2 639 ciberataques por semana em Portugal: a pressão continua (e o ransomware acelerou 33%)

A pressão cibernética sobre as organizações portuguesas voltou a subir em junho de 2026 — e a um ritmo superior ao do resto do mundo. Segundo os dados divulgados a 10 de julho pela Check Point Research, cada organização em Portugal enfrentou uma média de 2.639 ciberataques por semana, um aumento de 29% face a junho de 2025. O valor coloca o país 16% acima da média mundial (2.270 ataques semanais por organização) e 32% acima da média europeia (2.003).

Resposta rápida: em junho de 2026, as organizações portuguesas sofreram em média 2.639 ciberataques por semana (+29% homólogo), acima das médias mundial e europeia. O ransomware cresceu 33% a nível global, com um novo grupo — The Gentlemen — a assumir a liderança, e um em cada 26 prompts de IA generativa enviados de redes empresariais apresentou risco elevado de fuga de informação.

Portugal acima das médias mundial e europeia

A média nacional superou em 369 ataques semanais a média mundial e em 636 a média europeia. E a subida homóloga de 29% também foi mais acentuada do que o crescimento global (17%) e europeu (22%) — sinal de que a aceleração portuguesa não é apenas o reflexo de uma tendência internacional, mas uma pressão específica sobre o mercado nacional.

Na comparação europeia, Portugal ficou entre os mercados com maior atividade maliciosa: a República Checa registou 2.928 ataques semanais por organização, a Itália 2.602, a Suécia 2.432 e a Espanha 2.105. A distribuição do crescimento por vários países mostra, segundo a Check Point, que os atacantes não concentraram a atividade numa única economia ou indústria.

“O crescimento de 29% em Portugal não deve ser lido apenas como mais um número mensal”, afirma Rui Duro, Country Manager da Check Point Software em Portugal, sublinhando que as organizações nacionais operam num “cenário de pressão contínua” em que os atacantes alargam alvos, automatizam operações e exploram rapidamente qualquer fragilidade.

Panorama global: subida de 10% num único mês

A nível mundial, junho interrompeu o abrandamento observado em maio: o volume médio de ataques cresceu 10% de um mês para o outro e 17% em termos homólogos. A América Latina manteve-se como a região mais atacada (3.501 ataques semanais por organização, +27%), seguida da Ásia-Pacífico (3.060, +5%) e de África (3.008, apesar de uma redução de 9%). A Europa registou 2.003 ataques (+22%) e a América do Norte 1.612 (+14%).

Por setores, a Educação continuou a ser o alvo preferencial a nível mundial, com 4.816 ataques semanais por organização (+16%) — consequência de redes abertas, grande diversidade de utilizadores e recursos de segurança frequentemente limitados. Seguiram-se a Administração Pública (2.836, +5%) e as Telecomunicações (2.835, +13%).

Ransomware cresce 33% — e tem um novo líder

Os grupos de ransomware de dupla extorsão publicaram 646 vítimas nos seus sites de divulgação em junho, mais 33% do que no mesmo mês de 2025. Os Serviços Empresariais concentraram 31% dos casos, seguidos dos Bens e Serviços de Consumo (16%) e da Indústria Transformadora (14%). A evolução dos últimos três meses revela pressão crescente sobre setores com cadeias de fornecimento extensas: a quota dos Bens de Consumo subiu de 14% em abril para 16% em junho, e a da Administração Pública de 4% para 5,4%.

Geograficamente, a América do Norte concentrou 44% das vítimas divulgadas, mas a mudança mais acentuada veio da Ásia-Pacífico, que passou para segunda posição com 23% — a sua quota mundial subiu de 16,8% em abril para 22,6% em junho, um aumento superior a um terço em apenas dois meses, ultrapassando a Europa (22%).

Quem é o The Gentlemen, o grupo que destronou o Qilin

A alteração mais significativa do mês ocorreu na liderança do ecossistema criminoso. O The Gentlemen foi responsável por 17% dos ataques publicados em junho, ultrapassando o Qilin (11%), que dominava o ranking há vários meses. O LockBit — a operação lançada em 2019 e alvo de sucessivas ações policiais internacionais — recuperou atividade de forma expressiva, passando de 1% dos ataques divulgados em maio para 7% em junho, o suficiente para ocupar a terceira posição.

O The Gentlemen é uma operação de ransomware-as-a-service criada em meados de 2025 por um operador de língua russa conhecido como Hastalamuerte. O que a distingue é a combinação de dois papéis normalmente separados no cibercrime: recruta afiliados para executar ataques e atua simultaneamente como corretor de acesso inicial, oferecendo acesso autónomo a milhares de dispositivos FortiGate previamente comprometidos. Foi essa capacidade de “vender a porta de entrada” juntamente com a ferramenta de extorsão que lhe permitiu ganhar escala em menos de um ano — um exemplo de como novos intervenientes conseguem assumir rapidamente posições dominantes no ecossistema. O Qilin, ativo desde 2022, continua ainda assim entre as operações mais consolidadas, disponibilizando aos afiliados encriptação, infraestrutura de negociação e serviços de apoio.

IA generativa: um em cada 26 prompts com risco elevado de fuga

O relatório volta a quantificar um risco que cresce mais depressa do que a governação: a exposição de dados através de ferramentas de IA generativa. Em junho, 3,9% dos prompts enviados a partir de redes empresariais — um em cada 26 — apresentaram risco elevado de exposição de informação sensível, e 27% continham informação potencialmente sensível. A atividade de alto risco afetou 85% das organizações que utilizam regularmente estas ferramentas. Em média, cada organização usou sete ferramentas de IA diferentes ao longo do mês e cada utilizador produziu 78 prompts — confirmação de que estas plataformas já fazem parte do trabalho quotidiano.

A Europa igualou a média mundial de exposição (3,9%), atrás da América Latina (5,2%). Por setores, a Saúde registou a maior taxa de prompts de risco (5,7%), seguida das Telecomunicações e dos Serviços Empresariais (ambos 5,1%). Quanto ao tipo de informação exposta, os dados pessoais surgiram em 80% das organizações afetadas, seguidos de informação de redes e infraestruturas (62%), conteúdos jurídicos e regulamentares (61%), dados financeiros (60%) e registos de recursos humanos (57%).

Porque é que isto importa em Portugal

Estes números chegam num momento particularmente exigente para as organizações portuguesas. Milhares de entidades estão neste momento em processo de adaptação ao novo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a NIS2), que impõe medidas de gestão de risco e a notificação de incidentes significativos ao CNCS no prazo de 24 horas. Um volume de ataques 29% superior ao do ano passado significa, na prática, mais incidentes potencialmente notificáveis e maior probabilidade de as fragilidades serem encontradas antes de serem corrigidas.

O momento do ano também não ajuda: os dados de junho antecedem o período de férias, em que as equipas de TI e segurança operam com menos elementos e os atacantes historicamente intensificam a atividade. Para as PME — que raramente dispõem de equipas dedicadas —, a prioridade imediata passa por garantir cópias de segurança isoladas e testadas, autenticação multifator generalizada e atualizações em dia, sobretudo em equipamentos de perímetro como firewalls e VPN, precisamente a categoria de dispositivos (FortiGate) cujo acesso o The Gentlemen comercializa.

Já o dado da IA generativa merece atenção específica dos responsáveis de proteção de dados: com 80% das exposições a envolver dados pessoais, a fuga de informação através de prompts não é apenas um problema de segurança — é um potencial incidente RGPD. Definir políticas claras sobre que informação pode ser partilhada com estas ferramentas, e monitorizar a sua utilização, tornou-se parte integrante da conformidade.

Uma nota metodológica: os dados de ataques baseiam-se na rede global de sensores da Check Point, enquanto os números de ransomware provêm dos sites de divulgação dos próprios grupos criminosos — fontes que a Check Point reconhece terem limitações e possíveis enviesamentos, mas que fornecem uma indicação relevante da evolução do panorama.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Check Point Research no seu relatório mensal referente a junho de 2026.