Ataques em 2026 exploram confiança em vez de vulnerabilidades

O panorama global de ciberameaças está a mudar e os atacantes estão a afastar-se das técnicas tradicionais de intrusão para explorar sistemas e serviços já considerados confiáveis dentro das organizações. A conclusão consta do 2026 Cloudflare Threat Report, divulgado pela Cloudflare através da sua unidade de inteligência Cloudforce One.

O relatório assenta na análise de grandes volumes de telemetria recolhidos na infraestrutura global da empresa, cruzados com investigações próprias da equipa de threat intelligence. O modelo dominante está a migrar de ataques tecnicamente sofisticados para abordagens que exploram confiança, escala e eficiência operacional.

Em vez de investirem no desenvolvimento de exploits complexos, os cibercriminosos optam por métodos com maior probabilidade de sucesso e menor custo. A análise inclui dados de tráfego, campanhas de phishing, tentativas de login automatizadas e ataques DDoS observados na rede global da empresa.

A Cloudflare enquadra esta tendência no conceito de Measure of Effectiveness, uma métrica que avalia a relação entre esforço e impacto para os atacantes. Segundo a empresa, os cibercriminosos privilegiam técnicas que maximizam resultados com menos recursos, como o roubo de tokens de sessão, o abuso de infraestruturas cloud legítimas ou a automação suportada por inteligência artificial.

Oito tendências que definem as ameaças em 2026

O relatório identifica oito tendências principais que deverão marcar o panorama de cibersegurança ao longo de 2026.

Uma delas é o uso crescente de inteligência artificial generativa para automatizar tarefas ofensivas, incluindo reconhecimento de redes, desenvolvimento de exploits e criação de deepfakes, permitindo que atores com menor capacidade técnica realizem ataques sofisticados.

Outra tendência relevante é o pré-posicionamento de grupos patrocinados por Estado-Nação, que procuram infiltrar-se em infraestruturas críticas para garantir vantagens estratégicas a longo prazo. O relatório destaca operações associadas a grupos ligados à China que visam setores como telecomunicações, serviços governamentais e IT.

O estudo alerta também para o aumento do impacto de integrações SaaS com privilégios excessivos, que podem ampliar significativamente o alcance de um ataque.

Entre as outras tendências destacadas estão o uso de ferramentas cloud legítimas para camuflar atividades maliciosas, a utilização de deepfakes para infiltrar operacionais em empresas ocidentais, o roubo de tokens de sessão para contornar autenticação multifator, novas técnicas de spoofing interno em campanhas de phishing e o aumento de ataques DDoS hiper-volumétricos.

Ferramentas cloud legítimas como vetor de ataque

Uma das técnicas que mais preocupa os investigadores é o abuso de serviços cloud amplamente utilizados nas empresas. Plataformas como Google Drive, Microsoft Teams, Amazon S3, Dropbox ou GitHub estão a ser utilizadas para ocultar comunicações de comando e controlo ou alojar infraestruturas de ataque.

Este tipo de abordagem, frequentemente descrita como “living off the land”, permite que a atividade maliciosa se misture com tráfego legítimo, tornando a deteção significativamente mais difícil.

Os investigadores identificaram também o uso de serviços de envio de email em massa, como Amazon SES ou SendGrid, para distribuir campanhas de phishing ou malware em grande escala.

A análise de telemetria global da Cloudflare revela ainda a dimensão do problema. Segundo os dados recolhidos, 94% das tentativas de login na Internet são atualmente realizadas por bots e 63% envolvem credenciais já comprometidas anteriormente.

O relatório indica igualmente que ataques DDoS hiper-volumétricos continuam a crescer, com uma linha de base de 31,4 Tbps, impulsionados por botnets de grande escala.

Defesa terá de ser automatizada

Perante a velocidade e escala dos ataques atuais, a Cloudflare defende que os modelos tradicionais de defesa centrados em intervenção humana são cada vez menos eficazes.

O relatório conclui que as organizações terão de adotar modelos de defesa autónoma, baseados em visibilidade em tempo real e resposta automatizada, capazes de reagir à mesma velocidade das ameaças.

Segundo a empresa, a prioridade passa por reforçar a segurança das ligações entre sistemas, aplicações e identidades, o chamado “tecido conectivo” das infraestruturas digitais, onde os cibercriminosos estão agora a concentrar esforços.