O relatório State of Identity Security 2026, publicado esta semana pela Sophos com base em respostas de 5.000 responsáveis do departamento de TI e cibersegurança em 17 países, deixa um aviso claro para as empresas. Dois terços dos casos de ransomware analisados começaram com um ataque ligado a identidades digitais. E em quase 43% dos incidentes, a porta de entrada foi um erro humano: um colaborador enganado a entregar os seus dados de acesso.
Não estamos a falar de esquemas dignos de filmes de espionagem. É um email que parece vir do chefe da tua empresa, uma notificação falsa do banco ou uma mensagem urgente que parece totalmente legítima, uma mensagem que imita os serviços que usas todos os dias. A inteligência artificial tornou estas mensagens quase impossíveis de distinguir das verdadeiras. E é precisamente o sentido de urgência ou pânico que os hackers procuram criar para te levar a agir antes de pensares duas vezes.
Uma password fraca chegou para acabar com 150 anos de história
O caso da transportadora britânica KNP Logistics, que faliu após um ataque de ransomware originado por uma password fraca, é o exemplo mais brutal do que os números do relatório descrevem. Não foi preciso explorar nenhuma falha técnica sofisticada. Os hackers conseguiram adivinhar a palavra-passe, entraram na rede, encriptaram os sistemas e exigiram um resgate de cinco milhões de libras. A empresa acabou por não conseguir pagar e fechou portas, deixando 700 pessoas sem emprego.
O relatório da Sophos mostra que este está longe de ser um caso isolado. As organizações com uma gestão fraca de acessos e palavras-passe gastam, em média, mais 128 mil euros para recuperar de um ataque, quando comparadas com empresas que têm medidas básicas de segurança devidamente implementadas.
O novo problema que a maioria das empresas ainda não viu
Para além do erro humano, o estudo aponta um segundo risco cada vez maior: as identidades não humanas. Falamos de chaves API, contas de serviço e acessos automáticos usados pelos sistemas para comunicarem entre si. Em 41% dos incidentes analisados, foi precisamente por aí que os hackers conseguiram entrar.
Com a proliferação de agentes de IA capazes de criar sub agentes de forma autónoma, cada uma gera novos acessos com permissões alargadas e permanentes, e o problema está a crescer mais depressa do que as equipas de segurança conseguem acompanhar. Apenas uma em cada três organizações faz auditorias regulares a este tipo de contas. E só 11% fazem esse acompanhamento de forma contínua.
Em Portugal, existe uma nova lei de cibersegurança que obriga as empresas a comunicar incidentes em 24 horas e responsabiliza diretamente os administradores pela segurança das redes. Mas uma lei não ensina um colaborador a identificar um email falso, nem garante que uma empresa altere regularmente os acessos das suas contas de serviço.
O que podes fazer já
A Sophos é direta nas recomendações: ativar a autenticação multifator em todas as contas sem exceção, aplicar o princípio do acesso mínimo e remover imediatamente contas inativas. Para o utilizador comum, a mensagem é mais simples ainda: se ainda não tens autenticação de dois fatores ativa nas tuas contas principais, estás a deixar a porta aberta.
Apenas 24% das organizações monitorizam de forma contínua tentativas de início de sessão invulgares. Mais de metade só verifica esse tipo de atividade de três em três meses. Na prática, isto significa que há empresas que passam até 90 dias sem detetar comportamentos suspeitos.
