Palavras-passe fortes já não chegam para travar ciberataques
A Check Point Software Technologies defende que as recomendações tradicionais sobre palavras-passe fortes deixaram de ser suficientes para proteger empresas e utilizadores, num contexto marcado pela inteligência artificial generativa, malware especializado no roubo de credenciais e mercados clandestinos de venda de acessos comprometidos.
Por ocasião do World Password Day 2026, a empresa sublinha que o cibercrime evoluiu para um modelo industrializado de ‘Cybercrime-as-a-Service’, em que os atacantes já não precisam de invadir sistemas complexos, bastando-lhes entrar com credenciais roubadas.
Segundo Rui Duro, Country Manager da Check Point em Portugal, a segurança deixou de depender apenas da robustez de uma palavra-passe e passou a depender da capacidade de validar comportamentos, identidades e contextos em tempo real.
Dados da Check Point Research indicam que fóruns da dark web estão a ser substituídos por canais privados no Telegram e bots automatizados, que facilitam a venda imediata de acessos comprometidos. Contas de redes sociais e email são vendidas entre 45 e 65 dólares, cartões bancários roubados entre 10 e 40 dólares, acessos administrativos a redes empresariais podem ultrapassar 113 mil dólares e subscrições de malware infostealer custam pouco mais de 100 dólares por mês.
A empresa alerta ainda que 94% das palavras-passe continuam a ser reutilizadas em duas ou mais contas, enquanto apenas 3% cumprem integralmente as boas práticas definidas pelo NIST. Quando uma plataforma sofre uma violação, ataques automáticos de ‘credential stuffing’ conseguem testar essas mesmas credenciais em centenas de serviços adicionais em poucos segundos.
A utilização de ferramentas de IA generativa nas empresas também preocupa. Segundo a Check Point, 45% dos colaboradores usam regularmente estas plataformas, 77% inserem informação empresarial em prompts e 82% fazem-no através de contas pessoais. Em março de 2026, um em cada 28 prompts enviados a partir de ambientes empresariais apresentava elevado risco de fuga de informação sensível.
Ao mesmo tempo, campanhas de phishing criadas com IA estão a tornar-se mais eficazes, com taxas de clique até 54% superiores às tradicionais. A empresa refere ainda um aumento de 3.000% nos ataques com deepfakes.
Perante este cenário, a Check Point recomenda que as organizações reduzam a dependência exclusiva das palavras-passe e adoptem novas camadas de defesa, como autenticação ‘passwordless’ e ‘passkeys’ FIDO2, modelos Zero Trust centrados na identidade, monitorização da ‘dark web’ e Telegram, combinação de EDR e ITDR e controlo do uso de ferramentas GenAI nos browsers empresariais.
A empresa recorda ainda que quase metade dos ataques de ‘ransomware’ têm origem em credenciais VPN roubadas.
