O Centro Nacional de Cibersegurança (CNCS) publicou, a 30 de junho de 2026, o Boletim do Observatório de Cibersegurança n.º 2/2026, que sintetiza os desenvolvimentos mais relevantes do trimestre em políticas públicas, cibersabotagem, ciberespionagem, cibercrime e desinformação, com base exclusivamente em fontes abertas. Entre os destaques estão o arranque dos prazos legais do novo Regime Jurídico da Cibersegurança em Portugal, uma tentativa de sabotagem à rede elétrica polaca que esteve perto de causar um apagão em larga escala, e o regresso do infostealer Lumma — a variante mais detetada pelo CERT.PT em 2025.
Regulamento n.º 756/2026: o relógio do novo regime começou a contar
No plano nacional, o facto mais estruturante do trimestre é a publicação do Regulamento de execução do Regime Jurídico da Cibersegurança (Regulamento n.º 756/2026) e a disponibilização da plataforma MyCiber. Com a publicação, iniciou-se a contagem do prazo legal de 24 meses para a produção de efeitos das medidas de cibersegurança e da obrigatoriedade de comunicação do relatório anual pelas entidades essenciais. As entidades abrangidas têm agora a obrigação de identificação e registo na plataforma, podendo nesta primeira fase comunicar com as três autoridades competentes: o CNCS, a ANACOM e o Gabinete Nacional de Segurança (GNS).
Soberania tecnológica europeia em destaque
A nível europeu, o boletim assinala o pacote legislativo da Comissão Europeia para reforçar a “soberania tecnológica europeia” — resposta ao diagnóstico do relatório Draghi, segundo o qual a UE depende de fornecedores externos para mais de 80% dos seus produtos, serviços, infraestruturas e propriedade intelectual digitais. O pacote inclui a atualização do Chips Act, a proposta de regulamento CADA (Cloud and AI Development Act) — que prevê a classificação de fornecedores cloud em função do nível de dependência externa —, uma estratégia europeia de software open source e um plano de ação para a digitalização e IA no setor da energia.
Ainda neste eixo, o relatório NIS360 da ENISA coloca oito setores críticos na “zona de risco” — maturidade em cibersegurança inferior à média e criticidade que a excede: saúde, transportes ferroviários e marítimos, serviços de gestão de TIC, setor espacial, administração pública e abastecimento de água potável e tratamento de águas residuais. No polo oposto, banca, eletricidade e telecomunicações apresentam a maior maturidade, com avanços particularmente relevantes no setor do gás.
O boletim regista ainda dois episódios com leitura geopolítica: o governo dos Países Baixos bloqueou a venda da Solvinity — gestora da plataforma DigiD, o portal de acesso dos cidadãos à administração fiscal, segurança social e saúde — à norte-americana Kyndryl, invocando razões de “interesse público” ao abrigo da lei de controlo das telecomunicações (WOZT); e o Departamento do Comércio dos EUA ordenou à Anthropic, a 12 de junho, a suspensão do acesso de cidadãos estrangeiros — incluindo residentes nos EUA e trabalhadores da própria empresa — aos modelos de IA Fable 5 e Mythos 5, por razões de segurança nacional. A decisão surgiu poucas semanas após a empresa ter garantido às autoridades europeias o acesso ao Mythos, um modelo com capacidades avançadas de deteção e exploração de vulnerabilidades. O boletim cita ainda um estudo do AI Security Institute (AISI) segundo o qual as capacidades dos últimos modelos de IA têm vindo a duplicar, a um ritmo que ultrapassa as melhores previsões.
Cibersabotagem: Polónia evitou apagão por pouco
Na secção de disrupção, o caso mais grave é o da Polónia: as autoridades revelaram que, no final de dezembro de 2025, foi detetada e neutralizada uma operação de cibersabotagem dirigida à infraestrutura elétrica nacional, que visava comprometer as comunicações entre instalações de energias renováveis e operadores de distribuição — um incidente descrito como um dos mais graves dos últimos anos, que esteve perto de causar um apagão em larga escala. Mais recentemente, os serviços de informações polacos confirmaram ataques a estações de controlo de tratamento de água em cinco localidades, com acesso, em alguns casos, aos sistemas de controlo industrial (OT).
O boletim regista também o ataque DDoS que afetou as plataformas digitais da Deutsche Bahn em fevereiro — incluindo bilhética e horários —, lembrando que o setor dos transportes foi o segundo mais visado por grupos hacktivistas em 2025 (cerca de 12% dos incidentes, segundo o ENISA Threat Landscape 2025), e o ciberataque destrutivo à Stryker, empresa norte-americana de tecnologia médica estabelecida na Irlanda, que envolveu um wiper para eliminação massiva de dados e foi reivindicado pelo grupo Handala, coletivo hacktivista pró-palestina cuja atividade é recorrentemente associada a objetivos estratégicos iranianos.
Ciberespionagem: WinRAR, APT28 e uma cadeia de zero-days para iOS
No capítulo da ciberespionagem, o CNCS destaca a exploração generalizada da CVE-2025-8088 no WinRAR — uma falha crítica de path traversal corrigida em julho de 2025 mas que continua a servir de vetor de acesso inicial a atores estatais e cibercriminosos, tipicamente através de ficheiros RAR manipulados que combinam conteúdos legítimos com payloads ocultos.
O grupo APT28 (Fancy Bear) merece dupla referência: por um lado, uma campanha de ciberespionagem que explorou a vulnerabilidade CVE-2026-21509 no Microsoft Office apenas 24 horas após a sua divulgação pública, com spearphishing dirigido a ministérios da defesa, operadores de transportes e logística e entidades diplomáticas europeias, usando como isco narrativas geopolíticas ligadas à NATO; por outro, a exposição acidental de parte da sua infraestrutura de comando e controlo, que permitiu a investigadores aceder a milhares de emails, credenciais e contactos de vítimas — confirmando o foco em entidades governamentais e militares na Europa e revelando técnicas como a exploração de XSS em clientes webmail e a criação de regras de reencaminhamento automático de email para acesso persistente às comunicações.
É ainda referida a cadeia de exploração DarkSword para iOS, identificada pelo Google Threat Intelligence Group, que encadeia múltiplos zero-days — desde websites maliciosos com execução remota de código no browser até sandbox escape e elevação de privilégios — e é utilizada desde pelo menos novembro de 2025 tanto por fornecedores privados de spyware como por grupos estatais.
Cibercrime: DDoS a soldo, falsos ecrãs azuis e o regresso do Lumma
No plano do cibercrime, destaque para a operação internacional coordenada pela EUROPOL com forças de 21 países, incluindo Portugal, que apreendeu 53 domínios de serviços de DDoS a soldo (DDoS-for-hire), deteve quatro suspeitos e notificou mais de 75 000 utilizadores registados nestas plataformas ilegais.
O boletim documenta ainda uma campanha que combina a técnica de engenharia social ClickFix com falsos Blue Screen of Death gerados em HTML: emails de phishing que imitam cancelamentos de reservas de alojamento conduzem a páginas com um falso CAPTCHA que simula um erro crítico do sistema, induzindo a vítima a executar manualmente código malicioso. A mesma técnica sustenta o reaparecimento do LummaStealer, menos de um ano após a disrupção parcial da sua infraestrutura, agora distribuído pelo loader CastleLoader com execução em memória. O dado nacional é relevante: segundo o Relatório Anual de Segurança Interna 2025, citado no boletim, os infostealers representaram 94% de todas as variantes detetadas pelo CERT.PT em 2025, sendo o Lumma a mais observada.
Em França, dois episódios expõem a escala do problema da violação de dados pessoais: uma base de dados pública com mais de 45 milhões de registos de cidadãos franceses — agregando dados demográficos, de saúde, financeiros e de seguros, presumivelmente compilada por data brokers ilícitos — e o ciberataque à agência France Titres (ANTS), responsável pelos documentos de identidade, que expôs dados de 11,7 milhões de contas. Neste último caso, estima-se que o autor tenha sido um jovem sem conhecimentos técnicos avançados, que se limitou a explorar um erro de configuração através da manipulação de URLs.
Com impacto direto nas instituições europeias, o comprometimento da ferramenta open source de análise de vulnerabilidades Trivy — através de tag poisoning após a extração de um token privilegiado do GitHub Actions do projeto — serviu de vetor de acesso inicial à infraestrutura AWS da Comissão Europeia, segundo confirmação do CERT-EU. O ator TeamPCP exfiltrou vários gigabytes de dados de websites de várias unidades da Comissão e outras entidades da UE, posteriormente publicados pelo grupo de extorsão ShinyHunters.
Desinformação: burlas de investimento chegaram a Portugal
Na secção dedicada à desinformação e operações de informação (FIMI), o boletim refere uma infraestrutura global de burlas de investimento que recorreu a mais de 26 000 anúncios pagos em redes sociais, em mais de 15 línguas e pelo menos 25 países — incluindo Portugal. As campanhas clonavam páginas de meios de comunicação social reais, recorriam a typosquatting e fabricavam narrativas envolvendo figuras públicas, como falsos escândalos financeiros e falsas investigações a políticos, adaptadas a cada país.
Vulnerabilidades mais exploradas no trimestre
O boletim encerra com duas listas técnicas de referência para equipas de segurança: as vulnerabilidades mais exploradas no primeiro trimestre de 2026, segundo dados de incidentes do CERT.PT e do Vulnerability Report do CIRCL, e uma seleção do catálogo KEV (Known Exploited Vulnerabilities) da CISA. Entre as mais graves contam-se:
- CVE-2026-20131 — Cisco Secure Firewall Management Center (CVSS 10);
- CVE-2026-21858 — n8n (CVSS 10);
- CVE-2026-1731 — BeyondTrust Remote Support e Privileged Remote Access (CVSS 9.9);
- CVE-2025-14500 — IceWarp (CVSS 9.8);
- CVE-2026-20963 — Microsoft SharePoint (CVSS 9.8);
- CVE-2026-3055 — Citrix NetScaler ADC e Gateway (CVSS 9.3);
- CVE-2025-53521 — F5 BIG-IP (CVSS 9.3);
- CVE-2026-33634 — Trivy, da Aqua Security (CVSS 9.4), a falha associada ao ataque de cadeia de fornecimento descrito acima.
Porque é que isto importa
Para as organizações portuguesas, este boletim tem uma leitura prática imediata: com o Regulamento n.º 756/2026 publicado, os prazos do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a NIS2) já estão a correr — e o registo na plataforma MyCiber é o primeiro passo obrigatório. Ao mesmo tempo, o panorama de ameaças descrito — sabotagem de infraestruturas críticas na Europa, exploração de vulnerabilidades em menos de 24 horas, infostealers responsáveis por 94% das variantes detetadas pelo CERT.PT — mostra que o cumprimento regulatório e a gestão ativa de vulnerabilidades deixaram de ser exercícios separados: as listas de CVE publicadas pelo CNCS são um ponto de partida concreto para priorizar a correção.
O boletim completo pode ser consultado no site do CNCS: Boletim do Observatório de Cibersegurança do CNCS — N.º 2/2026 (PDF).
Esta informação tem caráter noticioso e baseia-se no Boletim do Observatório de Cibersegurança n.º 2/2026, publicado pelo CNCS a 30 de junho de 2026, e nas fontes públicas nele citadas.
