Roubo de Credenciais: o principal ataque nas organizações

Para empresas que gerem dezenas de clientes, este número não é apenas uma estatística, mas sim o ponto de partida para repensar a prioridade dos controlos de segurança.

Como são roubadas as credenciais?

O sistema de roubo de credenciais opera como uma cadeia de valor industrial. Cada elo tem operadores especializados, com margens e modelos de negócio próprios.

1. Infostealers: a fábrica de credenciais

Os infostealers, malware desenhado especificamente para extrair credenciais armazenadas em browsers ou clientes de email, são hoje o motor principal desta cadeia.

Existem softwares que operam em modelo Malware-as-a-Service (MaaS), cujo processo segue um fluxo muito claro:

• O utilizador executa um ficheiro malicioso (anexo de email, crack de software, anúncio falso);
• O infostealer extrai cookies de sessão, credenciais guardadas no browser, tokens de autenticação e dados de cartões;
• Os dados são empacotados em "logs" e enviados para o operador;
• Os logs são vendidos em mercados automatizados na dark web ou em canais Telegram.

O CrowdStrike Global Threat Report 2026 confirma a tendência: 82% das deteções em 2025 foram malware-free, ou seja, ataques que usaram credenciais válidas e outras técnicas em vez de malware tradicional. Desta forma, os atacantes deixam de necessitar de ultrapassar os mecanismos de defesa, passando a obter acesso através de vetores legítimos.

2. Phishing e credential harvesting

O phishing continua a ser o canal de distribuição mais eficaz para roubo direto de credenciais. Kits de phishing-as-a-service permitem capturar não apenas passwords, mas também tokens MFA em tempo real, neutralizando a autenticação multifator convencional.

O IBM X-Force Threat Intelligence Index 2026 reportou que milhares de credenciais de chatbots de IA apareceram à venda na dark web, um sinal claro de que os atacantes estão a adaptar os seus alvos ao que tem valor no mercado atual.

3. Credential stuffing e password spraying

Depois de uma breach, as combinações email/password são testadas automaticamente contra centenas de serviços. Com taxas de reutilização de passwords que variam entre 60% e 65% (segundo múltiplos estudos de higiene de credenciais), o credential stuffing tem ROI garantido para o atacante.

Esta realidade significa que uma única credencial comprometida num serviço pessoal pode dar acesso à infraestrutura de uma organização.

Porque é que as credenciais são o principal vetor de ataque

O sucesso das credenciais roubadas como vetor de ataque é uma consequência direta da forma como a segurança corporativa foi desenhada. A maioria dos controlos (antivírus, firewalls, sistemas de deteção de intrusão) foi concebida para identificar comportamento anómalo, malware e tráfego suspeito e não para distinguir um utilizador legítimo de um atacante que usa as suas credenciais.

É esta lacuna estrutural que torna as credenciais o ativo mais procurado no ecossistema criminal. Três fatores tornam as credenciais roubadas o vetor preferido dos atacantes:

Acesso imediato, sem ruído

Uma credencial válida não dispara alertas, não gera assinaturas de malware, não deixa artefactos forenses óbvios. O estudo da Verizon mencionado acima mostra que o tempo médio entre o uso de credenciais comprometidas e a deteção pode estender-se por semanas ou meses.

Escalabilidade

Um único log de infostealer pode conter credenciais para dezenas de serviços: VPN corporativa, Microsoft 365, painéis de administração, contas bancárias. O atacante compra um log a baixo custo e obtém potencialmente acesso a toda a superfície digital do utilizador.

Dificuldade de deteção

Quando o acesso é feito com credenciais legítimas, a distinção entre utilizador real e atacante depende de sinais comportamentais (geolocalização, horários, device fingerprint) que muitas empresas simplesmente não monitorizam.

O CrowdStrike reporta que o tempo de breakout, ou seja, o intervalo entre o acesso inicial e o movimento lateral, caiu para 27 segundos nos casos mais rápidos em 2025, com um aumento médio de 65% na velocidade de breakout face ao ano anterior.

Como resolver o problema?

Se as credenciais roubadas são o principal vetor de ataque, saber quando usernames, passwords e cookies de sessão aparecem em fontes ilícitas passa a ser um controlo básico. Para parceiros que gerem dezenas de clientes, o desafio passa por dar esta visibilidade sem adicionar mais carga operacional à equipa.

É precisamente aqui que o ID Watch da CyberInspect, marca a diferença. Este serviço monitoriza continuamente credenciais associadas aos domínios dos clientes e, quando deteta uma exposição relevante, notifica diretamente o utilizador afetado, com instruções claras sobre os passos seguintes. O parceiro não precisa de montar processos complexos nem gerir alertas manualmente, tendo a garantia de que os utilizadores são informados a agir.

Desta forma, o ID Watch permite ao parceiro oferecer um serviço crítico numa das principais superfícies de ataque atuais, com esforço mínimo da sua equipa e impacto direto na redução do risco dos clientes.

Referências

●       Verizon: 2025 Data Breach Investigations Report

●       CrowdStrike: 2026 Global Threat Report

●       IBM: X-Force Threat Intelligence Index 2026

●       IBM: Cost of a Data Breach Report 2025

●       ENISA: Threat Landscape 2025

Conteúdo co-produzido pela MediaNext e pela CyberInspect