Palavras-passe fortes já não chegam em 2026

Ter uma palavra-passe forte já não é garantia de segurança. O alerta é da Check Point, que diz que a nova vaga de ataques usa inteligência artificial, malware que rouba credenciais e até canais privados no Telegram para vender acessos em segundos.

O problema é simples de perceber: hoje, muitos criminosos nem precisam de invadir sistemas. Basta-lhes comprar dados roubados, iniciar sessão e avançar para fraude, ransomware ou espionagem digital.

Porque é que as palavras-passe perderam eficácia

Durante anos, a recomendação foi clara: criar palavras-passe longas, complexas e diferentes. Isso continua a ajudar, mas já não resolve o problema por si só.

Segundo a empresa de cibersegurança, o cenário mudou com a popularização do chamado Cybercrime-as-a-Service. Na prática, há um mercado montado para vender credenciais, ferramentas de phishing e malware a preços baixos, mesmo a atacantes com pouca experiência.

Ou seja, a segurança já não depende apenas da força de uma password. Depende também de conseguir confirmar quem está a entrar, como entra e se o comportamento faz sentido naquele contexto.

Credenciais roubadas estão a ser vendidas como um produto normal

Uma das mudanças mais preocupantes é o local onde estes dados circulam. Em vez dos fóruns tradicionais da dark web, muitos negócios ilegais acontecem agora em canais privados do Telegram e através de bots automáticos.

De acordo com os dados partilhados pela Check Point Research, os preços mostram até que ponto este mercado está organizado:

• contas de redes sociais e email podem custar entre 45 e 65 dólares;
• cartões bancários roubados surgem por valores entre 10 e 40 dólares;
• acessos administrativos a redes empresariais podem ultrapassar os 113 mil dólares;
• subscrições mensais de malware infostealer, como LummaC2 ou RedLine, custam pouco mais de 100 dólares.

Isto torna o cibercrime mais acessível e acelera o número de ataques. Em muitos casos, o acesso já está pronto a usar.

A reutilização de palavras-passe continua a abrir a porta

Há um hábito antigo que continua a facilitar a vida aos atacantes: usar a mesma password em vários serviços.

Segundo a análise divulgada, 94% das palavras-passe são reutilizadas em pelo menos duas contas. Além disso, apenas 3% cumprem totalmente as boas práticas definidas pelo NIST.

O impacto é enorme. Se uma plataforma sofre uma fuga de dados, os atacantes podem testar essas mesmas credenciais noutros serviços quase instantaneamente, num processo conhecido como credential stuffing.

Porque isto importa no dia a dia

Para um utilizador comum, basta imaginar o seguinte: uma password exposta numa loja online pode acabar por abrir caminho ao email, às redes sociais ou até à conta bancária, se houver reutilização.

Nas empresas, o risco é ainda maior. Uma única conta comprometida pode servir de ponto de entrada para ataques mais graves.

IA generativa também está a aumentar a fuga de informação

A inteligência artificial trouxe novas ferramentas de produtividade, mas também abriu uma frente de risco que muitas organizações ainda não controlam bem.

A Check Point indica que 45% dos colaboradores usam regularmente ferramentas de IA generativa. O dado mais preocupante é outro: 77% introduzem diretamente informação empresarial nos pedidos feitos a essas plataformas.

Além disso, 82% dessas interações acontecem através de contas pessoais, fora da gestão da empresa. Em março de 2026, 1 em cada 28 pedidos feitos a ferramentas GenAI em ambientes empresariais apresentava risco elevado de fuga de dados sensíveis.

Como se não bastasse, mais de 225 mil credenciais associadas ao ChatGPT e a outras plataformas de IA já terão sido colocadas à venda por grupos criminosos, depois de serem roubadas com malware infostealer.

Phishing com IA e deepfakes estão a ficar mais eficazes

Outra tendência em crescimento é o uso de IA para criar campanhas de phishing muito mais convincentes. As mensagens já não chegam cheias de erros, nem com sinais óbvios de fraude.

Hoje, kits completos de Phishing-as-a-Service podem ser comprados por menos de 100 dólares por mês. Com ajuda da IA, os ataques ficam mais personalizados, mais credíveis e potencialmente mais perigosos.

• as taxas de clique podem ser até 54% superiores às campanhas tradicionais;
• os ataques com deepfakes cresceram 3.000%;
• a clonagem de voz já pode ser feita com apenas três segundos de áudio.

Um dos casos mais conhecidos envolveu uma falsa videochamada com deepfakes de executivos seniores, que levou ao roubo de 25,6 milhões de dólares à empresa de engenharia Arup.

O que muda na defesa digital em 2026

Perante este cenário, a recomendação é clara: deixar de depender exclusivamente de palavras-passe e avançar para uma estratégia centrada na identidade, no comportamento e na verificação contínua.

Entre as medidas destacadas estão:

• adoção de autenticação sem password e passkeys FIDO2;
• implementação de modelos Zero Trust focados na identidade;
• monitorização da dark web e de canais no Telegram;
• combinação de EDR e ITDR para detetar ameaças com mais rapidez;
• controlo mais rigoroso do uso de ferramentas GenAI em browsers empresariais.

A empresa refere ainda que quase metade dos ataques de ransomware começa com credenciais VPN roubadas. Ao mesmo tempo, o tempo médio para detetar uma violação baseada em credenciais continua acima dos 240 dias.

O sinal de alerta para utilizadores e empresas

A grande mensagem é esta: passwords fortes continuam a ser úteis, mas já não bastam. O cibercrime está mais rápido, mais barato e mais automatizado.

Para os utilizadores, isso significa ativar autenticação de dois fatores, evitar reutilizar credenciais e desconfiar de mensagens demasiado convincentes. Para as empresas, significa assumir que uma credencial pode ser comprometida a qualquer momento e preparar mecanismos para travar o ataque antes que escale.