IA e identidade redefinem ameaças em 2026

Os ciberataques estão a tornar-se mais rápidos, abrangentes e difíceis de conter, impulsionados pela utilização crescente de Inteligência Artificial (IA), pela exploração de identidades comprometidas e pela expansão do risco na cadeia de fornecimento de software. A conclusão consta do Unit 42 2026 Global Incident Response Report, que analisou mais de 750 incidentes graves em mais de 50 países.

O relatório identifica uma mudança clara na forma como as intrusões evoluem. Os atacantes estão a reduzir o tempo entre o acesso inicial e o impacto no negócio, explorando múltiplas superfícies de ataque em simultâneo. Nos incidentes mais céleres analisados, foram suficientes 72 minutos para evoluir do acesso inicial à exfiltração de dados, um intervalo quatro vezes inferior ao registado no ano anterior.

Identidade como vetor principal

As fragilidades de identidade estiveram presentes em quase 90% das investigações conduzidas pela Unit 42 da Palo Alto Networks. Em vez de recorrerem a técnicas sofisticadas de exploração, os atacantes utilizam credenciais e tokens roubados para “iniciar sessão” em sistemas legítimos, explorando ambientes de identidade fragmentados para escalar privilégios e mover-se lateralmente sem acionar alertas tradicionais.

O relatório sublinha que o excesso de confiança em relações de identidade e permissões excessivas permite transformar uma conta comprometida num incidente de larga escala.

Cadeia de fornecimento e SaaS ampliam impacto

Em 23% dos incidentes analisados, os atacantes exploraram aplicações SaaS de terceiros. Ao abusar de integrações consideradas confiáveis, ferramentas de fornecedores e dependências aplicacionais, conseguem ultrapassar perímetros tradicionais e alargar o impacto além de um único sistema.

A complexidade dos ataques também está a aumentar. Em 87% das intrusões foi registada atividade em múltiplas superfícies, seja endpoints, rede, cloud, SaaS ou sistemas de identidade, obrigando as equipas de segurança a monitorizar ambientes híbridos de forma integrada.

Browser e extorsão sem encriptação

O browser surge como campo de batalha central, com 48% dos incidentes a envolverem atividade baseada em browser. Ataques cruzam fluxos de trabalho quotidianos, como email e aplicações SaaS, transformando comportamentos normais dos utilizadores em vetores de ameaça.

A extorsão também está a evoluir. A encriptação como componente central de ataques ransomware diminuiu 15% face ao ano anterior. Cada vez mais grupos optam por roubo de dados e disrupção direta, estratégia considerada mais rápida e discreta.

Exposição continua a superar sofisticação

Apesar do aumento da automação e da velocidade, a maioria das intrusões não começa com vulnerabilidades inéditas, mas com falhas recorrentes. Em mais de 90% dos incidentes, configurações incorretas ou lacunas na cobertura de segurança facilitaram o ataque.

A proliferação de ferramentas é apontada como um fator crítico. Muitas organizações operam 50 ou mais produtos de segurança, dificultando implementação consistente de controlos e visibilidade clara dos sinais de alerta.

Em vários casos, os indícios estavam presentes nos logs, mas a fragmentação de dados atrasou a deteção durante os minutos mais críticos após o acesso inicial.

Três prioridades para 2026

Com base nas investigações realizadas, a Unit 42 identifica três frentes críticas de atuação: reduzir a exposição, tratando integrações de terceiros, ligações SaaS e atividade em browser com o mesmo nível de controlo aplicado à infraestrutura central; limitar a área de impacto, através de uma gestão de identidades mais rigorosa e da eliminação de permissões excessivas que ampliam o risco; e acelerar a capacidade de resposta, reforçando a visibilidade transversal sobre o ambiente e recorrendo a inteligência artificial para priorizar e conter ciberameaças ao mesmo ritmo a que evoluem os atacantes.

O relatório conclui que os atacantes continuam a explorar complexidade, visibilidade limitada e confiança excessiva nos ambientes empresariais modernos. Num cenário em que a IA acelera tanto defesa como ataque, a capacidade de resposta nos primeiros minutos após a intrusão torna-se determinante para evitar que um incidente evolua para uma violação de segurança com impacto significativo.