Briefing: Últimas sobre cibersegurança

O relatório da Fortinet evidencia uma escalada significativa das ciberameaças durante a época festiva de 2025, impulsionada por um ecossistema criminal profissionalizado. A proliferação de domínios fraudulentos e a venda de contas comprometidas exigem maior vigilância por parte de empresas e consumidores. As principais recomendações incluem a verificação da autenticidade dos websites, o uso de autenticação multifator e a recusa de redes inseguras para transações.

O relatório da Check Point para 2026 antecipa uma nova era de ciberameaças impulsionadas por IA autónoma, computação quântica e Web 4.0. Os pontos-chave incluem a urgência de preparação para os riscos quânticos, a evolução das táticas de ransomware, a sofisticação da fraude de identidade através de deepfakes e o imperativo legal da resiliência digital sob novas regulações como a NIS2.

As organizações devem adotar uma postura de segurança proativa, integrada e centrada em IA.

Uma grave vulnerabilidade no WhatsApp expôs metadados de 3,5 mil milhões de utilizadores ao explorar o sistema de verificação de números da plataforma. A falha, que permitia a enumeração massiva de contas, permaneceu por corrigir durante sete anos, apesar de avisos anteriores. Embora a Meta tenha implementado contramedidas, o incidente revela riscos de privacidade significativos e duradouros na mais popular aplicação de mensagens do mundo.

A violação de dados da Iberia, originada num fornecedor externo, expôs informações pessoais de clientes como nomes, e-mails e números de telefone. Embora os dados de pagamento não tenham sido comprometidos, o incidente realça os riscos persistentes associados à segurança da cadeia de fornecimento. A companhia aérea notificou os indivíduos afetados e as autoridades, implementando simultaneamente medidas de segurança reforçadas.

O malware Sturnus para Android representa uma ameaça significativa devido à sua capacidade de roubar credenciais bancárias e, simultaneamente, monitorizar mensagens encriptadas em plataformas como o WhatsApp.

Ao explorar os serviços de acessibilidade para ler o conteúdo do ecrã, contorna eficazmente a encriptação sem a quebrar.

Esta dupla funcionalidade torna-o uma ferramenta poderosa para os cibercriminosos que visam utilizadores europeus.

Um ataque massivo à cadeia de fornecimento resultou no roubo de dados da Salesforce de mais de 200 empresas. A violação foi executada através do comprometimento de aplicações de terceiros da Gainsight, e não dos sistemas da própria Salesforce. Este incidente sublinha a importância crítica de auditar e proteger todas as integrações de terceiros em ambientes corporativos na nuvem.

Portugal vai implementar um novo quadro legal de cibersegurança que expande as obrigações regulatórias a novos setores críticos e introduz medidas de segurança obrigatórias como a MFA. Uma mudança fundamental é a criação de responsabilidade individual para a gestão de topo, tanto no setor público como no privado, com o objetivo de elevar a cibersegurança a uma questão de governação de alto nível e de reforçar a resiliência digital do país.

O aumento do e-skimming representa uma ameaça significativa para os compradores online, com código malicioso a roubar dados de cartões de crédito de websites legítimos sem sinais visíveis.

O ataque, que triplicou em frequência, explora vulnerabilidades em scripts de terceiros.

Para mitigar o risco, os consumidores são aconselhados a usar métodos de pagamento seguros, como cartões virtuais e pagamentos tokenizados, e a manterem-se vigilantes a qualquer comportamento invulgar do navegador durante o checkout.

Os esquemas de chantagem por e-mail estão a tornar-se mais sofisticados, utilizando dados pessoais de fugas de informação para tornar as ameaças mais convincentes. A Kaspersky identificou táticas que vão desde falsas alegações de pirataria a personificações de assassinos e autoridades policiais. Estes ataques personalizados, que utilizam técnicas de evasão para contornar os filtros de spam, sublinham a crescente necessidade de uma proteção de dados robusta e de uma maior sensibilização dos utilizadores para combater tentativas de extorsão cada vez mais direcionadas.

Uma fuga de dados colossal, uma das maiores já registadas, expôs 1,3 mil milhões de palavras-passe únicas e quase 2 mil milhões de endereços de e-mail. Confirmado pelo serviço Have I Been Pwned, o incidente realça a necessidade crítica de os utilizadores abandonarem palavras-passe fracas ou reutilizadas. As principais conclusões são a necessidade imediata de alterar credenciais, adotar gestores de palavras-passe e ativar a autenticação de dois fatores para mitigar o risco generalizado de apropriação de contas.