O relatório de ameaças da ESET relativo ao segundo semestre de 2025 confirma esta evolução, apontando para uma industrialização clara do cibercrime. De acordo com a análise da empresa, a proliferação de modelos malware-as-a-service e ransomware-as-a-service está a permitir campanhas «altamente escaláveis, modulares e repetíveis», reduzindo de forma significativa os custos operacionais dos atacantes. Na leitura de Ricardo Neves, «o cibercrime funciona como um modelo de negócio altamente escalável, de baixo custo e baixo risco para o atacante, enquanto a defesa é, por natureza, complexa, dispendiosa e segmentada, exigindo investimentos contínuos em tecnologia, processos e pessoas».
Apesar de os dados da indústria demonstrarem que ataques lançados com investimentos reduzidos podem causar prejuízos de grande dimensão, muitas organizações continuam a investir menos em prevenção do que aquilo que acabam por perder quando ocorre um incidente de segurança. Ricardo Neves considera que esta realidade está ligada à forma como a cibersegurança é percepcionada internamente. «A cibersegurança é frequentemente encarada como um custo operacional e não como um investimento estratégico que traz retorno», afirma.
Segundo o responsável da ESET Portugal, esta abordagem é frequentemente acompanhada por uma subestimação do risco. «Existe a percepção de que a organização nunca é um alvo prioritário», refere, acrescentando que muitos decisores continuam a ter dificuldade em avaliar impactos indirectos como danos reputacionais, interrupções do negócio ou perda de clientes. Esta combinação contribui para que o investimento em prevenção continue aquém do necessário, sobretudo no universo das pequenas e médias empresas, onde, segundo Ricardo Neves, «o know-how e a maturidade em cibersegurança caminham a passo lento».
IA redefine ritmo de ataque
Sergio Pedroche, country manager da Qualys para Portugal e Espanha, defende que a automatização e a inteligência artificial estão a redefinir por completo o ritmo a que o cibercrime opera. «A automatização e a IA permitem aos atacantes identificar, priorizar e explorar vulnerabilidades a uma velocidade sem precedentes», afirma. À businessIT, o responsável explica que campanhas totalmente automatizadas conseguem «analisar milhares de sistemas em minutos, identificar quais estão mais expostos e adaptar os ataques em função das defesas encontradas».
Esta capacidade tem um impacto directo na gestão do risco por parte das organizações. Segundo Sergio Pedroche, «isto reduz drasticamente a janela de tempo entre a divulgação de uma vulnerabilidade e a sua exploração activa», criando uma pressão crescente sobre as equipas de segurança. Neste contexto, acrescenta, as organizações são obrigadas a «detectar e corrigir falhas de forma muito mais rápida e sistemática», sob pena de verem vulnerabilidades conhecidas transformarem-se rapidamente em pontos de entrada exploráveis.
A proliferação de serviços «as-a-service» na dark web é outro factor que, na leitura do responsável da Qualys, contribuiu decisivamente para esta aceleração do risco. Questionado sobre se este modelo tornou o cibercrime mais acessível, Sergio Pedroche é claro: «Claramente. O modelo “as-a-service” industrializou o cibercrime». Hoje, sublinha, «ataques sofisticados podem ser comprados como um serviço», reduzindo drasticamente a necessidade de conhecimento técnico por parte dos atacantes. Esta democratização do acesso a ferramentas ofensivas teve como consequência directa o aumento do volume e da diversidade das ameaças. «As organizações já não enfrentam apenas atacantes altamente especializados», alerta, «mas também um grande número de actores oportunistas que exploram vulnerabilidades conhecidas e facilmente acessíveis». O risco deixa, assim, de estar limitado a campanhas altamente direccionadas e passa a ser contínuo e difuso.
Neste panorama, as abordagens reactivas à segurança revelam-se insuficientes. Para Sergio Pedroche, o problema é sobretudo de tempo. «O ritmo actual dos ataques não permite esperar pela detecção de um incidente para agir», afirma. Em ambientes com milhares de activos e vulnerabilidades, acrescenta, «a resposta manual é lenta e ineficaz». A segurança moderna exige, por isso, «uma abordagem preventiva, baseada na identificação contínua de exposições, na priorização do risco real e na correcção antes da exploração». Reagir depois do ataque, conclui, «já não é suficiente quando o ataque pode acontecer minutos após a descoberta de uma falha».
