As tradicionais palavras-passe fortes deixaram de ser suficientes para proteger utilizadores e empresas face à nova geração de ciberataques impulsionados por inteligência artificial, malware infostealer e mercados clandestinos de credenciais roubadas. O alerta foi lançado pela Check Point Software Technologies no âmbito do World Password Day 2026.
Segundo a empresa, o cibercrime evoluiu para um modelo industrializado de “Cybercrime-as-a-Service”, em que os atacantes conseguem comprar acessos comprometidos, ferramentas de phishing e malware por valores reduzidos, sem necessidade de grandes conhecimentos técnicos.
“Estamos perante uma mudança estrutural no panorama das ameaças digitais. A segurança deixou de depender apenas da robustez de uma palavra-passe e passou a depender da capacidade de validar comportamentos, identidades e contextos em tempo real”, afirma Rui Duro.
A investigação da Check Point Research revela que canais privados no Telegram estão a substituir os fóruns tradicionais da dark web na venda de credenciais roubadas. Contas de email e redes sociais são vendidas entre 45 e 65 dólares, enquanto acessos administrativos a redes empresariais podem ultrapassar os 113 mil dólares. Malware como LummaC2 e RedLine pode ser subscrito por pouco mais de 100 dólares por mês.
A empresa alerta ainda para a persistência da reutilização de passwords: 94% são usadas em mais do que uma conta e apenas 3% cumprem integralmente as recomendações do NIST. Paralelamente, o uso crescente de ferramentas de IA generativa em ambiente empresarial está a aumentar o risco de fuga de informação, com 77% dos colaboradores a introduzirem dados empresariais em plataformas GenAI.
A Check Point destaca também o aumento dos ataques de phishing criados com IA e deepfakes, que já apresentam taxas de clique até 54% superiores às campanhas tradicionais. Um dos casos mais mediáticos envolveu a Arup, vítima de uma fraude com deepfakes que resultou no roubo de 25,6 milhões de dólares.
