferramentas de IA generativa
- 77% inserem diretamente informação empresarial em prompts de IA
- 82% dessas interações acontecem através de contas pessoais não geridas pelas organizações
- Em março de 2026, 1 em cada 28 prompts GenAI enviados a partir de ambientes empresariais apresentava elevado risco de fuga de informação sensível
Os grupos criminosos já colocaram à venda mais de 225 mil credenciais associadas ao ChatGPT e outras plataformas de IA, obtidas através de malware infostealer.
Outro dos alertas dos especialistas da Check Point é a de que o phishing com IA e deepfakes aumentam eficácia dos ataques o que mostra haver uma nova geração de ataques de phishing alimentados por inteligência artificial.
Atualmente, kits completos de “Phishing-as-a-Service” podem ser adquiridos por menos de 100 dólares mensais em canais clandestinos. A IA permite criar mensagens altamente credíveis, sem erros ortográficos e totalmente personalizadas.
Os dados recolhidas da Check Point apontam para:
- Taxas de clique até 54% superiores às campanhas tradicionais de phishing
- Crescimento de 3.000% nos ataques com deepfakes
- Clonagem de voz possível com apenas três segundos de áudio
A sofisticação destes ataques já provocou perdas multimilionárias. Um dos casos mais mediáticos envolveu uma videochamada falsa com deepfakes de executivos seniores que levou ao roubo de 25,6 milhões de dólares à empresa de engenharia Arup, referiu a Check Point.
Perante este cenário, a Check Point recomenda uma abordagem centrada na identidade e no comportamento, abandonando gradualmente a dependência exclusiva de palavras-passe.
Entre as principais recomendações estão:
- Adoção de autenticação passwordless e passkeys FIDO2
- Implementação de modelos Zero Trust centrados na identidade
- Monitorização contínua da dark web e canais Telegram
- Combinação de EDR e ITDR para deteção avançada de ameaças
- Controlo granular da utilização de ferramentas GenAI nos browsers empresariais
A Check Point alerta ainda que quase metade dos atuais ataques ransomware têm origem em credenciais VPN roubadas, enquanto o tempo médio de deteção de uma violação baseada em credenciais continua acima dos 240 dias.
“As palavras-passe deixaram de ser a chave do castelo. Tornaram-se um activo altamente comercializado no submundo digital. As organizações precisam de assumir que as credenciais serão inevitavelmente comprometidas e preparar-se para detectar rapidamente comportamentos suspeitos antes que os atacantes avancem para ransomware ou espionagem”, concluiu Rui Duro.
