As vulnerabilidades por corrigir deixaram de ser a principal porta de entrada do ransomware. Pela primeira vez em quatro anos, o vetor dominante é outro: a identidade. Segundo o relatório State of Ransomware 2026 da Sophos, divulgado a 15 de julho, 79% dos ataques de ransomware começaram com uma abordagem baseada em identidade — credenciais roubadas, phishing, emails maliciosos ou força bruta sobre contas legítimas.
Resposta rápida: o inquérito anual da Sophos a 2.158 responsáveis de TI e cibersegurança de 17 países, todos de organizações atingidas por ransomware nos últimos 12 meses, conclui que quatro em cada cinco ataques começam com identidades comprometidas. O email malicioso (26%) e o phishing (24%) lideram as causas de origem, as vulnerabilidades exploradas caíram de 32% para 18%, e — dado crítico — em 97% dos casos com credenciais comprometidas a autenticação multifator estava ativa de alguma forma, mas com lacunas de cobertura.
A queda das vulnerabilidades como vetor número um
O ranking das causas-raiz mudou de forma expressiva num só ano. O email malicioso subiu de 19% para 26% e o phishing de 18% para 24% — em conjunto, respondem por metade dos incidentes. As credenciais comprometidas mantiveram-se estáveis nos 23%, enquanto as vulnerabilidades exploradas caíram catorze pontos percentuais, de 32% para 18%. Os ataques de força bruta fecham a lista com 6%.
A leitura da Sophos é direta: os atacantes estão a privilegiar o caminho “mais fácil” — enganar pessoas e usar contas válidas — em vez de investir na exploração técnica de falhas. Isso não significa que as vulnerabilidades tenham deixado de importar: 59% dos pedidos de resgate em ataques iniciados por uma vulnerabilidade na firewall são de um milhão de dólares ou mais, contra 48% na média geral. O perímetro continua a ser um alvo de alto valor.
Quanto ao ponto de partida dos ataques dentro das infraestruturas, as organizações identificaram aplicações e sistemas expostos (38%), sessões de acesso remoto (30%), firewalls (21%) e VPN expostas (8%).
O paradoxo do MFA: presente em 97% dos casos, mas com buracos
O dado mais desconfortável do relatório é o que diz respeito à autenticação multifator. Em 97% das vítimas cuja causa-raiz foram credenciais comprometidas, o MFA estava ativo de alguma forma no momento do ataque. O problema não é a ausência do controlo — são as lacunas de cobertura: as contas SaaS costumam estar protegidas, mas as VPN, as consolas de administração de firewalls e as aplicações legadas frequentemente não estão.
O relatório complementar Active Adversary da Sophos, baseado em 661 casos reais de resposta a incidentes, chega à mesma conclusão: 67% das causas-raiz foram relacionadas com identidade e o MFA estava em falta onde era decisivo em 59% dos casos. Uma vez lá dentro, os atacantes demoram em mediana apenas 3,4 horas a chegar ao Active Directory.
Ross McKerchar, Chief Information Security Officer da Sophos, avisa que a experimentação de IA pelos criminosos pode acelerar a escala destes ataques, exigindo monitorização permanente do vetor mais explorado — “contas válidas roubadas e comprometidas” — e alerta que a evolução dos modelos de IA abertos dará aos atacantes vantagem crescente na descoberta de vulnerabilidades, pelo que confiar apenas no patching não chega.
Mais cifragem, menos pagamentos resolvidos com resgate
Entre as organizações atingidas, 56% viram os seus dados cifrados — uma subida face aos 50% de 2025 que inverte dois anos de tendência descendente, embora longe do pico de 75% registado em 2023. Em 16% dos casos, os dados foram simultaneamente cifrados e roubados.
Quando a cifragem acontece, o desfecho é praticamente uma moeda ao ar: 48% das organizações pagaram o resgate para recuperar os dados, mantendo a média dos últimos quatro anos nos 50%. Em sentido positivo, 66% recorreram às próprias cópias de segurança para restaurar informação, acima dos 54% do ano anterior — sinal de que o investimento em backups está a dar frutos.
As organizações mais pequenas continuam em desvantagem clara: apenas 34% das empresas com 100 a 250 colaboradores conseguiram travar o ataque antes da cifragem ou extorsão, contra 46% nas organizações de maior dimensão analisadas. Entre os fatores de exposição mais citados estão as lacunas de segurança na rede (62%), a falta de pessoas ou competências (58%) e um nível insuficiente de soluções de proteção (57%).
Porque é que isto importa em Portugal
Os números da Sophos ganham peso adicional no contexto português. Portugal registou em junho 2.639 ciberataques semanais por organização, 29% acima do ano anterior — e o grupo de ransomware que lidera atualmente o ecossistema criminoso, o The Gentlemen, é precisamente um corretor de acessos que comercializa credenciais e dispositivos comprometidos. O mercado de identidades roubadas não é uma abstração estatística: é o modelo de negócio dos grupos mais ativos.
Para as PME portuguesas — o segmento que o relatório mostra ser menos capaz de travar ataques a tempo — as prioridades práticas são claras: alargar o MFA resistente a phishing a todos os pontos de acesso, incluindo VPN, consolas de administração e aplicações antigas, e não apenas ao email e às aplicações na cloud; reduzir a exposição de serviços à internet; manter cópias de segurança isoladas e testadas; e garantir monitorização fora do horário de expediente, período em que a maioria dos ataques é desencadeada. Para as entidades abrangidas pelo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025), a gestão do risco de identidade é parte integrante das medidas exigidas.
Uma nota metodológica: o inquérito foi conduzido pela Vanson Bourne no primeiro trimestre de 2026, junto de organizações de 100 a 5.000 colaboradores em 15 setores, todas vítimas de ransomware nos 12 meses anteriores — Portugal não está entre os 17 países inquiridos, mas os padrões de ataque descritos são transversais ao mercado europeu.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Sophos no relatório State of Ransomware 2026.
