A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder global em soluções de cibersegurança, alerta que as recomendações tradicionais sobre “palavras-passe fortes” deixaram de ser suficientes para proteger organizações e utilizadores num cenário dominado por inteligência artificial generativa, malware infostealer e plataformas clandestinas de venda de credenciais roubadas.
Por ocasião do World Password Day 2026, os especialistas da Check Point Research sublinham que o cibercrime evoluiu para uma verdadeira economia industrializada de “Cybercrime-as-a-Service” (CaaS), onde os atacantes já não precisam de invadir sistemas complexos, basta-lhes iniciar sessão com credenciais comprometidas.
Segundo a empresa, o conceito clássico de palavra-passe segura perdeu eficácia num contexto em que malware especializado consegue extrair automaticamente credenciais armazenadas em browsers, aplicações e dispositivos pessoais, enquanto colaboradores partilham inadvertidamente informação sensível em plataformas de inteligência artificial não autorizadas.
“Estamos perante uma mudança estrutural no panorama das ameaças digitais. A segurança deixou de depender apenas da robustez de uma palavra-passe e passou a depender da capacidade de validar comportamentos, identidades e contextos em tempo real”, refere Rui Duro, Country Manager para Portugal da Check Point Software.
Economia clandestina movimenta milhões com credenciais roubadas
Uma investigação da equipa da Check Point Research revela que os tradicionais fóruns da dark web estão a ser substituídos por canais privados no Telegram e bots automatizados, permitindo a venda instantânea de acessos comprometidos.
Os dados recolhidos pela Check Point indicam que:
- Contas de redes sociais e email são vendidas entre 45 e 65 dólares
- Cartões bancários roubados podem custar entre 10 e 40 dólares
- Acessos administrativos a redes empresariais podem ultrapassar os 113 mil dólares
- Subscrições de malware infostealer como LummaC2 ou RedLine custam pouco mais de 100 dólares por mês
Este modelo tornou o cibercrime acessível a actores pouco especializados, aumentando drasticamente o volume de ataques.
Reutilização de palavras-passe continua a ser um problema crítico
Apesar de anos de campanhas de sensibilização, a reutilização de credenciais mantém-se um dos maiores riscos de segurança.
De acordo com os dados analisados pela Check Point:
- 94% das palavras-passe são reutilizadas em duas ou mais contas
- Apenas 3% cumprem totalmente as boas práticas definidas pelo NIST
- Quando uma plataforma sofre uma violação, ataques automáticos de credential stuffing conseguem comprometer centenas de serviços adicionais em segundos
Inteligência artificial tornou-se novo vector de fuga de informação
A Check Point destaca ainda um crescimento alarmante da exposição involuntária de dados empresariais através de ferramentas GenAI.
Segundo os dados analisados:
- 45% dos colaboradores utilizam regularmente ferramentas de IA generativa
- 77% inserem directamente informação empresarial em prompts de IA
- 82% dessas interacções acontecem através de contas pessoais não geridas pelas organizações
- Em março de 2026, 1 em cada 28 prompts GenAI enviados a partir de ambientes empresariais apresentava elevado risco de fuga de informação sensível
Além disso, grupos criminosos já colocaram à venda mais de 225 mil credenciais associadas ao ChatGPT e outras plataformas de IA, obtidas através de malware infostealer.
Phishing com IA e deepfakes aumentam eficácia dos ataques
Os especialistas da Check Point alertam também para uma nova geração de ataques de phishing alimentados por inteligência artificial.
Actualmente, kits completos de “Phishing-as-a-Service” podem ser adquiridos por menos de 100 dólares mensais em canais clandestinos. A IA permite criar mensagens altamente credíveis, sem erros ortográficos e totalmente personalizadas.
Os dados apontam para:
- Taxas de clique até 54% superiores às campanhas tradicionais de phishing
- Crescimento de 3.000% nos ataques com deepfakes
- Clonagem de voz possível com apenas três segundos de áudio
A sofisticação destes ataques já provocou perdas multimilionárias. Um dos casos mais mediáticos envolveu uma videochamada falsa com deepfakes de executivos seniores que levou ao roubo de 25,6 milhões de dólares à empresa de engenharia Arup.
Estratégia de defesa para 2026
Perante este cenário, a Check Point recomenda uma abordagem centrada na identidade e no comportamento, abandonando gradualmente a dependência exclusiva de palavras-passe.
Entre as principais recomendações estão:
- Adopção de autenticação passwordless e passkeys FIDO2
- Implementação de modelos Zero Trust centrados na identidade
- Monitorização contínua da dark web e canais Telegram
- Combinação de EDR e ITDR para detecção avançada de ameaças
- Controlo granular da utilização de ferramentas GenAI nos browsers empresariais
A empresa alerta ainda que quase metade dos ataques ransomware actuais têm origem em credenciais VPN roubadas, enquanto o tempo médio de detecção de uma violação baseada em credenciais continua acima dos 240 dias.
“As palavras-passe deixaram de ser a chave do castelo. Tornaram-se um activo altamente comercializado no submundo digital. As organizações precisam de assumir que as credenciais serão inevitavelmente comprometidas e preparar-se para detectar rapidamente comportamentos suspeitos antes que os atacantes avancem para ransomware ou espionagem”, conclui Rui Duro.