Num mundo digital, a nossa identidade online tornou-se a chave que nos dá acesso a tudo: contas bancárias, e-mails, redes sociais, sistemas de trabalho e até serviços públicos. Proteger estas chaves digitais é hoje um dos maiores desafios: desde o cidadão comum até aos responsáveis de empresas que têm de garantir a segurança dos seus colaboradores e clientes. Para nos ajudar a entender melhor estas questões, falámos com Guido Grillenmeier, especialista em segurança digital com mais de 20 anos de experiência, reconhecido pela Microsoft como especialista de referência na área de Gestão de Identidades Digitais . Atualmente diretor chefe de Tecnologia na Semperis, para a Europa, Médio Oriente e África, Guido ajuda organizações em todo o mundo a protegerem a sua infraestrutura de identidade - o “coração” que controla quem tem acesso a quê - garantindo que os criminosos não possam assumir a nossa identidade e causar estragos.Pode explicar, em termos simples, o que é uma identidade digital e por que é tão importante protegê-la hoje em dia? A identidade digital é quem somos no mundo digital - não só num computador físico, mas na internet. Podemos compará-la a um passaporte: algo que prova quem somos. Em vez de uma fotografia e data de nascimento, usamos nomes de utilizador e palavras-passe. Infelizmente, as palavras-passe são muitas vezes fáceis de descobrir - por simples adivinhação ou porque há pessoas que, digamos, escolhem palavras-passe demasiado fáceis e previsíveis.A nossa vida está rodeada por palavras-passe, códigos e tudo isso...As pessoas provavelmente já nem conseguem fazer operações bancárias sem o telemóvel. Tornou-se um método tradicional. E se perderem o telemóvel, perdem também, digamos, a sua vida digital. Não serve só para provar quem somos - tenho os cartões de embarque no telemóvel. Já nem levo versão em papel quando viajo. Há imensas coisas que podíamos discutir sobre o que significa perder o telemóvel - e o que é preciso para recuperar o controlo. É por isso que a proteção é tão importante. Porque se alguém roubar a sua identidade digital, essa pessoa torna-se você - no mundo digital, na internet. E como é que protegemos essas credenciais? Usamos autenticação multifator - por exemplo, códigos enviados para o telemóvel - para dificultar o acesso por parte de atacantes. Mas há riscos menos óbvios, porque quando alguém entra no seu ambiente, mesmo que seja apenas no seu computador pessoal, há pequenos fragmentos de informação, chamados cookies. Se um invasor conseguir aceder ao seu computador, pode roubar esses cookies e usá-los para se fazer passar por si. Há pouco tempo soubemos de milhões de cookies roubados e vendidos na dark web - incluindo dados de utilizadores portugueses. Pode explicar como isso funciona e como é que os criminosos utilizam esses dados?Os cookies funcionam como prova local de que já fez login. Se forem copiados por um atacante, ele pode reutilizá-los para aceder às mesmas plataformas sem precisar de credenciais - inclusive com autenticação multifator validada.Quais são os principais métodos de ataque que os criminosos usam para roubar identidades digitais? Existem métodos novos?Phishing continua a ser o método mais comum - e-mails e sites falsos que convencem o utilizador a clicar e instalar malware. Podem simplesmente copiar os dados - mesmo que sejam confidenciais. E não é só para pedir resgates. Muitas vezes o objetivo é espionagem: aceder a dados que depois podem ser vendidos à concorrência. Por vezes pedem um resgate dizendo: “Se não pagarem, divulgamos os dados online.” Mas também ganham dinheiro a vendê-los. Quer sejam cookies, quer sejam credenciais, às vezes só sabemos desses roubos porque foram postos à venda na dark web. É assim que se faz dinheiro nesse submundo. Outros grupos criminosos pagam por esses dados. Há cibercriminosos organizados em “departamentos”, com tarefas especializadas em acesso inicial, que se focam no roubo de identidades e em encontrar pontos de entrada em empresas - como uma porta de rede aberta ou uma máquina mal protegida. Esse acesso inicial é vendido na dark web.. A dark web é mesmo assim tão ativa?É assustador entrar neste mundo, porque achamos que a internet é enorme - mas a dark web é ainda maior. Muito maior. E as pessoas não fazem ideia da dimensão daquilo que acontece neste submundo.E o que recomenda quando são pedidos resgates?Pagar nunca é uma boa ideia. Está a financiar criminosos, e não há garantias de que cumprem a palavra. Mesmo que devolvam os dados, podem voltar a atacar. Além disso, há implicações legais. O certo é preparar-se - com backups independentes, sistemas isolados, e procedimentos que não dependam da mesma infraestrutura.. O que é que uma empresa pode fazer para estar protegida?Tem de investir em ferramentas de deteção, criar planos de continuidade de negócio e recuperação de desastres, e sobretudo testar esses planos. Trabalhámos com uma empresa de telecomunicações fora da Europa cujo sistema de identidades estava totalmente controlado por atacantes. Conseguimos isolar o ambiente, recuperar o Active Directory (repositório de identidades) num sistema seguro e restaurar a operação. Noutra situação, uma empresa alemã perdeu tudo - backups, data centers, tudo foi encriptado. Só sobreviveu porque tinha backups offline.E os utilizadores comuns, como podem saber se foram comprometidos?Existe um site muito útil chamado “Have I Been Pwned?” - basta colocar o e-mail e verificar se esteve envolvido em algum roubo de dados. É gratuito e não requer login. Eu próprio uso esse site com regularidade para monitorizar os meus dados.Muitos gestores, sobretudo em pequenas e médias empresas, tendem a encarar o investimento em cibersegurança como algo que não é prioritário. Como é que se explica, a um CEO que os ataques podem acontecer a qualquer empresa - e que, se não se protegerem, os custos podem ser ainda maiores?Muitas PMEs acham que estão abaixo do radar. Mas muitas vezes, são alvos mais fáceis justamente porque não investem o suficiente em segurança. E para um atacante, um acesso pequeno fácil pode ser a porta para uma cadeia maior de ataques. Além disso, dados de pequenas empresas também valem dinheiro - para extorsão, espionagem industrial ou venda direta. .Em 2025, estima-se que o custo global do cibercrime atinja 10 biliões de dólares na economia global. É um número que nenhum de nós consegue realmente imaginar. Se empilharmos notas de 100 dólares até chegar a um milhão, temos uma pilha com um metro de altura. Para chegar aos 10 biliões, seriam 25 vezes a distância entre a Terra e a Estação Espacial Internacional. Imagine uma montanha. É incompreensível a quantidade de dinheiro - e isso mostra o poder que os cibercriminosos já têm.A pergunta não é “se”, mas “quando”. Se não tiver um plano de resposta, um contrato com uma equipa de incident response, ou backups offline… Portanto, não se preparar minimamente, não ter pelo menos um plano de resiliência, é o mesmo que jogar à roleta russa. Está-se a confiar apenas na sorte. E claro, cada um tem de fazer uma avaliação de risco para decidir quanto investir.. As empresas portuguesas estão sensibilizadas?Não conheço em detalhe a realidade de muitas empresas portuguesas no que toca ao seu estado atual em cibersegurança. Mas conheço os clientes da Semperis aqui em Portugal - e temos muitos. Os que já conversaram connosco e compreenderam o desafio à sua frente. Diria que, dentro da nossa base de clientes, Portugal não está mal posicionado. Mas também não quer dizer que esteja num bom estado. Na verdade, isso aplica-se a quase todos os países de que possamos falar. Ainda há muito trabalho a fazer. Porém, acho que a consciência de que a ameaça é real está a aumentar - e isso é bom. Porque assim que se compreende o problema, começam a surgir forças internas dentro da empresa que ajudam a seguir o caminho certo para atenuá-lo. E, com sorte, também vem o orçamento necessário para concretizar as medidas certas. A IA está a agravar este tipo de ataque?Sim, a IA permite criar phishing perfeito, escrever malware adaptado a cada situação, gerar vídeos e áudios falsos. Já existem ferramentas que qualquer criminoso pode usar para atacar sem saber programar. Isso está a crescer rapidamente. Com ferramentas como a Video 3 da Google, já é possível criar vídeos falsos praticamente indistinguíveis da realidade. Isso pode ser usado para disseminar desinformação - ou mesmo para enganar funcionários com mensagens aparentemente legítimas. A combinação de IA generativa e engenharia social é um desafio crescente.Mas a IA também ajuda na defesa - com deteção automática de comportamentos anómalos e alertas em tempo real. É um jogo do gato e do rato - só que agora jogado em velocidade ultra.O que é que os humanos ainda conseguem fazer melhor nesta área do que a inteligência artificial nos dias de hoje? Pessoas como o Guido…Podemos - e devemos - continuar a ensinar os nossos colaboradores a distinguir o que é legítimo e o que não é. Ensinar a diferenciar o bom do mau. Ensinar as pessoas a questionarem os e-mails que recebem, a verificar com os colegas, a não clicarem em tudo. Muitos ataques aproveitam o desejo das pessoas: um prémio, um aumento, uma boa notícia. A formação é essencial. E a capacidade humana de ligar sinais de alerta ainda é insubstituível.E a empresa pode ajudar com isso?Claro. A nível administrativo - e não apenas pessoal - as empresas têm de investir em ferramentas. Porque não se consegue reagir tão rapidamente sem elas. É preciso monitorizar o ambiente, estar preparado para reverter ações que um intruso possa ter executado - especialmente no sistema de identidades. Mas também é preciso ter um plano. Não se pode viver na ignorância, achar que “isto nunca nos vai acontecer”. É preciso ter um plano de recuperação de desastres, um plano de continuidade do negócio - e, tão importante quanto isso: praticar esses planos. Fazer exercícios. Nesses exercícios é que se descobrem falhas - e essas falhas ajudam a melhorar. Se não o fizer, torna-se uma vítima fácil.Olhando para o futuro: espera ataques ainda mais sofisticados? Ou acredita que a tecnologia está a evoluir para nos ajudar a proteger melhor?Acho que o cenário geopolítico atual em que vivemos não permite pensar que o comportamento malicioso na internet vá desaparecer em breve. Mesmo os ataques que estão a acontecer neste momento - e nem vou mencionar países, porque é algo que entristece -, muitos deles ocorrem em paralelo com conflitos físicos, e outras vezes acabam por atingir alvos inesperados. Foi o que aconteceu, por exemplo, com o NotPetya e a Maersk. O ataque era dirigido à Ucrânia, mas acabou por afetar toda a rede global da Maersk - e muitas outras vítimas. O mesmo pode acontecer a qualquer momento, com outros ataques dirigidos a um alvo específico, e que se alastram para empresas completamente alheias - que acabam por ser danos colaterais, mas que podem ser destruídas se o ataque se propagar com eficácia. Portanto, a batalha vai continuar. E a IA certamente vai tornar os ataques mais sofisticados. Mas também vai reforçar as ferramentas de defesa - tornando-as mais rápidas e eficazes no combate aos atacantes. A IA vai ajudar-nos neste domínio, sem dúvida. Mas as empresas que têm mais a temer são aquelas que não se preparam, que ignoram o problema até serem atacadas. No fundo, os atacantes são pessoas. Não são só bots automatizados. Sim, há automatização - mas muito ainda é feito por pessoas reais, que às vezes estão apenas a tentar sustentar as suas famílias. É um negócio. E se tornar mais difícil a vida desses atacantes, eles simplesmente passam ao alvo seguinte, onde é mais fácil entrar e ganhar dinheiro. Portanto, façam a vossa parte. Isso já é um bom começo. Vamos dificultar-lhes o trabalho.Tem uma última mensagem para as empresas?Sim. Façam a vossa parte. Mesmo que não consigam investir milhões, há sempre algo que podem fazer - formar equipas, manter backups offline, planear com antecedência. Se dificultarem o trabalho dos atacantes, eles passam ao próximo. E, acima de tudo, preparem-se antes - não no meio do caos.valentina.marcelina@dn.pt.Grupo liderado pela Sedes quer crescimento na lei de cibersegurança .Cibersegurança: "Estamos na III Guerra Mundial" e a tecnologia "está em todos os aspetos da nossa vida" .APAV ajudou 681 vítimas de cibercrimes em 2024 com violência sexual a aumentar