Em 2026, a cibersegurança deixou de ser um problema técnico

Durante demasiado tempo, a cibersegurança foi tratada como uma preocupação lateral. Algo entregue aos informáticos, aos responsáveis de tecnologia, ou, no limite, aos auditores. Só ganhava verdadeira atenção quando já havia danos, quando sistemas paravam, quando dados desapareciam, ou quando o nome da organização surgia nas notícias pelos piores motivos. Em 2026, essa visão tornou-se insustentável.

A cibersegurança já não é um problema técnico. É um problema económico, estratégico e de continuidade. E é precisamente por isso que passou a ser central para a gestão.

Vivemos numa época de conflito permanente. Nem sempre o confronto assume a forma tradicional da guerra convencional, mas isso não o torna menos real. Há guerra económica, há guerra informacional, há pressão geopolítica constante, e há ciberguerra. O ciberespaço tornou-se um dos campos privilegiados desta confrontação porque é barato, escalável, difícil de atribuir, e particularmente eficaz contra sociedades e empresas profundamente dependentes da tecnologia. O NCSC britânico avisou, em março de 2026, para um risco indirecto acrescido para organizações com operações ou cadeias de abastecimento no Médio Oriente, justamente porque o ambiente geopolítico se traduz cada vez mais em actividade cibernética.

Mas o aspecto mais importante não é o aumento do número de ataques. É a evolução da sua natureza. O risco está a mudar e isso obriga a mudar também a forma como as empresas o pensam.

Os relatórios mais recentes da ENISA mostram um ambiente em que os grupos de ameaça exploram vulnerabilidades com rapidez crescente, reutilizam ferramentas, colaboram entre si e combinam várias técnicas numa mesma operação. O ransomware continua a ser uma das ameaças de maior impacto, mas não está sozinho. Há phishing, exploração directa de vulnerabilidades, comprometimento da cadeia de abastecimento, fuga de dados e campanhas de negação de serviço. Já não falamos de um atacante que entra apenas para cifrar ficheiros. Falamos de actores que entram, observam, copiam, escalam privilégios, exfiltram informação e só depois decidem se interrompem operações, se chantageiam, se divulgam dados ou se vendem acesso a terceiros.

Esta transformação tem consequências económicas óbvias. Uma empresa pode continuar a operar durante dias sem perceber que já foi comprometida. Pode acreditar que ainda controla a situação quando, na realidade, perdeu já controlo sobre informação crítica, segredos comerciais, credenciais e partes essenciais da sua capacidade operacional. Nesse momento, o dano deixa de ser apenas tecnológico e passa a ser financeiro, reputacional e estratégico.

Há ainda outro ponto que as empresas portuguesas, especialmente as de média dimensão, não podem ignorar. A tecnologia de ataque está cada vez mais democratizada. Hoje existe um verdadeiro mercado de serviços criminosos, ferramentas prontas a usar e infraestruturas que reduzem brutalmente as barreiras à entrada. A isto soma-se a inteligência artificial, que acelerou a produção de campanhas convincentes, automatizou partes da engenharia social e aumentou a escala do ataque. Tal não significa que a IA ataque sozinha, mas significa que atacar se está a tornar mais fácil, mais barato e mais rápido.

Do ponto de vista técnico, duas tendências merecem hoje atenção especial. A primeira é o crescimento dos ataques chamados “living off the land”, em que o intruso usa ferramentas legítimas já presentes nos sistemas comprometidos. Isto torna a detecção muito mais difícil, porque o comportamento malicioso se mistura com actividade aparentemente normal.

A segunda tendência é a dos ataques zero-click. Nestes casos, já nem sequer é preciso que o utilizador clique em algo suspeito. Basta que o sistema processe um conteúdo para que a vulnerabilidade seja explorada. O Project Zero da Google descreve estes ataques como explorações possíveis sem interacção do utilizador, o que altera profundamente a lógica da defesa baseada apenas em prudência individual.

Tudo isto leva-nos a concluir que a cibersegurança deixou de poder ser gerida como uma função de suporte. Tem de ser tratada como parte do próprio modelo de governação da empresa. Não basta investir em ferramentas. É preciso investir em resiliência. Não basta ter backups. É preciso saber se o negócio consegue continuar a operar sob pressão. Não basta fazer sensibilização. É preciso repensar acessos, dependências, fornecedores, processos críticos e tempos de resposta.

Para as empresas, a questão central em 2026 já não é “seremos atacados?”. A pergunta a fazer será outra: “quando formos pressionados, o que falha primeiro?”; Falha a operação? Falha a confiança dos clientes? Falha a cadeia de abastecimento? Falha a decisão? Falha a liderança?

É aqui que a cibersegurança se torna, finalmente, num tema de gestão de topo. Porque o que está em causa não é apenas a defesa dos sistemas. É a defesa da capacidade de decidir, continuar e competir num ambiente onde o conflito já não está fora da economia. Está dentro dela.

Paulo Cardoso do Amaral, professor da Católica Lisbon Business School & Economics