2024 Relatorio Ciberseguranca em Portugal CNCS 1720370498

Centro Nacional
de Cibersegurança
PORTUGAL
RELATÓRIO
CIBERSEGURANÇA
EM PORTUGAL
Riscos
JULHO DE 2024
& CONFLITOS
5ª E D I Ç Ã O
NextGenerationEU
FICHA TÉCNICA
Autoria e edição: Centro Nacional de Cibersegurança

Design: Nova Agência
Tiragem: 100 exemplares
2
Centro Nacional
de Cibersegurança
PORTUGAL
ÍNDICE
5 Sumário executivo
6 1. Análise global
14 2. Destaques
21 A. Introdução
23 B. Incidentes e Cibercrime
23 Incidentes
23 Atividade do CERT.PT
42 Incidentes registados pelos membros da RNCSIRT
44 Notificações à CNPD sobre violações de dados pessoais
49 Cibercrime
49 Registos da cibercriminalidade em Portugal (DGPJ)
58 Entradas de registos de crimes na UNC3T da PJ
61 Denúncias ao Gabinete Cibercrime da PGR
66 Linha Internet Segura
73 C. Ameaças, Tendências e Desafios
73 Ameaças
73 Perceção de risco - resultados de inquérito a comunidade CNCS
78 Agentes de ameaça críticos para o ciberespaço de interesse nacional
82 Tendências e Desafios
82 Contexto internacional
83 Indicadores de incidentes e cibercrime em relatórios internacionais
85 Principais tendências com possível impacto nacional
88 D. Briefing da Estratégia Nacional de Segurança do Ciberespaço
90 E. Recomendações e Recursos
92 F. Notas Conclusivas
93 G. Notas Metodológicas
95 H. Entidades Parceiras
96 I. Observatório de Cibersegurança do CNCS
97 J. Termos, Siglas e Abreviaturas
103 K. Referências Principais
107 Anexo I – Linhas de Ação da ENSC – Riscos e Conflitos 2024
108 Anexo II – Tipo de ataque malicioso mais relevante em Guia para Gestão dos Riscos
DESTACARAM-SE
COMO CIBERAMEAÇAS
MAIS RELEVANTES O
RANSOMWARE, O PHISHING
E SMISHING, OUTRAS
FORMAS DE ENGENHARIA
SOCIAL, AS BURLAS ONLINE
E O COMPROMETIMENTO DE
CONTAS.
4
Centro Nacional
de Cibersegurança
PORTUGAL
SUMÁRIO
EXECUTIVO
A
s ameaças que afetam o ciberespaço alteram-se ao longo do
tempo sob o efeito dos novos usos de serviços digitais, das ino-
vações tecnológicas e das mudanças no contexto económico,
social e geopolítico envolvente, entre outros fatores. É perante esta
instabilidade que é fundamental atualizar de forma regular o conhe-
cimento sobre as ciberameaças que atingem o ciberespaço de inte-
resse nacional. Em resposta a esta necessidade, o Observatório de Ci-
bersegurança do Centro Nacional de Cibersegurança (CNCS) publica
anualmente o presente Relatório Cibersegurança em Portugal – tema
Riscos e Conflitos, sendo esta a sua quinta edição.
Tal como em anos anteriores, o texto de 2024 apresenta os principais
dados sobre as ciberameaças que afetaram o ciberespaço de interesse
nacional no ano transato, perspetivando as tendências mais relevantes
para o ano presente e o futuro próximo. Este documento tem como um
dos seus objetivos informar a comunidade sobre este tema de modo a
promover estratégias de mitigação dos riscos atualizadas relativamen-
te às ameaças que persistem ou emergem.
O relatório divide-se em duas partes principais:
• Incidentes e Cibercrime, em que são apresentados os dados
estatísticos e outros sobre as ciberameaças que afetaram o
ciberespaço de interesse nacional;
• Ameaças e Tendências, em que se analisam as ameaças que
explicam os incidentes e os cibercrimes ocorridos, bem como as
tendências que podem marcar o futuro.
Enquanto a primeira destas duas partes se concentra sobre o que
efetivamente ocorreu, a segunda conjetura sobre as causas que pode-
rão estar na origem do que aconteceu e poderá vir a ocorrer. Nestas
duas abordagens articulam-se os dados disponibilizados e os contribu-
tos qualitativos dos parceiros envolvidos na construção do documento.
Esta integração numa visão panorâmica é aprofundada no primeiro tó-
pico do relatório, em Análise Global (já de seguida), onde se expõe uma
síntese e as principais conclusões.
Este estudo resulta da recolha de dados e perspetivas junto de di-
versos parceiros, tais como autoridades, instituições produtoras de es-
tatísticas, associações e outras entidades com responsabilidades na se-
gurança do ciberespaço de interesse nacional. Além desta agregação
de contributos de entidades parceiras, são também realizados inqué-
ritos a algumas comunidades. Os resultados são considerados à luz de
documentação nacional e internacional sobre estas matérias. Com este
trabalho procura-se, por um lado, disponibilizar ao leitor dados para
consulta; por outro, oferecer uma visão abrangente e integrada sobre
as principais ameaças detetadas no ciberespaço de interesse nacional.
5
1. ANÁLISE GLOBAL
Em Análise Global apresenta-se uma súmula dos principais dados e
perspetivas partilhados neste documento, não apenas como síntese,
mas sobretudo como resultado de uma leitura integrada dos diversos
contributos dos parceiros na construção deste relatório.1
AMEAÇAS
A criminalidade informática no ciberespaço

de interesse nacional aumentou em 2023,
embora o número de incidentes de ciberse-
gurança tenha estabilizado segundo alguns
indicadores. Destacaram-se como cibera-
meaças mais relevantes o ransomware, o
phishing e smishing, outras formas de enge-
nharia social, as burlas online e o compro-
metimento de contas.
OS CASOS ASSOCIADOS À Em 2023, ocorreram menos in-

cidentes com elevada visibilidade
EXPLORAÇÃO DO FATOR HU-
social no ciberespaço de interesse
MANO TIVERAM MUITA IMPOR- nacional do que em 2022. No en-
TÂNCIA, PROVOCANDO AMIÚ- tanto, a atividade maliciosa foi in-
DE PREJUÍZOS ECONÓMICOS tensa e com efeitos negativos em
NAS VÍTIMAS. serviços e infraestruturas digitais.

O número de crimes informáticos
registados pelas autoridades con-
tinuou a aumentar (ainda que menos do que no ano anterior), embo-
ra o de incidentes identificados pela Equipa de Resposta a Incidentes
de Segurança Informática Nacional (CERT.PT) tenha estabilizado. O
ransomware foi a ciberameaça com maior relevância, sobretudo pelo
elevado impacto e pelo tipo de organização afetada, como, por exem-
plo, a Administração Pública Local – todavia, o CERT.PT e a Comissão
Nacional de Proteção de Dados (CNPD) registaram menos casos de
ransomware em 2023 face ao ano anterior, o que reforça a importân-
cia de uma análise que considere, além do número, o impacto dos
ciberataques.
Os casos associados à exploração do fator humano tiveram muita
importância, provocando amiúde prejuízos económicos nas vítimas,
nomeadamente os ataques de phishing, smishing (por vezes acom-
panhado pelo uso enganador de identificador de SMS da entidade
autêntica, o spoofing) e de diversas formas de engenharia social mais
1. Para uma compreensão mais aprofundada sobre a metodologia utilizada e a taxonomia

desenvolvida para realizar a análise integrada dos dados apresentados, consultar a nota
metodológica no final deste relatório.
2. Estes e outros termos são explicados no capítulo Termos, Abreviaturas e Siglas, no fim
do documento.
6
elaboradas, como CEO Fraud e chamadas telefónicas fraudulentas
(algumas também com spoofing do número de telefone)2. No âmbito
da criminalidade mais registada, a burla online, frequentemente rela-
cionada com o comércio eletrónico e as transações monetárias, bem
como situações ligadas ao abuso de cartões bancários, tiveram par-
ticular saliência, ainda que estas práticas criminosas não se incluam
nos tipos de crimes descritos na Lei do Cibercrime.
Em algumas situações de phishing, smishing e outras formas de
engenharia social foram capturados dados das vítimas, como creden-
ciais de acesso a contas, que poderão ter contribuído para uma outra
ciberameaça relevante, o comprometimento de contas, a partir da
qual diversas ações maliciosas podem ocorrer, como o ransomware
ou o envio de emails fraudulentos. Na realidade, algumas das cibe-
rameaças relevantes estão necessariamente correlacionadas entre si.
Figura 1
CIBERAMEAÇAS MAIS RELEVANTES EM PORTUGAL, 2023 – TOP 5*
Ransomware
5 2
Comprometi- Phishing e
mento de contas Smishing
Ciberameaças
mais relevantes
4 3
Engenharia
Burlas online
social
* Ordenação estabelecida com base em cálculo que considera a redundância entre fontes, a abrangência de cada fonte
e o potencial impacto de cada ciberameaça. Para aprofundar esta matéria, consultar o capítulo Notas Metodológicas.
Fonte: CNCS
7
Os ciberataques com mais impacto no ci-
berespaço de interesse nacional em 2023
foram sobretudo de ransomware e com um
efeito local, afetando a Administração Públi-
ca Local. No entanto, verificaram-se alguns
casos de indisponibilidade de serviços com
alcance nacional.
Enquanto em 2022 os incidentes de elevado impacto tiveram con-

sequências visíveis para um grande número de utilizadores e cidadãos
em geral, afetando a disponibilidade de serviços de alcance nacional, em
2023 proliferaram incidentes com impacto local, nomeadamente ata-
ques de ransomware a Câmaras Municipais e a uma organização local
do setor das Águas. No entanto, algumas organizações da Administra-
ção Pública Central também foram alvos de ataques de ransomware.
Com alcance nacional, destacou-se uma interrupção generaliza-
da de serviços digitais devido a uma indisponibilidade numa infraes-
trutura causada por falha tecnológica; contendo também um efeito
disruptivo, mas de caráter intencional e com pendor ideológico, me-
recem também menção o defacement a um grupo de media e a ne-
gação de serviço distribuída (DDoS) a uma entidade da Administra-
ção Pública Central.
Para lá dos níveis de impacto, em termos de número, o quarto tri-
mestre de 2023 sobressaiu como aquele em que se registaram mais
ações maliciosas online, tendo em conta os dados do CERT.PT, da Rede
Nacional de Equipas de Resposta a Incidentes de Segurança Informá-
tica (RNCSIRT) e da Associação Portuguesa de Apoio à Vítima (APAV).
Figura 2
CRONOLOGIA DE ATAQUES NO CIBERESPAÇO COM IMPACTO ELEVADO EM PORTUGAL, 2023*
Ransomware Ransomware a Ransonware Ransomware a

a entidade Ransomware entidade do Ensino a entidade do entidade da Ransomware
do Setor da a 2 Câmaras Superior e a Setor da Administração a Câmara
Saúde Municipais Câmara Municipal Saúde Pública Central Municipal
JANEIRO MARÇO MAIO AGOSTO OUTUBRO DEZEMBRO
FEVEREIRO ABRIL JUNHO SETEMBRO NOVEMBRO
Defacement Ransomware Interrupação DDoS a entidade da Ransomware

a Grupo de a entidade da de Infraestrutura Administração Pública a Câmara
Media Administração Digital Central e Municipal
Pública Central e a Ransomware a
Câmara Municipal Câmara Municipal
*Consideram-se como ataques no ciberespaço com impacto elevado os incidentes com efeitos relevantes nos serviços e infraestrutu-
ras e/ou com visibilidade social, cuja investigação já tenha revelado conclusões suficientes para serem descritos
Fonte: CNCS
8
Os cibercriminosos, os atores estatais e os
hacktivistas foram os agentes de ameaça
mais relevantes a atuar no ciberespaço de
interesse nacional em 2023.
Em 2023, as tipologias de agentes de ameaça mais relevantes a

atuar no ciberespaço de interesse nacional foram os cibercriminosos,
os atores estatais e os hacktivistas, à semelhança de anos anteriores.
Em termos de número e de impacto, os ciberataques realizados
por cibercriminosos foram dominantes, sendo este o agente de amea-
ça mais envolvido nos cinco tipos de ciberameaças mais relevantes
em 2023 (ver quadro 1). A importância do ransomware, por exemplo,
esteve ligada ao cibercrime internacional, frequentemente marca-
do pelo cibercrime-como-serviço, em que um determinado grupo (o
operador) disponibiliza uma infraestrutura e instrumentos tecnoló-
gicos para que outros (os afiliados), que compram esse serviço, be-
neficiem do mesmo na realização dos seus ataques, partilhando os
ganhos. Ciberameaças como o phishing e smishing, as outras formas
de engenharia social, como as que usam chamadas telefónicas para
personificar entidades (com o uso de vishing e spoofing), e as burlas
online (sobretudo de comércio eletrónico e investimentos), qualquer
delas com elevado pendor na exploração das vulnerabilidades do fa-
tor humano, tiveram forte relação com o cibercrime internacional - no
entanto, existem grupos nacionais mais ou menos organizados que
praticaram este tipo de criminalidade.
Os atores estatais e os hacktivistas, embora com menor volume
de atividades visíveis do que o cibercrime, também atuaram no ci-
berespaço de interesse nacional em 2023. O contexto de guerras na
Ucrânia e no Médio Oriente promoveu a polarização internacional e
movimentações de diversos atores para se afirmarem de forma estra-
tégica e ideológica no ciberespaço, algo que começa a intensificar-se
a partir de 2022. Os atores estatais realizaram principalmente ações
de ciberespionagem, com apetência para a aplicação de técnicas
de recolha de informação e intrusão. O hacktivismo internacional de
cunho “patriótico”, por sua vez, com uma atividade muito intensa no
ciberespaço europeu, empreendeu ações a nível nacional com vista à
disrupção dos alvos utilizando para o efeito meios de reduzida sofisti-
cação técnica. Enquanto os atores estatais tenderam para uma maior
complexidade tecnológica e uma menor visibilidade, os hacktivistas
atuaram segundo uma lógica inversa.
9
Quadro 1
QUADRO DE AMEAÇAS: CIBERAMEAÇAS/AGENTES DE AMEAÇA CRÍTICOS EM

PORTUGAL, 2023/2024
TOP 10 - Ciberameaças/
Cibercriminosos Atores Estatais Hacktivistas
TOP 3 - Agentes de ameaça
Ransomware
Phishing e Smishing
Engenharia Social (várias)
Burlas Online
Comprometimento de Contas
Extorsão
Tentativa de Login
Negação de Serviço Distribuída (DDoS)
Ciberespionagem
Exploração de Vulnerabilidades
Agentes de ameaça e ciberameaças com relevância elevada em Portugal durante 2023/2024.

Agentes de ameaça e ciberameaças com relevância média em Portugal durante 2023/2024.
Ciberameaça com frequência elevada como prática dos agentes de ameaça em causa em Portugal.
Ciberameaça com frequência média como prática dos agentes de ameaça em causa em Portugal.
Ciberameaça com frequência baixa ou inexistente como prática dos agentes de ameaça em causa em Portugal.
Fonte: CNCS
Os indivíduos e as PME foram as vítimas mais

frequentes de ciberataques durante 2023.
Contudo, a Administração Pública Local foi o
tipo de alvo que sofreu mais impactos.
As vítimas afetadas por ciberataques em 2023 com mais regula-

ridade foram, mais do que setores em particular, os indivíduos e as
pequenas e médias empresas (PME), sobretudo enquanto alvos de
phishing, smishing, outras formas de engenharia social e burlas onli-
ne. Alguns destes casos, nomeadamente os de phishing e smishing,
10
bem como algum vishing (com spoofing), personificaram marcas que
se tornaram vítimas indiretas por esta via, como é o caso das marcas
da Banca. No entanto, em termos de impacto, como referido, a Ad-
ministração Pública Local destacou-se como vítima de ransomware,
além de comprometimentos de conta e phishing. Em termos de se-
tores, a Educação, Ciência, Tecnologia e Ensino Superior, bem como a
Saúde, também foram alvos relevantes.
PERCEÇÕES E TENDÊNCIAS
Existe uma perceção elevada de que au-

mentou o risco de uma entidade sofrer um
incidente de cibersegurança no ciberespaço
de interesse nacional em 2023 e 2024.
Há uma perceção elevada entre profissionais de cibersegurança

de que aumentou o risco de uma entidade sofrer um incidente de
cibersegurança no ciberespaço de interesse nacional em 2023 e 2024.
Esta perceção foi bastante influenciada pela guerra na Ucrânia. Para
estes profissionais, as ciberameaças mais relevantes em 2023 foram o
phishing e o smishing; quanto aos agentes de ameaça mais relevan-
tes, foram os cibercriminosos. A Internet das Coisas foi a tecnologia
emergente considerada mais desafiante para a cibersegurança. Con-
tudo, perspetivando 2024, a Inteligência Artificial (IA) adquire ainda
mais importância.
Relativamente a tendências com impacto nacional, apresentam-
-se seis grandes tópicos que poderão marcar o futuro próximo do
ciberespaço, alguns persistentes, como a exploração de vulnerabili-
dades, outros emergentes, como o aumento da desinformação com
base em conteúdos de IA generativa.
Figura 3
TENDÊNCIAS PARA O FUTURO PRÓXIMO
Persistência
Potenciar do de ameaças que
Aumento das
cibercrime por via exploram o factor
infeções através de
de um maior uso de humano, bem como
pens USB
criptomoedas ransomware e
infostealers
Mais
Exploração de Risco de
desinformação com
vulnerabilidades cibersabotagem e
conteúdos de lA
"dia 0" hacktivismo
generativa
Fonte: CNCS
11
CENÁRIOS DE AMEAÇA AO CIBERESPAÇO DE
INTERESSE NACIONAL
A identificação de cenários de ameaça neste documento disponibi-

liza quadros de previsibilidade para a prevenção de incidentes de ciber-
segurança, com base em casos registados e tendências identificadas.
Para lá da atividade regular maliciosa ligada à criminalidade comum
e às interações sociais, existem pelo menos três cenários de ameaça
com características específicas que importa detalhar. Dois deles po-
dem considerar-se persistentes (1 e 2) e outro emergente (3), embora já
o seja na edição anterior deste relatório.
O primeiro cenário é o da cibercriminalidade internacional, alguma
dela cibercrime-como-serviço, altamente organizada e “profissionali-
zada”. Os grupos que praticam este tipo de crime procuram adquirir
ganhos económicos através de ataques de ransomware, mas também
de phishing e smishing, ou outras ações de engenharia social, como
CEO Fraud ou vishing. Os cidadãos em geral, as PME, a Administração
Pública e setores como a Banca e a Saúde são alvos importantes destes
criminosos.
O segundo cenário persistente é o que resulta do contexto geopo-
lítico e estratégico das guerras na Ucrânia e no Médio Oriente, situa-
ção que estimula a polarização político-ideológica e a beligerância
online, quer através de ciberespionagem por parte de Estados, quer
de cibersabotagem de hacktivista que se consideram patrióticos
ou são apenas politicamente comprometidos. Enquanto a guerra
na Ucrânia já no anterior relatório era apontada como causa desta
cenarização, de momento a guerra entre Israel e o Hamas traz uma
nova vertente a este cenário, complexificando a quantidade e o tipo
de atores envolvidos. Nestes casos, os potenciais alvos são entidades
fundamentais para a soberania e para o funcionamento da socieda-
de, tais como operadores de serviços essenciais, Administração Pú-
blica e órgãos de soberania.
Por fim, à semelhança da edição do ano passado, emerge o cená-
rio relacionado com a disseminação de plataformas de IA generativa
disponíveis ao utilizador comum e com grande capacidade para a cria-
ção de conteúdos falsos muito verosímeis e para a automatização de
processos de desenvolvimentos técnicos maliciosos, como código in-
formático. O fácil acesso a esta tecnologia é uma oportunidade para
indivíduos com poucas competências técnicas, mas motivados, pra-
ticarem crimes; para grupos criminosos que assim podem massificar
processos de geração de conteúdos para ações de engenharia social;
e para atores estatais e hacktivistas com interesse na disseminação de
desinformação. Qualquer cidadão, PME, Administração Pública ou ór-
gão de soberania pode ser alvo de ataques deste género.
12
Quadro 2
CENÁRIOS DE AMEAÇA A AFETAR O CIBERESPAÇO DE INTERESSE NACIONAL
Cenário persistente Cenário persistente (2) - Ameaças Cenário emergente (3) – Ameaças típicas
(1) - Ameaças típicas da típicas do contexto geopolítico e do contexto de facilitação do cibercrime
cibercriminalidade internacional estratégico das guerras na Ucrânia por via da IA
e no Médio Oriente
Agentes de ameaça próprios Agentes de ameaça próprios Agentes de ameaça próprios deste cenário:
deste cenário: cibercriminosos deste cenário: atores estatais script kiddies com objetivos reputacionais
com objetivos económicos. e paraestatais com objetivos e económicos; atores estatais e
geopolíticos e estratégicos (e paraestatais com objetivos geopolíticos e
ameaças persistentes avançadas); estratégicos; hacktivistas com objetivos
hacktivistas com objetivos ideológicos; e cibercriminosos com
ideológicos. objetivos económicos.
Tipologias de ações hostis neste Tipologias de ações hostis neste Tipologias de ações hostis neste cenário:
cenário*: cenário: · abuso de IA;
· burlas online; · ciberespionagem; · burlas online;
· comprometimento de contas; · comprometimento de cadeias de · comprometimento de contas;
· engenharia social; fornecimento; · deep fakes;
· phishing e smishing; · comprometimento de contas; · desinformação variada;
· ransomware. · comprometimento de sistemas · engenharia social;
próprios do trabalho remoto; · exploração de vulnerabilidades;
· DDoS; · phishing.
· defacements;
· desinformação (incluindo via IA)
· exploração de vulnerabilidades;
· intrusões;
· phishing e spear phishing;
· ransomware e/ou cibersabotagem.
Temas e alvos: cidadão em geral, Temas e alvos: operadores de Temas e alvos: cidadão em geral, PME,
PME, Administração Pública, serviços essenciais, Administração Administração Pública e órgãos de
Banca e Saúde. Pública e órgãos de soberania. soberania.
Fonte: CNCS
*Nem todas as ações hostis consideradas relevantes são consequência sempre e necessariamente dos agentes de ameaça típicos do
cenário em causa, embora tendencialmente sim.
ESTRATÉGIA NACIONAL DE SEGURANÇA DO

CIBERESPAÇO 2019-2023
As análises apresentadas neste relatório permitem avaliar o estado

atual da cibersegurança no país no que diz respeito a incidentes, ciber-
crimes e ameaças, à luz dos objetivos fixados pela Estratégia Nacional
de Segurança do Ciberespaço 2019-2023 (ENSC), de modo a perceber se
os objetivos desta ENSC estão ou não a ser atingidos. Pelo menos quatro
eixos da ENSC têm uma relação com as perspetivas apresentadas:
• 2 - Prevenção, educação sensibilização;
• 3 - Proteção do ciberespaço e das infraestruturas;
• 4 - Resposta às ameaças e combate ao cibercrime;
• e 6 - Cooperação nacional e internacional.
Por um lado, o aumento da quantidade e da complexidade das amea-

ças é um indicador negativo, exercendo pressão sobre as linhas de ação
dos eixos 2 e 3, exigindo mais à prevenção e à proteção. Por outro, a cons-
trução do presente documento, a capacidade de identificação de inci-
dentes e ameaças, bem como as análises partilhadas, são indicadores po-
sitivos respeitantes a várias linhas de ação dos eixos 4 e 6, na medida em
que mostram que existem esforços de resposta e cooperação nacionais.
13
2 . DESTAQUES
INCIDENTES E CIBERCRIME EM PORTUGAL
Em 2023, o CERT.PT registou 2025 incidentes de cibersegurança, ape-

nas mais dois do que o ano anterior (CERT.PT).
Há uma tendência para o CERT.PT registar mais incidentes no quarto

trimestre dos anos, algo que se repete em 2023 (CERT.PT).
Verificou-se, em termos proporcionais, um aumento de incidentes

registados pelo CERT.PT a ocorrer em entidades privadas, comparan-
do com as públicas, passando-se de 67% em 2022 para 76% em 2023
(CERT.PT).
Os setores e áreas governativas com mais incidentes registados pelo

CERT.PT em 2023 foram os Prestadores de Serviços de Internet (26%
do total), a Banca (10%) e a Saúde (8%). Os Prestadores de Serviços de
Internet e a Saúde subiram significativamente face a 2022, 249% e
106%, respetivamente (CERT.PT).
O phishing/smishing foi o tipo de incidente mais registado pelo

CERT.PT em quase todos os setores e áreas governativas, contudo,
no âmbito dos Prestadores de Serviços de Internet predominou a
tentativa de login (66% do setor) e, na Administração Local, o com-
prometimento de conta não privilegiada (23%) (CERT.PT).
Os tipos de incidentes mais registados pelo CERT.PT em 2023 foram o

phishing/smishing (35% do total), a tentativa de login (19%) e a enge-
nharia social (10%) (CERT.PT).
As marcas mais simuladas nos ataques de phishing/smishing regista-

dos pelo CERT.PT em 2023 foram as da Banca (37% do total, mas me-
nos 34% do que em 2022). Seguem-se as marcas de Serviços de Email
e outros (31%) e de Transportes e Logística (20%). As marcas de Redes
Sociais, embora residuais (2%), registaram um aumento significativo
(mais 186%) (CERT.PT).
14
Os subtipos de engenharia social com mais registos no CERT.PT em
2023 foram o vishing (35% do total), a CEO Fraud (31%) e a sextortion
(13%) (CERT.PT).
Entre os vários tipos de incidentes que envolvem malware, as famílias

de malware mais frequentes nos registos do CERT.PT em 2023 foram
o SystemBC (53,8% do total), o GuLoader (11,8%) e o Agent Tesla (9,7%)
(CERT.PT).
No âmbito da atividade do CERT.PT, apesar do seu elevado impacto,

registaram-se menos casos de ransomware em 2023 do que em 2022,
passando-se de 69 para 57 (CERT.PT)
As famílias de ransomware mais identificadas pelo CERT.PT em

2023 foram o Play (9,3% do total), o Lockbit 2.0 (5,6%) e o Mallox (5,6%)
(CERT.PT).
A RNCSIRT (inclui CERT.PT) registou cerca de 168 mil incidentes de

cibersegurança em 2023 (RNCSIRT).
Tal como no caso do CERT.PT, também na RNCSIRT se registaram

mais incidentes no quatro trimestre do que nos restantes trimestres
de 2023 (RNCSIRT).
Os tipos de incidentes mais frequentes na RNCSIRT em 2023 foram

o scanning (27% do total), a tentativa de login (24%) e o sniffing (8%)
(RNCSIRT).
Registaram-se mais 11% de notificações de violações de dados pes-

soais à CNPD, passando-se de 367 em 2022 para 409 em 2023 (CNPD).
A proporção entre entidades públicas e privadas a realizar notifica-

ções à CNPD em 2023 foi semelhante à dos registos do CERT.PT – 26%
das primeiras e 74% das segundas (CNPD).
15
Entre as entidades públicas, destaca-se a Administração Local como
a que tem mais notificações à CNPD em 2023 (37% do total); entre as
privadas, o Comércio e Serviços (32%) (CNPD).
A confidencialidade foi o princípio da informação com mais comprome-

timentos notificados à CNPD em 2023, em 68% dos casos - a falha huma-
na surge como a origem mais frequente (23%), sendo que o ransomware
(15%) desce significativamente face a 2022 (menos 44%) (CNPD).
As autoridades policiais registaram 2512 crimes informáticos (da Lei

do Cibercrime) em 2023, mais 13% do que em 2022 – com destaque
para o acesso/interceção ilegítimos e a falsidade informática (esta
cresceu 33%) (DGPJ).
Entre os crimes explicitamente informáticos, mas não incluídos na Lei

do Cibercrime, continua a destacar-se a burla informática/comunica-
ções, com 20159 registos pelas autoridades policiais em 2023, embora
FALSO
menos 4% do que no ano anterior – este é o crime relacionado com a
informática com mais registos ao longo dos anos (DGPJ).
Em 2022, em relação a crimes explicitamente relacionados com a in-

formática, verificou-se um aumento de 18% no número de condena-
dos e de 58% no de arguidos (DGPJ).
A maioria dos condenados singulares por crimes explicitamente rela-

cionados com informática em 2022 é homem (67%) e tem entre 21 e
39 anos de idade (56%) (DGPJ).
No âmbito de crimes não explicitamente informáticos (excluindo cri-

mes informáticos, bem como burla e devassa por meios informáticos),
mas que ocorreram no ciberespaço, a UNC3T registou 13 374 entradas
em 2023 (contra pessoas, património e Estado), mais 59% do que no
ano anterior (PJ)
O crime não explicitamente informático com mais ocorrências no

ciberespaço registado pela UNC3T em 2023 foi o crime de abuso de
cartão de garantia/dispositivo ou dados de pagamento, com cerca
de 10 mil entradas, mais 70% face a 2022 (PJ).
16
Os casos mais denunciados ao Gabinete Cibercrime da PGR no primei-
ro semestre de 2023 (sem dados sobre o segundo semestre) foram so-
bretudo de phishing bancário e burlas online (PGR).
Foram registados 1522 processos pela Linha Internet Segura da APAV

em 2023, mais 23% do que no ano anterior (APAV).
Os crimes e outras formas de violência mais registados pela Linha In-

ternet Segura da APAV em 2023 foram a burla (17% do total), a extorsão
(7%) e a sextortion (7%) (APAV).
Ao contrário dos anos anteriores, em 2023 identificaram-se mais ho-

mens (46%) do que mulheres (37%) como vítimas nos processos de
atendimento da Linha Internet Segura da APAV (APAV).
17
AMEAÇAS, TENDÊNCIAS E DESAFIOS EM PORTUGAL
Para 81% dos profissionais inqueridos em inquérito do CNCS, o risco de

uma entidade sofrer um incidente de cibersegurança no ciberespaço
de interesse nacional aumentou em 2023 (87% consideram que esta
perceção foi influenciada pela guerra na Ucrânia) (Inquérito CNCS).
As ciberameaças consideradas mais relevantes em 2023 pelos profis-

sionais inquiridos em inquérito do CNCS foram o phishing/smishing
(81% do total), a engenharia social (68%) e o ransomware (58%) (Inqué-
rito CNCS).
No mesmo inquérito a profissionais, os agentes de ameaça tidos como

mais relevantes em 2023 foram os cibercriminosos (80% do total) (In-
quérito CNCS).
A tecnologia emergente mais desafiante para a cibersegurança segun-

do os profissionais inquiridos em 2023 foi a Internet das Coisas (71%
do total). Perspetivando 2024, a Inteligência Artificial destaca-se (94%)
(Inquérito CNCS).
À luz dos contributos dos parceiros e dos dados disponíveis, os agentes

de ameaça efetivamente mais relevantes para o ciberespaço de inte-
resse nacional em 2023 foram os cibercriminosos, os atores estatais e
os hacktivistas (Parceiros).
Os cibercriminosos foram responsáveis, em 2023, pela maioria dos inci-

dentes e crimes mais visíveis, como sejam os ataques de ransomware
e outras formas de extorsão, as campanhas de recolha de informação e
os vários tipos de burlas online; os atores estatais tenderam para ações
de ciberespionagem; e os hacktivistas, por seu turno, para atos de ci-
bersabotagem (Parceiros).
Considerando as várias fontes disponíveis, as vítimas mais frequentes

em 2023 foram as PME e os cidadãos em geral, no entanto, a Admi-
nistração Pública Local sofreu impactos relevantes. A Banca, devido
às personificações de marcas através do phishing, smishing e vishing,
também foi alvo, mas por uma via indireta (Parceiros).
18
Como principais tendências para o futuro próximo, destacam-se: a ex-
ploração vulnerabilidades “dia 0”; o aumento das infeções através de
pens USB; o risco de cibersabotagem e hacktivismo; o potenciar do ci-
bercrime por via de um maior uso de criptomoedas; mais desinforma-
ção com conteúdos de IA generativa; e a persistência de algumas cibe-
rameaças como o phishing, smishing e vishing (com spoofing), burlas
online, ransomware e infostealers (Parceiros).
19
ENQUANTO 2022 FOI
UM ANO MARCADO POR
CIBERATAQUES DISRUPTIVOS
QUE ATINGIRAM GRANDES
EMPRESAS OU ORGANIZAÇÕES-
-CHAVE EM PORTUGAL, 2023
CARACTERIZOU-SE POR UMA
DISSEMINAÇÃO LOCAL DE
CASOS RELEVANTES E PELO
ENTRECRUZAR DE VÁRIOS
CENÁRIOS DE AMEAÇA
COMPLEXOS LIGADOS AO
CIBERCRIME E AO CONTEXTO
GEOPOLÍTICO.
20
Centro Nacional
de Cibersegurança
PORTUGAL
A. I N T R O D U ÇÃO
A
quinta edição do Relatório Cibersegurança em Portugal, tema
Riscos e Conflitos constitui-se como uma atualização do co-
nhecimento situacional sobre as principais ciberameaças que
afetaram o ciberespaço de interesse nacional. O contexto internacional
instável, a criminalidade altamente organizada, o uso cada vez mais ge-
neralizado de serviços digitais e as tecnologias emergentes são alguns
dos fatores que mais modificam as ameaças que afetam o ciberespaço.
Enquanto 2022 foi um ano marcado por ciberataques disruptivos
que atingiram grandes empresas ou organizações-chave em Portugal,
2023 caracterizou-se por uma disseminação local de casos relevantes
e pelo entrecruzar de vários cenários de ameaça complexos ligados ao
cibercrime e ao contexto geopolítico.
Os conteúdos apresentados sobre estas questões no relatório de
2024 seguem a mesma estrutura de edições anteriores: uma parte so-
bre incidentes de cibersegurança e cibercrimes, com dados de organi-
zações que recebem notificações de incidentes e/ou tratam incidentes
de cibersegurança, bem como de entidades que registaram atos de
cibercriminalidade; e outra parte com uma análise às ameaças que ex-
plicam grande parte dos eventos retratados quantitativamente, iden-
tificando-se ainda as principais tendências, com base nos contributos
qualitativos dos diferentes parceiros envolvidos neste trabalho.
É possível também encontrar neste estudo uma análise das prin-
cipais conclusões à luz dos objetivos da ENSC, de modo a conjeturar
sobre se a situação atual corresponde aos objetivos desta política publi-
cada em 2019. Como suporte a ações de mitigação dos riscos, apresen-
tam-se ainda recomendações com boas práticas para indivíduos e or-
ganizações e a identificação das ameaças mais relevantes entre as que
são elencadas no documento Guia para Gestão dos Riscos em maté-
rias de Segurança da Informação e Cibersegurança, do CNCS (2022),
com o objetivo de as organizações aplicarem essa seleção diretamente
nas suas análises de risco.
21
EM 2023, O NÚMERO DE
INCIDENTES REGISTADOS
PELO CERT.PT ESTABILIZOU
RELATIVAMENTE AO ANO
ANTERIOR, FIXANDO-SE NOS
2025, PORTANTO, MAIS 0,1%.
22
Centro Nacional
de Cibersegurança
PORTUGAL
B. I N C I D E N T E S
E CIBERCRIME
O
s dados quantitativos que se expõem de seguia sobre os inciden-
tes de cibersegurança e os cibercrimes registados no ciberespaço
de interesse nacional referem-se sobretudo a 2023, estabelecen-
do-se comparações com os anos anteriores. Apesar da natureza diferente
destes dois tipos de registos – incidentes de cibersegurança e cibercrimes
–, ambos dizem respeito a eventos que perturbaram a segurança do cibe-
respaço. Enquanto os incidentes são geralmente registados por equipas
de resposta a incidentes ou autoridades que recebem notificações, os ci-
bercrimes são assinalados pelas autoridades policiais. Do ponto de vista da
cibersegurança, um incidente é um evento que coloca em causa a segu-
rança das redes e dos sistemas de informação (Lei n.º 46/2018). Em geral,
os incidentes de cibersegurança correspondem a crimes, em particular
se tiverem origem em ataques maliciosos com o fim de comprometer a
segurança da informação. No contexto deste documento, serão sobretudo
estes que serão analisados.
INCIDENTES
Apresentam-se neste tópico alguns números do CERT.PT relativa-

mente a tipologias de incidentes mais relevantes, observáveis e ten-
dências; da RNCSIRT, sobre tipologias de incidentes registados pelos
membros desta rede; e da CNPD, com as notificações de violações de
dados pessoais recebidas por esta entidade.
ATIVIDADE DO CERT.PT
O CNCS, através do CERT.PT, regista anualmente os principais inci-

dentes de cibersegurança ocorridos no ciberespaço de interesse na-
cional, com particular destaque para os que incidem na Administração
Pública, nos operadores de infraestruturas críticas, nos operadores de
serviços essenciais e nos prestadores de serviços digitais, no espírito do
Regime Jurídico da Segurança do Ciberespaço (Lei n.º 46/2018), mas
também tendo em conta o restante ciberespaço de interesse nacional.
O registo de incidentes resulta de notificações externas, mas também
de investigação interna e de fontes automatizadas. Alguns destes as-
petos serão desenvolvidos nos próximos pontos, permitindo um olhar
representativo da atividade maliciosa no ciberespaço em questão.
23
1. INCIDENTES DE CIBERSEGURANÇA REGISTADOS
PELO CERT.PT
Em 2023, o número de incidentes registados pelo CERT.PT estabili-

zou relativamente ao ano anterior, fixando-se nos 2025, portanto, mais
0,1%. Desta forma, reforça-se a tendência que se verifica desde 2021
para que o crescimento anual no número de incidentes se torne me-
nos acentuado.
Figura 4
NÚMERO DE INCIDENTES REGISTADOS PELO CERT.PT POR ANO*
1781 2023 2025

1418
501 599 754
248 413
2015 / maio 2016 2017 2018 2019 2020 2021 2022 2023
* Quebra de série em 2020: devido a alterações na taxonomia utilizada pelo CERT.PT em 2020 (RNCSIRT, 2023), a partir desse ano pas-
saram a ser contabilizadas as vulnerabilidades como incidentes. Os dados anteriores a 2020 não incluem as vulnerabilidades. Todavia,
o seu efeito no total não é significativo.
Fonte: CERT.PT
Em termos de períodos temporais com mais incidentes registados

em 2023, destaca-se, a nível mensal, novembro, incidência que ocorreu
em 25% dos anos desde 2016 até 2023; quanto ao trimestre, o quarto, o
que ocorreu em 50% dos anos; e, no que se refere ao semestre, o segun-
do, o que não parece significativo na medida em que ocorreu em 62,5%
dos casos num universo em que apenas existem duas hipóteses. Por-
tanto, é quanto ao trimestre que estes dados parecem mais significa-
tivos. Considerando que o outro trimestre, depois do quarto, com mais
registos foi o primeiro, em 25% das situações, pode concluir-se que em
75% dos anos o final e o princípio do ano tendem a ser os períodos com
mais incidentes de cibersegurança registados pelo CERT.PT.
24
Tabela 1
INCIDENTES REGISTADOS PELO CERT.PT E MÊS, TRIMESTRE E SEMESTRE COM MAIS

REGISTOS
Trimestre c/ Semestre c/
Total Variação % Mês c/ mais
mais mais
2015 (desde maio) 248 N/A out. (42) N/A N/A
2016 413 N/A fev. (56) 1º (135) 1º (243)
2017 501 +21 mar. (57) 4º (143) 2º (255)
2018 599 +20 out. (68) 2º (169) 1º (301)
2019 754 +26 set. (79) 3º (213) 2º (412)
2020* 1418 +88 abr. (150) 4º (418) 2º (729)
2021 1781 +26 nov. (222) 4º (497) 2º (934)
2022 2023 +14 jan. (274) 1º (754) 1º (1239)
2023 2025 +0,1 nov. (253) 4º (605) 2º (1080)
Fonte: CERT.PT
* Quebra de série em 2020: devido a alterações na taxonomia utilizada pelo CERT.PT em 2020 (RNCSIRT, 2023), a partir desse ano passa-
ram a ser contabilizadas as vulnerabilidades como incidentes. Os dados anteriores a 2020 não incluem as vulnerabilidades. Todavia, o
seu efeito no total não é significativo.
Como é possível verificar observando os três últimos anos, a predo-

minância do número de incidentes no mês de novembro ocorreu em
2021 e 2023, sendo que em 2022 esta predominância ocorreu em janei-
ro, reforçando a importância dos quarto e primeiro trimestres dos anos
quanto ao volume de incidentes.
Figura 5
NÚMERO DE INCIDENTES REGISTADOS PELO CERT.PT POR MÊS, ÚLTIMOS 3 ANOS
300
250
200
150
100
50
0
jan fev mar abr mai jun jul ago set out nov dez
2021 2022 2023
Fonte: CERT.PT
25
Uma parte dos incidentes registados pelo CERT.PT resulta de noti-
ficações externas realizadas pela comunidade. Apesar do número de
incidentes se manter relativamente idêntico ao registado no ano ante-
rior, em 2023 houve um decréscimo de 34% no número de notificações
externas, a que corresponde um rácio de 0,4 incidentes por cada noti-
ficação externa (embora nem todos os incidentes resultem de notifica-
ções externas). Tal como em anos anteriores, esta situação mostra não
existir uma correlação direta e estável entre a visibilidade que o CNCS
possa ter junto da comunidade, conduzindo a um eventual aumento
no número de notificações externas, e um efetivo crescimento no nú-
mero de incidentes.
Tabela 2
INCIDENTES E NOTIFICAÇÕES EXTERNAS REGISTADOS PELO CERT.PT
Variação Incidentes p/
Variação Notificações
Incidentes notificações notificações
incidentes (%) externas
externas (%) externas
2020 1418 +88 5170 N/A 0,3
2021 1781 +26 4988 -4 0,4
2022 2023 +14 8257 +66 0,2
2023 2025 +0,1 5484 -34 0,4
Fonte: CERT.PT
Cerca de um quarto dos incidentes registados em 2023 ocorreram

em entidades públicas (24%) e três quartos em entidades privadas
(76%). Comparando com 2022 e anos anteriores, verifica-se um au-
mento na proporção de incidentes a afetar entidades privadas, visto
no passado constatar-se a tendência para dois terços dos incidentes
registarem-se neste tipo de entidade e um terço nas públicas.
Ao longo de 2023, o mês de junho foi aquele no qual, proporcio-
nalmente em termos mensais, se registaram mais incidentes em enti-
dades privadas (84%) e março aquele em que se verificaram mais em
públicas (30%).
26
Tabela 3
INCIDENTES POR ENTIDADES PRIVADAS E ENTIDADES PÚBLICAS REGISTADOS

PELO CERT.PT
2021 2022
RK Comunidade % RK Comunidade %
1º Entidades privadas 67 1º Entidades privadas 76
2º Entidades públicas 33 2º Entidades públicas 24
Fonte: CERT.PT
Figura 6
INCIDENTES POR ENTIDADES PRIVADAS E ENTIDADES PÚBLICAS REGISTADOS PELO CERT.PT, 2023 - POR
MÊS, PERCENTAGEM DO TOTAL
84% 83% 80%

78% 75% 78% 73% 76% 78% 73%
70% 67%
20%
30% 33% 27% 27%
22% 25% 22% 17% 24% 22%
16%
Entidades públicas Entidades privadas
Fonte: CERT.PT
A geografia dos ciberataques que conduzem à identificação de in-

cidentes não é clara, devido em parte à capacidade de anonimização
e desterritorialização que o ciberespaço proporciona. Não obstante,
existem pelo menos dois focos geográficos possíveis de identificar nos
incidentes registados pelo CERT.PT: a geografia das entidades respon-
sáveis pelas plataformas decisivas para a realização dos ataques (sendo
a entidade que o CERT.PT contacta, esta não coincide necessariamente
com a geografia do atacante ou mesmo com a da infraestrutura tec-
nológica utilizada); e a geografia do alvo, aspeto menos problemático
de identificar. Portanto, a entidade responsável pela plataforma deci-
siva para a realização do ataque não é forçosamente a causadora do
incidente. Já o alvo geograficamente localizado é por certo a vítima ou
uma das vítimas.
27
Distinguindo apenas entre Portugal e o estrangeiro, constata-se
que, em 2023, cerca de 75% dos alvos encontravam-se em Portugal e
25% fora do país. Assim, em alguns casos (25%) utilizou-se infraestrutu-
ra da responsabilidade de entidades localizadas em Portugal para se
realizarem ataques ao estrangeiro. Não obstante, a maioria dos casos
atingiram vítimas localizadas em Portugal (75%).
Figura 7
INCIDENTES REGISTADOS PELO CERT.PT POR GEOGRAFIA DO ALVO, 2023
25%
75%
Portugal como alvo Estrangeiro como alvo
Fonte: CERT.PT
Entre os setores e áreas governativas com incidentes registados

pelo CERT.PT em 2023, o setor dos Prestadores de Serviços de Internet
foi o que obteve mais registos, superando a Banca, que decresceu 64%,
quando nos anos anteriores este tendeu a ser o setor com mais inciden-
tes, sobretudo devido aos ataques de phishing/smishing aos cidadãos
com simulações de marcas bancárias. O destaque dos Prestadores de
Serviços de Internet foi bastante influenciado por casos de tentativa de
login (66% dos incidentes registados neste setor)3. Seguem-se a Ban-
ca e a Saúde (que mais do que duplicou o seu número de incidentes)
como os setores com mais incidências, sendo o phishing/smishing a
tipologia com o maior volume em ambos (67% e 62%, respetivamente)4.
3. Este crescimento é explicado em parte por uma alteração metodológica numa das fontes
de informação que passou a registar eventos deste tipo de uma forma mais sistemática.
4 No que diz respeito a empresas que oferecem serviços de comunicações eletrónicos, a

ANACOM indica que em 2023 o volume de incidentes de segurança notificados por estas
entidades diminuiu, de 37 em 2022 para 30 em 2023. A maioria destes incidentes continua
a não ter como causa uma ação maliciosa. No entanto, o peso desta causa raiz no total
de registos da ANACOM aumentou de 3% em 2022 para 20% em 2023 (ANACOM, 2024).
28
Tabela 4
INCIDENTES POR SETOR E ÁREA GOVERNATIVA REGISTADOS PELO CERT.PT - TOP 10*
2022 2023 Ordenação
Setor e Área Setor e Área Lugar

RK Nº % RK Nº % Variação %
Governativa5 Governativa RK
1º Outros 1055 37 1º Outros 1503 74 +42 =
Prestadores de Serviços
2º Banca 542 19 2º 517 26 +249 +
de Internet
3º Infraestruturas Digitais 205 7 3º Banca 197 10 -64 -
Educação e Ciência,
4º Tecnologia e Ensino 202 7 4º Saúde 171 8 +106 +
Superior
Educação, Ciência,
Prestadores de Serviços
5º 148 5 5º Tecnologia e Ensino 150 7 -26 -
de Internet
Superior
Presidência do
6º 131 5 6º Infraestruturas Digitais 148 7 -28 -
Conselho de Ministros
Administração Pública
7º 129 5 7º Transportes 136 7 +46 +
Local
8º Transportes 93 3 8º 111 5 -14 -
Local
Serviço de Computação
9º Saúde 83 3 9º 102 5 +10100 +
em Nuvem
Presidência do Conselho
10º Finanças 55 2 10º 70 3 -47 -
de Ministros
Fonte: CERT.PT
* O total de incidentes por setor e área governativa é superior ao nº total de incidentes devido ao facto de em alguns casos um incidente
poder ser contabilizado simultaneamente em mais do que um setor e área governativa. As áreas governativas identificadas dizem respeito
a todas as entidades sob o domínio administrativo das mesmas (e.g. Presidência do Conselho de Ministros). O crescimento nos Prestadores
de Serviços de Internet é explicado em parte por uma alteração metodológica numa das fontes de informação que passou a registar even-
tos deste tipo de uma forma mais sistemática.
Considerando os 10 setores e áreas governativas com mais inci-

dentes registados em 2023, verifica-se que em seis deles o phishing/
smishing foi a tipologia mais frequente. O comprometimento de conta
não privilegiada, contudo, predominou na Administração Pública Local
e na esfera das organizações que compõem a Presidência do Conselho
de Ministros.
5. A presente tipologia obedeceu a uma análise por parte do CERT.PT considerando a per-
tinência e o uso generalizado, bem como os setores referidos na Lei n.º 46/2018. O Decre-
to-Lei n.º 65/2021, de 30 de julho, estabelece os requisitos de notificação de incidentes
aplicáveis a todos os setores previstos na Lei n.º 46/2018, de 13 de agosto, sem prejuízo
de regimes setoriais específicos a definir nos termos do n.º 1 do artigo 18.º do mesmo
normativo. Contudo, e apesar desta previsão, os dados apresentados neste relatório ba-
seiam-se, maioritariamente, no estabelecido no artigo 20 da Lei n.º 46/2018, de 13 de
agosto, onde se determina que quaisquer entidades podem notificar, a título voluntário,
os incidentes com impacto na continuidade dos serviços por si prestados. Acresce que
nem todos os incidentes integrados nos setores e áreas governativas indicados neste
relatório integram-se no âmbito da referida Lei (mesmo no caso dos setores previstos na
Lei), nem se considera que todos os incidentes registados tiveram um impacto relevante
nesse mesmo âmbito.
29
Tabela 5
TIPO DE INCIDENTES MAIS FREQUENTES POR SETOR E ÁREA GOVERNATIVA

REGISTADOS PELO CERT.PT, 2023
% no % do
Tipo de incidente Nº
setor total
Outros Phishing/Smishing 612 41 18
Prestadores de Serviços de Internet Tentativa de login 338 66 10
Banca Phishing/Smishing 132 67 4
Saúde Phishing/Smishing 103 62 3
Educação, Ciência, Tecnologia e Ensino Superior Phishing/Smishing 40 27 1
Infraestruturas Digitais Phishing/Smishing 84 59 2
Transportes Phishing/Smishing 94 70 3
Comprometimento de
Administração Pública Local 25 23 1
conta não privilegiada
Serviço de Computação em Nuvem Phishing/Smishing 85 94 2
Comprometimento de
Presidência e Conselho de Ministros 18 26 1
conta não privilegiada
Fonte: CERT.PT
2. TIPOS DE INCIDENTES DE CIBERSEGURANÇA

REGISTADOS PELO CERT.PT
O phishing/smishing continuou a ser o tipo de incidente mais re-

gistado pelo CERT.PT em 2023, tal como ocorreu nos anos anteriores.
Não obstante, houve um ligeiro decréscimo no número destes casos,
em 6%, relativamente a 2022. A tentativa de login, por sua vez, teve um
crescimento assinalável (de 13 para 375 incidentes), passando a ser o
segundo tipo de incidente com maior volume. O número de inciden-
tes de engenharia social decresceu 28%, mas esta tipologia continua a
ter bastante importância, ocupando a terceira posição. Seguem-se o
comprometimento de conta não privilegiada, que aumentou 21%, e a
distribuição de malware, que decresceu 42%.
30
Tabela 6
INCIDENTES POR TIPO REGISTADOS PELO CERT.PT – TOP 10
Lugar
RK Tipo Nº % RK Tipo Nº % Variação %
RK
1º Phishing/Smishing 742 37 1º Phishing/Smishing 700 35 -6 =
2º Engenharia social 285 14 2º Tentativa de login 375 19 +2785 +
Distribuição de
3º 214 11 3º Engenharia Social 205 10 -28 -
malware
Utilização Ilegítima de Comprometimento de

4º 126 6 4º 139 7 +21 +
nome de terceiros conta não privilegiada
Comprometimento de Distribuição de
5º 115 6 5º 124 6 -42 -
conta não privilegiada malware
Sistema infetado Utilização ilegítima de

6º 84 4 6º 103 5 -18 -
(malware) nome de terceiros
Comprometimento de Sistema infetado

7º 81 4 7º 90 4 +7 -
aplicação (malware)
Modificação não
8º autorizada (69 74 4 8º Sistema vulnerável 67 3 +40 +
ransomware)
Modificação não
9º SPAM 62 3 9º autorizada (57 de 57 3 -23 +
ransomware)
Comprometimento de
10º Sistema vulnerável 48 2 10º 40 2 -51 -
aplicação
Fonte: CERT.PT
À luz dos cinco tipos de incidentes mais frequentes registados pelo

CERT.PT em 2023, constata-se que houve um forte predomínio do
phishing/smishing ao longo de todos os meses, seguindo-se a tentati-
va de login, exceto em janeiro, agosto e setembro, em que a engenharia
social ocupou a segunda posição.
31
Observando a figura nove é possível visualizar alguma correlação
entre as séries temporais de phishing/smishing e de tentativa de lo-
gin. Não se verificando uma correlação linear entre ambas6, é ape-
nas possível colocar a hipótese de a coincidência entre alguns picos
e declínios, nomeadamente em março, abril, outubro, novembro e
dezembro, significarem que certas recolhas de credenciais através
de ataques de phishing possam ter conduzido a tentativas de login.
Não obstante, não se verifica a mesma situação quando se compara o
phishing/smishing com os comprometimentos de contas.
Figura 8
NÚMERO DE INCIDENTES POR TIPO REGISTADOS PELO CERT.PT, 2023 - TOP 5, POR MÊS
80
60
40
20
0
Compromisso de conta
Distribuicão de Malware Phishing/Smishing Engenharia Social Tentativa de login
nao privilegiada
Fonte: CERT.PT
As marcas mais simuladas nos incidentes de phishing/smishing

em 2023 voltaram a ser as da Banca, embora tenham decrescido 34%
face ao ano anterior. Os Serviços de Email e outros, por sua vez, passa-
ram a ocupar a segunda posição, com um aumento de 94%, seguin-
do-se os Transportes e Logística. É de assinalar ainda um incremento
de marcas de Redes Sociais em relação a 2022, na ordem dos 186%.
6. O coeficiente de correlação de Pearson não o indica, revelando uma correlação muito

fraca, na ordem dos 0,1.
32
Tabela 7
TIPOS DE MARCA SIMULADAS NOS ATAQUES DE PHISHING/SMISHING REGISTADOS

PELO CERT.PT – TOP 10*
Lugar
RK
1º Banca 475 59 1º Banca 314 37 -34 =
Serviços de Email e
2º Transportes e Logística 136 17 2º 264 31 +97 +
outros
Serviços de Email e
3º 134 17 3º Transportes e Logística 172 20 +26 -
outros
4º Outras 26 3 4º Outras 49 6 +88 =
5º Redes Sociais 7 1 5º Redes Sociais 20 2 +186 =
6º Entretenimento 6 1 6º Energia 8 1 +60 +
Plataformas de
7º Finanças 6 1 7º 5 1 Novo N/A
Criptomoedas
8º Energia 5 1 8º Entretenimento 4 0 -33 -
Prestadores de Serviço
9º 4 0,5 9º Saúde 3 0 Novo N/A
de Internet
10º Ensino Superior 2 0,2 10º Segurança Social 3 0 Novo N/A
Fonte: CERT.PT
* Cada incidente pode corresponder a mais do que um tipo de marca.
O tipo de incidente engenharia social divide-se em diversos sub-

tipos. Em 2023, neste âmbito, o vishing (phishing através de telefone)
voltou a ser a prática mais comum, ainda que tenha decrescido 61%
em relação ao ano anterior. A CEO Fraud - caso em que uma vítima
numa organização é conduzida, por exemplo, a fazer uma transferên-
cia bancária para uma conta fraudulenta sob o logro de ser de um for-
necedor ou afim - aumentou 70%, mas manteve-se como o segundo
subtipo mais frequente. O caso conhecido como “Olá, pai… Olá, mãe”,
em que uma aplicação de mensagens instantâneas é usada para ma-
nipular uma vítima a fazer uma transferência bancária para um falso
filho, foi registado 19 vezes pelo CERT.PT, mostrando a sua persistên-
cia como ameaça no ciberespaço de interesse nacional em 2023.
33
Tabela 8
TIPOS DE ATAQUES DE ENGENHARIA SOCIAL REGISTADOS PELO CERT.PT – TOP 5
Lugar
RK
1º Vishing 183 64 1º Vishing 72 35 -61 =
2º CEO Fraud 37 13 2º CEO Fraud 63 31 +70 =
3º Outros 38 13 3º Sextortion 26 13 -7 +
4º Sextortion 28 10 4º “Olá, pai… Olá, mãe” 19 9 Novo +
5º N/A N/A N/A 5º Outros 15 7 -61 -
Fonte: CERT.PT
As famílias de malware mais frequentemente identificadas nos

diversos tipos de incidentes registados pelo CERT.PT que envolveram
malware7 em 2023 foram o SystemBC (53,8% do total), seguido do Gu-
Loader (11,8%) e do Agent Tesla (9,7%) (para mais detalhe, ver caixa).
Figura 9
FAMÍLIAS DE MALWARE MAIS FREQUENTES REGISTADOS PELO CERT.PT, 2023
24,7%
53,8%
9,7%
11,8%
SystemBC GuLoader Agent Tesla Outros
Fonte: CERT.PT
7. Ver classe de incidentes na taxonomia usada pelo CERT.PT em RNCSIRT (2023)

34
FAMÍLIAS DE MALWARE MAIS FREQUENTES REGISTADOS PELO
CERT.PT, 2023 - DESCRITIVO
SystemBC:
Este malware, observado desde 2018, tem como função principal estabelecer uma conexão
entre a vítima e o Comando e Controlo (C&C) do atacante através da criação de uma cone-
xão proxy seguindo o protocolo SOCKS5 (Truman, 2024), permitindo ao atacante interagir com
o dispositivo comprometido, exfiltrar ou destruir dados, assim como instalar outros tipos de
malware (Jornet, 2023). Neste contexto, o SystemBC é tipicamente utilizado como uma ferra-
menta para obter persistência no acesso a dispositivos informáticos, assim como para garantir
a comunicação com o servidor C&C, sendo por isso utilizado no contexto de outros ataques.
Este malware foi observado em várias campanhas de ransomware (Jornet, 2022; ANSSI, 2023).
Acesso inicial: as técnicas de acesso inicial do SystemBC variam muito já que este é tradicio-
nalmente utilizado no contexto de uma outra campanha, e.g. de ransomware. As técnicas de
acesso inicial serão as da campanha que recorre a este malware.
Guloader:
O GuLoader é um file downloader (ativador de transferência de ficheiros) que tem sido uti-
lizado desde 2019 para distribuir malware, nomeadamente trojans de acesso remoto (vulgo
RAT – remote access trojan), como o NETWIRE, Agent Tesla, NanoCore, FormBook ou o Parallax
Rat (Mitre).
Acesso inicial: a técnica de acesso inicial tipicamente utilizada neste malware passa por
emails de (spear)phishing com link ou anexo que apontam para um documento Microsoft
Word com macros com código malicioso para fazer download e instalar um RAT (Duncan, 2020).
Agent Tesla:
O Agent Tesla é um trojan de ciberespionagem escrito em .NET que tem sido observado
pelo menos desde 2014 (Mitre). Sendo uma das variantes mais prevalentes tanto a nível inter-
nacional (Checkpoint, 2023), como segundo dados do CERT.PT, o Agent Tesla tem capacidades
avançadas de descoberta, acesso e furto de credenciais (Walter, 2020).
Acesso inicial: a técnica de acesso inicial mais comum é o (spear-)phishing com anexos (Mi-
tre), sendo estes frequentemente documentos Microsoft Word que exploram as vulnerabilida-
des CVE-2017-11882 e CVE-2017-8570, ou simplesmente emails que se servem de técnicas de
engenharia social para convencer a vítima a abrir o anexo malicioso (Walter, 2020).
35
O ransomware continuou a ter bastante impacto durante o ano
transato. No entanto, o CERT.PT registou menos 17% de incidentes
deste tipo, passando de 69 em 2022 para 57 em 2023.
Figura 10
NÚMERO DE INCIDENTES DE RANSOMWARE REGISTADOS PELO CERT.PT
69
57
35
24 18
2019 2020 2021 2022 2023
Fonte: CERT.PT
A família de ransomware com mais registos foi a Play (9,3% dos ca-
sos), seguida da Lockbit 2.0 (5,6%) e da Mallox (5.6%). A Akira, a Lockbit
3.0 e a Rhysida, com 3,7% cada, também foram relevantes. Conside-
rando que existem duas versões da Lockbit, que somam 9,3%, é de re-
levar a importância desta família de ransomware, a qual teve também
importância internacional (para mais detalhe, ver caixa).
Figura 11
FAMÍLIAS DE RANSOMWARE MAIS FREQUENTES REGISTADOS PELO CERT. PT, 2023
Play 9,3%
Lockbit 2.0 5,6%
Mallox 5,6%
Outros 44,4%
Não identificados 35,2%
Fonte: CNCS
36
FAMÍLIAS DE MALWARE MAIS FREQUENTES REGISTADOS PELO
CERT. PT, 2023 - DESCRITIVO
Play:
Análises recentes sugerem que esta variante é vendida como serviço em mercados online
(ransomware-como-serviço) (Adlumin, 2023). Esta família de ransomware é relativamente fre-
quente em Portugal, contando com 15% dos casos identificados a nível mundial. Note-se que
esta percentagem é igual à percentagem observada nos EUA (Trendmicro, 2023).
Acesso inicial: o acesso inicial para a Play tende a ocorrer através da utilização de credenciais
válidas, tendo estas sido furtadas ou adquiridas em mercados de credenciais; exploração ativa
de duas vulnerabilidades associadas com o FortiOS (CVE-2018-13379 e CVE-2018-13379); e outras
vulnerabilidades, nomeadamente o ProxyNotShell (CVE-2022-41040), uma vulnerabilidade em
servidores Microsoft Exchange referenciada como OWASSRF (CVE-2022-41080), assim como
uma vulnerabilidade de execução de código remoto (vulgo RCE – remote code execution) em
servidores Microsoft Exchange (CVE-2022-41082) (Trendmicro, 2023).
Lockbit 2.0:
LockBit 2.0. é um programa de ransomware que funciona como ransomware-como-serviço

(Cybereason, S/D). Tal como outras variantes, a sua principal função é, depois de cifrar os dados
de um sistema e pedir um “resgate” para decifrar os mesmos, e caso o resgate não seja pago,
publicar numa página online e aberta ao público os dados exfiltrados, frequentemente sensíveis.
Acesso inicial: o Lockbit 2.0. recorre a várias técnicas de acesso inicial, nomeadamente o
drive-by compromisse (comprometimento por visita a website); vulnerabilidade em sistemas
expostos à Internet, e.g. log4shell; exploração de serviços de protocolo de desktop remoto (vul-
go RDP – remote desktop protocol); phishing; e contas válidas furtadas ou adquiridas em mer-
cados de credenciais (Joint Cybersecurity Advisory, 2023).
Mallox:
O ransomware Mallox, também conhecido por TargetCompany, Tohnichi ou Fargo (Malpe-

dia), também opera como ransomware-como-serviço (Sahin-Uppströmer, 2024). Tal como a
variante anterior, caso o resgate solicitado não seja pago, os dados exfiltrados são publicados
online. Esta variante tem como principais alvos sistemas Windows e está ativa desde junho de
2021 (Rochberger e Cohen, 2023).
Acesso inicial: o acesso inicial deste ransomware está fortemente ligado aos alvos escolhi-
dos. Em particular, quem utiliza este ransomware procura servidores SQL da Microsoft inse-
guros e tenta aceder aos mesmos através de ataques de força-bruta com base em listas de
palavras-passe frequentemente utilizadas e outras heurísticas. Quando conseguem aceder
ao servidor, os atacantes usam uma powershell para instalar o ransomware.
37
3. OBSERVÁVEIS REGISTADOS PELO CERT.PT
O CERT.PT, além de incidentes, regista observáveis, isto é, eventos

potencialmente maliciosos no ciberespaço de interesse nacional, com
base em dezenas de fontes automatizadas. Estes observáveis, como
malware e vulnerabilidades técnicas, podem conduzir ao registo de in-
cidentes, mas nem sempre. Estes dados sofrem de alguns problemas
metodológicos fruto da variabilidade das fontes ou da sua interrupção
circunstancial. Todavia, dada a sua visibilidade sobre o ciberespaço, a
sua análise é pertinente.
Em 2023, houve um aumento de 63% no número de observáveis
registados, em parte resultado da inclusão de novas fontes que incre-
mentaram estes valores, em particular em outubro. Não obstante esta
variação na fonte, o número de observáveis verificado corresponde a
eventos identificados no ciberespaço de interesse nacional, que em
2023 ultrapassaram os 111 milhões.
Tabela 9
OBSERVÁVEIS REGISTADOS PELO CERT.PT E MÊS, TRIMESTRE E SEMESTRE COM

MAIS REGISTOS*
mais mais
2015 (desde maio) 4 117 875 N/A dez. (1 355 528) N/A N/A
2016 2 931 767 N/A jun. (543 908) 2º (749 839) 1º (1 497 109)
2017 42 956 624 +1365 abr. (9 880 158) 2º (16 224 673) 2º (26 138 163)
2018 55 607 704 +29 mai. (5 711 090) 2º (14 891 405) 2º (28 177 553)
2019 54 925 366 -1 abr. (4 929 377) 3º (14 142 871) 2º (27 607 524)
2020 61 045 497 +11 fev. (8 838 632) 1º (18 631 817) 1º (34 386 651)
2021 47 699 049 -22 set. (5 607 771) 3º (12 803 828) 1º (24 370 391)
2022 68 023 869 +43 nov. (7 595 041) 4º (21 950 813) 2º (42 283 445)
2023 111 196 086 +63 out. (18 291 026) 4º (37 568 630) 2º (64 081 193)
Fonte: CERT.PT
*Os valores de 2021 foram influenciados por uma quebra de fornecimento numa das fontes, em particular no mês de novembro. Os valo-
res de junho e dezembro de 2022 foram influenciados por fatores metodológicos que tanto fizeram aumentar o número de observáveis,
em junho, como diminuir, em dezembro. O aumento significativo de observáveis registado em outubro de 2023 também se deveu a
fatores de ordem metodológica relacionados com o incremento de fontes de informação.
38
O tipo de observável com mais registos continua a ser o de serviço
vulnerável (88% do total), seguido do malware e do botnet drone (1%
cada). Com um incremento assinalável encontra-se a distribuição de
malware.
Tabela 10
OBSERVÁVEIS POR TIPO REGISTADOS PELO CERT.PT - TOP 10
Variação Lugar
RK Tipo Nº % RK Tipo Nº %
% RK
1º Serviço vulnerável 62 108 408 91 1º Serviço vulnerável 98 390 376 88 +58 =
2º Malware 4 001 311 6 2º Outro 9 410 071 8 +3379 +
3º Botnet drone 806 094 1 3º Malware 1 308 530 1 -67 -
4º Blocklist 686 219 1 4º Botnet Drone 1 157 030 1 +44 -
5º Outro 270 483 0,4 5º Blocklist 637 725 0,6 -7 -
6º Força-bruta 108 719 0,2 6º Força-bruta 163 839 0,1 +51 =
7º DDoS 24 843 0,04 7º Sistema vulnerável 51 812 0,05 Novo N/A
Distribuição de
8º Alerta IDS 12 193 0,02 8º 35 365 0,03 +3520 +
malware
9º C&C 4 017 0,01 9º DDoS 24 000 0,02 -3 -
Distribuição de
10º 977 0,001 10º Alerta IDS 8 938 0,01 -27 -
malware
Fonte: CERT.PT
Não existem alterações significativas nos setores e áreas governati-

vas com mais observáveis identificados, mantendo-se os Prestadores
de Serviços de Internet (77% do total), as Infraestruturas Digitais (11%)
e a Educação e Ciência, Tecnologia e Ensino Superior (5%) como os do-
mínios com mais registos. Note-se ainda as subidas na Administração
Pública Local e na Administração Interna.
39
Tabela 11
OBSERVÁVEIS POR SETOR E ÁREA GOVERNATIVA, REGISTADOS PELO CERT.PT -

TOP 10
Setor e Área Setor e Área Lugar

Governativa Governativa RK
Prestadores Prestador de
1º de Serviços de 55 124 960 81 1º Serviços de 85 582 808 77 +55 =
Internet Internet
Infraestruturas Infraestruturas
2º 5 654 841 8 2º 11 730 114 11 +107 =
Digitais Digitais
3º Tecnologia e Ensino 3 590 189 5 3º Nulos 6 422 049 6 +133 +
Superior
4º Nulos 2 751 169 4 4º Tecnologia e Ensino 5 096 108 5 +42 -
Superior
5º Outro 595 900 1 5º Outro 1 755 428 2 +195 =
Administração Administração
6º 46 942 0,1 6º 108 936 0,1 +426 =
Pública Local Pública Local
7º Banca 28 685 0,04 7º Transportes 49 698 0,04 +83 +
8º Transportes 27 208 0,04 8º Banca 48 292 0,04 +68 -
9º Energia 22 321 0,03 9º Energia 46 155 0,04 +137 =
Administração
10º Cultura e Turismo 20 700 0,03 10º 44 196 0,04 +294 +
Interna
Fonte: CERT.PT
DESTAQUES • O número de incidentes registados pelo CERT.PT em 2023 fixou-se

em 2025, apenas mais dois do que no ano anterior;
• Verifica-se uma tendência para o CERT.PT registar mais inciden-
tes no quarto trimestre dos anos, algo que também ocorreu em
2023;
• Apesar do número de incidentes manter-se relativamente está-
vel, o número de notificações externas ao CERT.PT decresceu 34%
em 2023;
• Em termos proporcionais, houve um crescimento no número de
incidentes registados pelo CERT.PT em entidades privadas, com-
parando com as públicas, passando de 67% do total em 2022 para
76% em 2023;
• Em 2023, cerca de 25% dos incidentes registados pelo CERT.PT ti-
veram como alvo o estrangeiro, utilizando-se para o efeito plata-
formas de entidades com representação em Portugal;
40
• Os setores e áreas governativas com mais incidentes registados
pelo CERT.PT em 2023 foram os Prestadores de Serviços de In-
ternet (26% do total, e mais 249% do que 2022), a Banca (10%) e a
Saúde (8%, com um crescimento de 106%);
• O phishing/smishing foi o tipo de incidente mais registado pelo
CERT.PT em 2023 (35% do total), tal como no ano anterior, apesar
de se verificar um decréscimo de 6% nesta tipologia, seguindo-se
a tentativa de login (19%) e a engenharia social (10%);
• A predominância do phishing/smishing repete-se em quase to-
dos os setores e áreas governativas. No entanto, nos Prestadores
de Serviços de Internet predominou a tentativa de login (66% nes-
te setor) e, na Administração Pública Local, o comprometimento
de conta não privilegiada (23%);
• Em 2023, as marcas mais simuladas nos ataques de phishing/
smishing registados pelo CERT.PT continuaram a ser da Banca
(37% do total, mas decrescendo 34%), seguindo-se os Serviços de
Email e outros (31%, com um aumento de 94%) e os Transportes
e Logística (20%). As Redes Sociais (2%) registaram um aumento
significativo (mais 186%);
• Como subtipos de incidentes de engenharia social com mais re-
gistos no CERT.PT em 2023 destacaram-se o vishing (35% do total),
a CEO fraud (31%) e a sextortion (13%). O caso “Olá, pai… Olá, mãe”
(9%) persiste;
• Os casos de malware mais registados pelo CERT.PT em 2023 entre
os vários tipos de incidentes desta classe foram o SystemBC (53,8%
do total), seguido do GuLoader (11,8%) e do Agent Tesla (9,7%);
• Apesar do seu elevado impacto, o CERT.PT registou menos 12 inci-
dentes de ransomware em 2023 do que no ano anterior, fixando-
-se em 57. As famílias de ransomware mais identificadas foram o
Play (9,3% do total), o Lockbit 2.0 (5,6%) e o Mallox (5,6%);
• Em 2023, o CERT.PT registou mais de 111 milhões de observáveis.
O tipo de observável com mais registos continuou a ser o serviço
vulnerável (88% do total), seguido do malware e do botnet drone
(1% cada);
• Os setores e áreas governativas com mais observáveis registados
em 2023 pelo CERT.PT foram os Prestadores de Serviços de Inter-
net (77% do total), as Infraestruturas Digitais (11%) e a Educação e
Ciência, Tecnologia e Ensino Superior (5%).
41
INCIDENTES REGISTADOS PELOS MEMBROS DA
RNCSIRT
Enquanto comunidade de equipas de resposta a incidentes de ci-

bersegurança de variados tipos de organizações (como Administração
Pública, operadores de serviços essenciais, prestadores de serviços di-
gitais, entre outros), onde se inclui o CERT.PT, a RNCSIRT tem como um
dos seus propósitos contribuir para a produção de indicadores de ciber-
segurança relativos ao ciberespaço de interesse nacional. É neste âm-
bito que anualmente cada equipa responde a um inquérito promovido
por esta rede, com o apoio do Observatório de Cibersegurança, em que
os resultados relativos aos incidentes registados são publicados nas di-
versas edições do presente documento. Devido a variações anuais no
número de membros da RNCSIRT, evita-se comparar números absolu-
tos entre os anos. No inquérito relativo a 2023 disponibilizaram as suas
respostas para o presente documento 50 de 60 equipas.
Este conjunto de equipas registou cerca de 168 mil incidentes em
2023, com maior incidência no quarto trimestre, tal como se verificou
no CERT.PT, cujos incidentes se incluem naqueles, embora correspon-
dam a apenas cerca de 1% dos mesmos.
Tabela 12
INCIDENTES REGISTADOS PELA RNCSIRT E TRIMESTRE E SEMESTRE COM MAIS

REGISTOS
Total Trimestre c/ mais Semestre c/ mais
2023 168 832 4º (45 651) 2º (8417)
Fonte: RNCSIRT
Ao contrário dos anos anteriores, em que os dados recolhidos

correspondiam a uma sequência mensal, neste inquérito os valores
disponíveis são apenas os trimestrais, por razões metodológicas. Ob-
servando a sequência de trimestres, constata-se que, a partir do se-
gundo trimestre, o número de incidentes registados pela RNCSIRT
sofreu um crescimento contínuo.
42
Figura 12
NÚMERO DE INCIDENTES REGISTADOS PELA RNCSIRT, 2023 - POR TRIMESTRE
45651
42766
40884
39531
1º tri 2º tri 3º tri 4º tri
Fonte: RNCSIRT
O tipo de incidente com mais registos na RNCSIRT foi o scanning

– análise de um sistema com o propósito de encontrar pontos fracos
- (27% do total), seguido da tentativa de login (24%) e do sniffing -
observação de tráfego de rede (8%). Evitando uma comparação entre
números absolutos, pelas razões apresentadas, é possível, contudo,
constatar que, comparativamente com 2022, o scanning e o sniffing
adquiriram uma maior importância relativa, tal como a modificação
não autorizada, que inclui o ransomware.
Tabela 13
INCIDENTES REGISTADOS PELA RNCSIRT – TOP 10
2022 2023
Lugar
RK
RK Tipo % RK Tipo %
1º Tentativa de login 14 1º Scanning 27 +
2º Sistema infetado (malware) 13 2º Tentativa de login 24 -
3º Phishing/Smishing 11 3º Sniffing 8 +
Modificação não autorizada (inclui

4º Exploração de vulnerabilidade 10 4º 7 +
ransomware)
5º Scanning 9 5º Phishing 6 +
6º Outro - Indeterminado 7 6º Sistema infetado (malware) 5 -
7º Configuração de malware 6 7º Acesso não autorizado 4 +
Modificação não autorizada (inclui

8º 4 8º Exploração de vulnerabilidade 3 -
ransomware)
Comprometimento de conta não

9º 3 9º Outro - Sem tipo 2 +
privilegiada
10º Acesso não autorizado 3 10º SPAM 2 +
Fonte: RNCSIRT
43
DESTAQUES • A RNCSIRT registou cerca de 168 mil incidentes em 2023 (inclui
CERT.PT);
• O quarto trimestre foi o período com mais registos de incidentes
em 2023 por parte da RNCSIRT;
• Os tipos de incidentes mais registados em 2023 pela RNCSIRT foram
o scanning (27% do total), a tentativa de login (24%) e o sniffing (8%).
NOTIFICAÇÕES À CNPD SOBRE VIOLAÇÕES DE

DADOS PESSOAIS
Os números relativos às violações de dados pessoais notificadas

à CNPD permitem acompanhar a exposição a incidentes de um dos
ativos mais relevantes no ciberespaço: os dados pessoais. De ano para
ano, o número de notificações deste tipo à CNPD tem aumentado,
atingindo 409 em 2023, mais 11% do que no ano anterior.
Tabela 14
NOTIFICAÇÕES À CNPD DE VIOLAÇÕES (DE SEGURANÇA) DE DADOS PESSOAIS*
Total Variação %
2018 261 N/A
2019 240 -8
2020 301 +25
2021 318 +6
2022 367 +15
2023 409 +11
Fonte: CNPD
* Nos termos do artigo 33º do Regulamento (UE) 2016/679 – Regulamento Geral sobre a Proteção de Dados (RGPD), na aceção do artigo
4º, alínea 12), do RGPD. O valor de 2018 foi atualizado.
A proporção entre entidades privadas e públicas e realizar notifi-

cações à CNPD em 2023 manteve-se sensivelmente a mesma compa-
rando com 2022, verificando-se um ligeiro decréscimo nas entidades
privadas, que passaram de 80% para 74% dos casos, com correspon-
dente subida nas públicas. Estes valores estão próximos dos números
do CERT.PT já apresentados.
44
Tabela 15
NOTIFICAÇÕES RECEBIDAS PELA CNPD POR ENTIDADES PRIVADAS E ENTIDADES

PÚBLICA
2022 2023
RK Comunidade % RK Comunidade %
1º Entidades privadas 80 1º Entidades privadas 74
2º Entidades públicas 20 2º Entidades públicas 26
Fonte: CNPD
Isolando os setores e atividades privados, verifica-se que o Comér-

cio e Serviços manteve-se como o domínio com mais notificações
(32% do total), seguido da Banca e Seguros (16%) e da Saúde (8%).
Registou-se ainda uma subida assinalável no Turismo e Restauração,
com um crescimento de 110% no número de notificações.
Tabela 16
NOTIFICAÇÕES POR SETORES E ATIVIDADES PRIVADOS RECEBIDAS PELA CNPD
Setores e Atividades Setores e Atividades Variação Lugar

RK Nº % RK Nº %
Privados Privados % RK
1º Comércio e Serviços 84 28 1º Comércio e Serviços 96 32 +14 =
2º Banca e Seguros 43 15 2º Outro 73 24 Novo N/A
3º Saúde 33 11 3º Banca e Seguros 47 16 +9 -
4º Consultoria 31 11 4º Saúde 25 8 -24 -
5º Indústria 27 9 5º Turismo e Restauração 21 7 +110 +
6º Internet e Comunicações 23 8 6º Indústria 14 5 -48 -
7º TIC 16 5 7º Cultura, Media e Desporto 9 3 -36 +
8º Educação 14 5 8º Consultoria 8 3 -74 -
9º Cultura, Media e Desporto 14 5 9º Educação 5 2 -64 -
10º Turismo e Restauração 10 3 10º Internet e Comunicações 4 1 -83 -
11º - - - 11º TIC 1 0,3 -94 -
Fonte: CNPD
Nos setores e atividades públicos destaca-se a Administração Pú-

blica Local como o domínio que continua a ter mais notificações à
CNPD (37% do total), tendo crescido 95% em 2023 face ao ano anterior,
e o Ensino Superior (22%), com uma subida de 130%.
45
Tabela 17
NOTIFICAÇÕES POR SETORES E ATIVIDADES PÚBLICOS RECEBIDAS PELA CNPD – TOP 5
Setores e Atividades Setores e Atividades Variação Lugar

RK Nº % RK Nº %
Públicos Públicos % RK
1º Outro 21 29 1º Administração Pública Local 39 37 +95 +
2º 20 28 2º Ensino Superior 23 22 +130 +
Local
Administração Pública Administração Pública

3º 11 15 3º 20 19 Novo N/A
Central Central e Institutos Públicos
4º Ensino Superior 10 14 4º Saúde 12 11 +33 +
5º Saúde 9 13 5º Outro 7 7 -67 -
6º Educação 1 1 6º Administração Regional 4 4 Novo +
Fonte: CNPD
Os princípios da informação mais comprometidos no âmbito das

notificações à CNPD em 2023 foram a confidencialidade (66% do to-
tal), seguido da disponibilidade (10%) e da combinação entre a confi-
dencialidade e a integridade (8%).
Tabela 18
PRINCÍPIOS COMPROMETIDOS DE ACORDO COM AS NOTIFICAÇÕES RECEBIDAS

PELA CNPD*
Variação Lugar
RK Princípios comprometidos Nº % RK Princípios comprometidos Nº %
% RK
1º Confidencialidade 222 60 1º Confidencialidade 271 66 +22 =
Confidencialidade/
2º 108 29 2º Disponibilidade 39 10 +160 +
Disponibilidade/Integridade
Confidencialidade/
3º Disponibilidade 15 4 3º 32 8 +220 +
Integridade
Confidencialidade/
4º 12 3 4º Integridade 26 6 N/A +
Disponibilidade
Confidencialidade/ Confidencialidade/
5º 10 3 5º 21 5 +75 -
Integridade Disponibilidade
Confidencialidade/
6º - - - 6º 16 4 -85 -
Disponibilidade/ Integridade
7º - - - 7º Disponibilidade/ Integridade 4 1 -60 +
Fonte: CNPD
* Esta informação é baseada nas notificações feitas à CNPD e não em verificações inspetivas realizadas pela CNPD, pelo que pode não
retratar com rigor, em todos os casos, um quadro completo dos acontecimentos.
46
Cumulativamente, a confidencialidade foi o princípio da informa-
ção mais comprometido na esfera das notificações enviadas à CNPD
em 2023, presente em 68% dos casos acumulados. A predominância
deste tipo de comprometimento relativamente à disponibilidade e
integridade mantem-se de ano para ano, evidenciando situações que
tendem a colocar em causa a exclusividade no acesso à informação e
menos as restantes formas de segurança dos dados pessoais.
Figura 13
ACUMULADO - PRINCÍPIOS COMPROMETIDOS DE ACORDO COM AS NOTIFICAÇÕES RECEBIDAS PELA

CNPD, 2023*
16%
16%
68%
Confidencialidade Disponibilidade Integridade
Fonte: CNPD
Em 2023, a origem predominante dos incidentes que conduziram

às notificações recebidas pela CNPD foi a falha humana (23% do to-
tal), o que representa uma subida de 16% relativamente ao ano an-
terior, quando ainda era a segunda origem mais frequente, atrás do
ransowmare. Este, em 2023, decresceu 44%, passando para a terceira
posição. Com uma subida significativa encontra-se a exploração de
outras vulnerabilidades (21%), com um aumento de 124%.
47
Tabela 19
ORIGEM DOS INCIDENTES DE ACORDO COM AS NOTIFICAÇÕES RECEBIDAS PELA

CNPD*
Origem dos Origem dos Lugar

incidentes incidentes RK
1º Ransomware 110 30 1º Falha humana 94 23 +16 +
Exploração
2º Falha humana 81 22 2º de outras 85 21 +124 +
vulnerabilidades
Falhas aplicacionais
(desenho,
3º 46 13 3º Ransomware 62 15 -44 -
implementação e/
ou configuração)
Phishing/ Phishing/
4º 43 12 4º 56 14 +30 =
Engenharia Social Engenharia Social
Ações fraudulentas
Exploração (utilização indevida
5º de outras 38 10 5º de recursos, 40 10 +90 +
vulnerabilidades usurpação de
identidade)
Ações fraudulentas
Falhas aplicacionais
(utilização indevida
(desenho,
6º de recursos, 21 6 6º 36 9 -22 -
implementação e/
usurpação de
ou configuração)
identidade)
Perda ou furto de
7º 15 4 7º Malware 13 3 +8 +
equipamento
8º Malware 12 3 Outras 12 3 +1100 +
Perda ou furto de
9º Outras 1 0 11 3 -27 -
equipamento
Fonte: CNPD
48
DESTAQUES • O número de notificações de violações de dados pessoais à CNPD
no âmbito da segurança aumentou 11%, de 367 em 2022 para 409
em 2023;
• Em 2023, 74% das notificações à CNPD foram realizadas por entida-
des privadas e 26% por públicas;
• Os setores e atividades privados com mais notificações à CNPD em
2023 foram o Comércio e Serviços (32% do total), a Banca e Seguros
(16%) e a Saúde (8%);
• Por sua vez, os setores e atividades públicos com mais notifica-
ções foram a Administração Pública Local (37% do total) e o Ensino
Superior (22%);
• A confidencialidade foi o princípio da informação mais comprome-
tido no âmbito das notificações à CNPD em 2023, presente em 68%
das situações;
• A falha humana (23% do total), a exploração de outras vulnerabili-
dades (21%) e o ransomware (15%) foram a origem mais frequente
dos incidentes no âmbito das notificações à CNPD em 2023. No
entanto, o ransomware decresceu significativamente face a 2022,
em que se encontrava na primeira posição (menos 44%).
CIBERCRIME
Na esfera do cibercrime apresentam-se de seguida dois tipos de nú-

meros: os referentes a registos sobre criminalidade explicitamente infor-
mática, recorrendo aos dados estatísticos oficiais da Direção-Geral da
Política de Justiça (DGPJ); e os do âmbito da criminalidade não exclusi-
vamente informática na sua nomenclatura legal, mas que engloba casos
que ocorreram no ciberespaço, através dos contributos em particular da
Polícias Judiciária (PJ), mas também dos fornecidos pela Procuradoria-
-Geral da República (PGR) e pela APAV. A PGR e a APAV, em particular,
utilizam nomenclaturas menos presas às designações legais de cada
prática criminal, ainda que incluam crimes explicitamente informáticos.
REGISTOS DA CIBERCRIMINALIDADE EM
PORTUGAL (DGPJ)
A DGPJ tem como uma das suas missões a produção de informação

estatística na área da Justiça. Fruto dessa atividade, esta entidade dis-
ponibiliza dados sobre diversos tipos de criminalidade, entre os quais
os crimes explicitamente praticados no ciberespaço registados pelas
autoridades policiais. Por um lado, existem dados sobre os crimes infor-
máticos, do âmbito da Lei do Cibercrime (Lei n.º 109/2009), claramente
designados. Por outro, há os crimes que não se incluem nesta lei, mas
são relacionados com a informática na sua designação, como a burla
informática/comunicações e a devassa por meio de informática. Neste
documento, consideram-se estes dois domínios como “crimes relacio-
nados com a informática” de modo a captar o maior número possível
de crimes praticados no ciberespaço registados nas estatísticas oficiais.
49
Reconhece-se, no entanto, que alguns dos crimes que ocorrem nesta
esfera poderão ser registados como crimes que não se referem direta-
mente a informática, como, por exemplo, a extorsão. Os dados da PJ, da
PGR e da APAV permitirão explorar melhor este domínio.
Os crimes contemplados na Lei do Cibercrime, os informáticos, são,
tendencialmente, ciberdependentes, isto é, comprometem um ou
mais princípios da segurança da informação através de meios depen-
dentes da informática para se realizarem. Por exemplo, um crime que
resulte de ransomware ocorre necessariamente por meios informáti-
cos. Outros crimes, como os que recorrem à engenharia social como
modus operandi principal, conduzindo, por exemplo, a burlas informá-
ticas/comunicações, são ciberinstrumentais, ou seja, utilizam meios in-
formáticos como instrumentos, mas poderiam utilizar outros métodos
não digitais para se concretizarem. É sobretudo neste âmbito que o
registo sobre a cibercriminalidade é mais ambíguo.
Em 2023, o número de crimes explicitamente relacionados com a
informática registados pelas autoridades policiais em Portugal dimi-
nuiu 2% face ao ano anterior, de 23 651 para 23 221. Contudo, dentro
destes crimes, os informáticos aumentaram 13%, de 2219 para 2512. A
descida ocorrida no total de crimes relacionados com a informática é
influenciada pela diminuição contínua dos casos de burla informática/
comunicações desde 2022, em que houve uma quebra de série que afe-
tou alguns registos deste crime, os quais passaram a ser considerados
como abuso de cartão de garantia ou de cartão, dispositivo ou dados
de pagamento (não relacionado com a informática de forma explícita),
em resultado de alterações ao artigo 225º do Código Penal (sobre este
tema, ver destaque). Os dados recolhidos junto da PJ, partilhados mais
à frente, ajudarão a perceber que esta descida não representa uma di-
minuição do cibercrime como um todo.
Figura 14
NÚMERO DE CRIMES RELACIONADOS COM A INFORMÁTICA E CRIMES INFORMÁTICOS (INCLUÍDOS NOS

RELACIONADOS COM A INFORMÁTICA) REGISTADOS PELAS AUTORIDADES POLICIAIS*
23409 23651 23221

22076
18158
11163
8875 9692 9624
4328 5339
2905 3444 4169
2334 976 924 1319 1672 1496 2219 2512
534 495 460 396 359 469 659 801
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Total relacionados com a informática Informáticos
*Os crimes relacionados com a informática incluem os crimes informáticos juntamente com a burla informática/comunicações e a
devassa por meio de informática. Verifica-se uma quebra de série em 2022: crimes antes registados como “burla informática/comuni-
cações” passaram a ser registados como “abuso de cartão de garantia ou de cartão, dispositivo ou dados de pagamento” (não relacio-
nado com a informática), fruto de alterações no artigo 225º do Código Penal.
Fonte: DGPJ
50
Tabela 20
CRIMES RELACIONADOS COM A INFORMÁTICA E CRIMES INFORMÁTICOS

(INCLUÍDOS NOS RELACIONADOS COM A INFORMÁTICA) REGISTADOS PELAS
AUTORIDADES POLICIAIS, VARIAÇÃO (%) *
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Rel. Informática +24 +19 +26 -4 +28 +66 +9 -1 +16 +63 +22 +6 +1 -2
Cri. Informáticos -7 -7 -14 -9 +31 +41 +22 +22 -5 +43 +27 -11 +48 +13
Fonte: DGPJ
*Quebra de série: crimes antes registados como “burla informática/comunicações” passaram a ser registados como “abuso de cartão de
garantia ou de cartão, dispositivo ou dados de pagamento” (não relacionado com a informática), fruto de alterações no artigo 225º do Có-
digo Penal.
O crime relacionado com a informática mais registado em 2023

continuou a ser a burla informática/comunicações, com 20159 regis-
tos, o que correspondeu a 87% destes crimes, mas menos 4% do que
no ano anterior. Tal como em 2022, seguem-se o acesso/interceção
ilegítimos e a falsidade informática (5% cada), ambos crimes informá-
ticos. A falsidade informática apresenta uma subida significativa face
a 2022, de 33%.
Tabela 21
CRIMES RELACIONADOS COM A INFORMÁTICA REGISTADOS PELAS AUTORIDADES

POLICIAIS – TOP 5
Lugar
RK Crime Nº % RK Crime Nº % Variação %
RK
Burla informática/ Burla informática/

1º 20901 88 1º 20159 87 -4 =
comunicações comunicações
Acesso/interceção Acesso/interceção
2º 1012 4 2º 1 141 5 +13 =
ilegítimos ilegítimos
Falsidade Falsidade
3º 807 3 3º 1 076 5 +33 =
informática informática
Devassa p/meio de Devassa p/meio de

4º 531 2 4º 550 2 +4 =
Sabotagem Sabotagem
5º 299 1 5º 207 1 -31 =
Fonte: DGPJ
51
QUEBRA DE SÉRIE - ALTERAÇÕES AO ARTIGO 225º DO CÓDIGO
PENAL
Por força de uma alteração legal ocorrida no final de 2021, factos que antes se inseriam na es-
fera da burla informática/comunicações passaram a ser classificados como abuso de cartão de
garantia ou de cartão, dispositivo ou dados de pagamento (não relacionado com a informática,
pelo menos de forma explícita), fruto de alterações no artigo 225º do Código Penal. Por isso, em
2022, registaram-se, hipoteticamente, cerca de menos cinco mil crimes de burla informática/
comunicações, tendo sido registados tais casos como crime de abuso de cartão de garantia ou
de cartão, dispositivo ou dados de pagamento - cálculo realizado com base na diferença entre a
média de registos entre 2009 e 2021 no crime equivalente de abuso de cartão de garantia ou de
cartão, dispositivo ou dados de pagamento, fixada em 1152, e o valor registado neste crime em
2022, que chegou aos 6219 casos. Em 2023, esta diferença foi ainda maior, visto ter-se atingido
os 10 386 registos neste tipo de crime. Portanto, cerca de nove mil casos de diferença relativa-
mente à média entre 2009 e 2021. Hipoteticamente, a burla informática/comunicações poderia
ter aumentado 46% em 2023 em lugar de ter decrescido 4%, caso fossem adicionados estes
valores, pois teria somado cerca de 30 mil registos.
Observando os crimes informáticos, tendo em conta os três crimes

deste tipo mais registados em 2023, verifica-se um crescimento contí-
nuo dos números de acesso/interceção ilegítimos e de falsidade infor-
mática, pelo menos desde 2019. Já a sabotagem informática tem tido
uma evolução mais inconstante.
Figura 15
NÚMERO DE CRIMES INFORMÁTICOS REGISTADOS PELAS AUTORIDADES POLICIAIS-TOP 3 (EM 2023)
1141
1076
1012
807
764
617 632
503 523
415 470
378 409 395
353 333 304 346 299
278 259 249 226 273 270
188 196 220 227 207
10176 139
34 13 39 12 59 36 21 4937
6 16 17
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Acesso/interceção ilegítimos Falsidade informatica Sabotagem informática
Fonte: DGPJ
52
No âmbito dos crimes tipicamente ciberinstrumentais relacionados
com a informática, a burla informática/comunicações tem sido sem-
pre dominante desde 2009, apesar de ter decrescido ligeiramente em
2023, tal como em 2022.
Figura 16
NÚMERO DE CRIMES DE DEVASSA POR MEIO DE INFORMÁTICA E BURLA INFORMÁTICA/COMUNICAÇÕES

REGISTADOS PELAS AUTORIDADES POLICIAIS*
21374 20901
19855 20159
16310
8448 9783
7830 8149
3618 3458 4508
2115 3695
218 1582 295 289 314 352 362 386 443 499 456 529 549 539 531 550
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Devassa p/meio de informática Burla informática/comunicações
*Quebra de série em 2022: crimes antes registados como “burla informática/comunicações” passaram a ser registados como “abuso
de cartão de garantia ou de cartão, dispositivo ou dados de pagamento” (não relacionado com a informática), fruto de alterações no
artigo 225º do Código Penal.
Fonte: DGPJ
ASPETOS SOCIODEMOGRÁFICOS RELEVANTES EM PORTUGAL 2023
Cerca de 88% dos lesados/ofendidos por crimes relacionados com a informática registados em
2023 tinham 25 ou mais anos de idade, 12% tinham entre 16 e 24 anos e 0,4% tinham menos do que
Idade 16 anos. Este padrão repete-se razoavelmente em todos os crimes analisados. No entanto, no que
diz respeito ao crime de devassa por meio de informática, os lesados/ofendidos com idades entre
os 16 e os 24 anos atingiram os 24%.
Em 2023, a criminalidade total registada pelas autoridades policiais

voltou a aumentar face ao ano anterior, desta feita 8%. Pelo menos des-
de 2021 que se verifica um incremento anual neste valor, depois de uma
descida acentuada em 2020. Assim, apesar dos crimes previstos na Lei
do Cibercrime terem aumentado em 13%, a diminuição de 2% no total
de crimes relacionados com a informática encontra-se em aparente
contraciclo com este valor. Considerando a alteração metodológica re-
ferida e os dados de outras fontes deste documento, esta constatação
não significa uma diminuição do cibercrime praticado.
53
Figura 17
TODOS OS CRIMES E CRIMES RELACIONADOS COM A INFORMÁTICA REGISTADOS PELAS AUTORIDADES

POLICIAIS, ENTRE 2009 E 2023*
427 787 424 252 415 325

404 917
376 403 371 995
351 311 356 032 343 845
330 872 341 950 333 223 835 614
298 797 301 394
11163 18158 22076 23409 23651 23221

2334 2905 3444 4328 4169 5339 8875 9692 9624
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Total todos os crimes Total relacionados com a informática
Fonte: DGPJ
Tabela 22
TODOS OS CRIMES E CRIMES RELACIONADOS COM A INFORMÁTICA REGISTADOS

PELAS AUTORIDADES POLICIAIS, VARIAÇÃO (%)*
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Todos os crimes -1 -2 -3 -7 -7 +1 -7 +3 -3 +1 -11 +1 +14 +8
Rel. Informática +24 +19 +26 -4 +28 +66 +9 -1 +16 +63 +22 +6 +1 -2
Fonte: DGPJ
*Quebra de série em 2022: crimes antes registados como “burla informática/comunicações” passaram a ser registados como “abuso de
cartão de garantia ou de cartão, dispositivo ou dados de pagamento” (não relacionado com a informática), fruto de alterações no artigo
225º do Código Penal.
A proporção de crimes relacionados com a informática no total de

crimes registados pelas autoridades policiais foi de 6,2% em 2023, o que
corresponde a uma diminuição de 0,7 pp em comparação com 2022,
ano no qual também ocorreu uma descida face ao ano anterior.
54
Esta tendência estabelece-se em sentido contrário ao que ocor-
reu em quase todos os anos anteriores desde que há registos, com
subidas desde 2009, com exceção de 2017. Tal como em 2022, este
facto pode ser explicado por duas ordens de razões. Por um lado, a
criminalidade em geral aumentou nos últimos três anos, produzindo
uma descida na proporção de crimes relacionados com a informática.
Por outro, conjeturando o que teria acontecido em 2023 caso a que-
bra de série não tivesse ocorrido, e usando o método já mencionado
(ver destaque), estima-se que a percentagem de crimes relacionados
com a informática poderia atingir os 8,6%, o que representaria uma
subida em linha com a tendência verificada desde 2009. Concluindo,
e reforçando este aspeto, a descida verificada não corresponde a uma
diminuição da cibercriminalidade.
Figura 18
PERCENTAGEM DE CRIMES RELACIONADOS COM A INFORMÁTICA EM RELAÇÃO AO TOTAL DE CRIMES

REGISTADOS PELAS AUTORIDADES POLICIAIS*
7,4% 7,8%
6,9%
6,2%
5,4%
2,9% 3,4%
2,5% 2,8%
1,1% 1,1% 1,5%
0,5% 0,7% 0,8%
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023
Fonte: DGPJ
O número de condenados por crimes relacionados com a infor-

mática aumentou 18% em 2022 (último ano com dados disponíveis)
face a 2021, fixando-se em 303. Esta subida verifica-se em particular
nos crimes informáticos, com 72 condenados, mais 16 do que no ano
anterior. O número de arguidos também aumentou, cerca de 58%,
registando-se 666, portanto, mais do dobro do que o de condenados.
55
Figura 19
NÚMERO DE CONDENADOS EM PROCESSOS CRIME EM FASE DE JULGAMENTO FINDOS NOS TRIB. 1ª

INSTÂNCIA, POR CRIMES RELACIONADOS COM A INFORMÁTICA* E CRIMES INFORMÁTICOS (INCLUÍDOS
NOS RELACIONADOS COM A INFORMÁTICA)
303
250 231 243 225 256
200 202 212
160 177
132 129 141
44 55 45 56 56 72
33 29 19 35 28 36 29 37
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022
Total relacionados com a informática Informáticos
* Inclui os crimes informáticos juntamente com a burla informática/comunicações e a devassa por meio de informática.
Fonte: DGPJ
Tabela 23
ARGUIDOS VS. CONDENADOS EM PROCESSOS-CRIME EM FASE DE JULGAMENTO

FINDOS NOS TRIBUNAIS DE 1ª INSTÂNCIA, POR CRIMES RELACIONADOS COM A
INFORMÁTICA, VARIAÇÃO %*
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022
Arguidos 284 269 331 422 530 445 471 502 484 407 448 281 421 666
Variação % N/A -5 +23 +27 +26 -16 +6 +7 -4 -16 +10 -37 +50 +58
Condenados 132 129 160 200 250 202 231 243 212 177 225 141 256 303
Variação % N/A -2 +24 +25 +25 -19 +14 +5 -13 -17 +27 -37 +82 +18
Fonte: DGPJ
* Verificam-se ligeiras atualizações aos números de alguns dos anos comparando com a publicação do ano anterior.
56
A burla informática/comunicações, além de ser o crime com mais
registos, continua a ser o que dá origem a mais condenações. Em
2022, o número de condenados por este crime correspondeu a 75%
do total entre os crimes relacionados com a informática, valor pró-
ximo do ano anterior. A falsidade informática, permanecendo como
o segundo crime com mais condenados, registou um crescimento
significativo, com mais 94%, correspondendo a 20% do total. O aces-
so ilegítimo, apesar da sua relevância no registo de crimes, apresenta
um volume menos significativo de condenados, o que pode indiciar
maior dificuldade na imputação dos factos ilícitos aos agentes de
ameaça associados a este crime.
Tabela 24
CONDENADOS EM PROCESSOS-CRIME EM FASE DE JULGAMENTO FINDOS NOS

TRIBUNAIS DE 1ª INSTÂNCIA, POR CRIMES RELACIONADOS COM A INFORMÁTICA –
TOP 5*
Lugar
RK Crime Nº % RK Crime Nº % Variação %
RK
Burla informática/ Burla informática/

1º 197 77 1º 228 75 +16 =
comunicações comunicações
Falsidade Falsidade
2º 32 13 2º 62 20 +94 =
Sabotagem
3º 11 4 3º Acesso Ilegítimo 7 2 -22 +
Informática
Devassa p/meio de
4º Acesso Ilegítimo 9 4 4º 3 1 igual +
informática
Devassa p/meio de
5º 3 1 5º - - - - -
informática
Fonte: DGPJ
* As percentagens correspondem aos totais e não a todos os crimes identificados, visto em alguns casos a informação de que se dispõe ser
apenas total e não do tipo de crime, devido a segredo estatístico. Incluem-se pessoas singulares e coletivas nestes números. De referir ainda
que ocorreram atualizações aos números de vários anos.
Sexo 67% dos condenados singulares por crimes relacionados com a informática é homem.
O grupo etário no qual existiram mais condenados por crimes relacionados com a informática foi o
que compreende as idades entre os 21 e os 29 anos de idade (32%), seguido do grupo entre os 30 e
Idade
os 39 anos (24%), distribuição semelhante à do ano anterior. A burla informática/comunicações foi
o crime mais frequente em todos os grupos etários.
57
DESTAQUES • O número de crimes relacionados com a informática registados
pelas autoridades policiais diminuiu 2% em 2023, passando de
23651 para 23221. No entanto, entre estes, o número de crimes es-
pecificamente informáticos (da Lei do Cibercrime) cresceu 13% face
a 2022, passando de 2219 para 2512;
• O crime relacionado com a informática mais registado pelas auto-
ridades policiais em 2023 continua a ser a burla informática/comu-
nicações, com 20159 registos, embora tenha decrescido 4%, repre-
sentando 87% do total;
• Os crimes informáticos com mais registos pelas autoridades po-
liciais em 2023 foram o acesso/interceção ilegítimos e a falsidade
informática, tal como no ano anterior, somando 5% cada do total
de crimes relacionados com a informática. A falsidade informática
aumentou significativamente, em torno dos 33%;
• Cerca de 88% dos lesados/ofendidos por crimes relacionados com a
informática em 2023 tinham mais do que 25 anos de idade. Nas ou-
tras faixas etária, o crime de devassa por meio informático adquire
alguma relevância nas idades entre os 16 e os 24 anos, atingindo
24% dos casos;
• A proporção de crimes relacionados com a informática relativa-
mente ao total de crimes registados pelas autoridades foi de 6,2%,
menos 0,7 pp do que em 2022. Esta variação explica-se mais por
razões metodológicas do que por uma efetiva diminuição da crimi-
nalidade no ciberespaço;
• Em 2022, o número de condenados por crimes relacionados com a
informática aumentou 18% e o de arguidos 58%;
• A burla informática/comunicações foi o crime relacionado com a
informática com mais condenados em 2022, correspondendo a
75% dos registos. As condenações por falsidade informática, por
sua vez, aumentaram de forma significativa, quase para o dobro
(mais 94%);
• A maioria dos condenados por crimes relacionados com a informá-
tica em 2022 é homem (67%) e mais de metade tem entre 21 e 39
anos de idade.
ENTRADAS DE REGISTOS DE CRIMES NA UNC3T

DA PJ
A PJ, através da Unidade Nacional de Combate ao Cibercrime e à

Criminalidade Tecnológica (UNC3T), tem uma atividade de investiga-
ção do cibercrime que não se restringe ao crime categorizado na lei
como explicitamente informático. Por essa via, com uma conceção
abrangente do cibercrime, a PJ partilha com o Observatório de Ciber-
segurança alguns dados relevantes para acompanhar o crime que se
pratica no ciberespaço.
58
De modo a evitar redundâncias com as estatísticas da DGPJ divul-
gadas no presente documento, na medida em que os registos de cri-
mes da PJ contribuem para os dados da DGPJ, optou-se por partilhar
apenas os dados sobre crimes não explicitamente informáticos trata-
dos pela UNC3T, excluindo, portanto, os crimes informáticos e a burla
informática/comunicações, também registados por esta Unidade da
PJ (que são considerados no capítulo anterior dedicado aos dados na-
cionais da DGPJ). Assim, é possível obter um olhar sobre crimes que
não são explicitamente relacionados com a informática, e cujo total
pode não corresponder completamente a crimes no ciberespaço nas
estatísticas da DGPJ, mas, porque são processados pela UNC3T, cor-
respondem a crimes que ocorreram efetivamente no ciberespaço8.
Contabilizando o total de entradas de crimes não explicitamente in-
formáticos (contra pessoas, património e Estado), mas com natureza
informática, na UNC3T da PJ, constata-se que em 2023 entraram mais
59% de registos deste tipo, atingindo-se o valor de 13374, evidenciando
um aumento significativo no número de crimes praticados no ciberes-
paço que não se incluem entre os que são designados na lei como tal.
Tabela 25
TOTAL DE CRIMES NÃO EXPLICITAMENTE INFORMÁTICOS, MAS COM NATUREZA

INFORMÁTICA, REGISTADOS PELA UNC3T DA PJ - ENTRADAS DE REGISTOS
Total Variação %
2022 8411 N/A
2023 13374 +59
Fonte: PJ
Entre os crimes contra pessoas, a UNC3T registou, como tendo natu-

reza informática, 407 crimes de pornografia de menores em 2023, o que
corresponde a um decréscimo de 15% em relação a 2022. Já as gravações
e fotografias ilícitas e o aliciamento de menores para fins sexuais, por via
informática, aumentaram 27% e 60%, respetivamente, embora soman-
do bastante menos casos do que a pornografia de menores. Portanto, a
componente sexual e de captação de imagens tem particular relevância
na criminalidade online contra pessoas, algo também verificável nos da-
dos da APAV, apresentados mais à frente neste documento.
8. O número de entradas de registos de cada crime, partilhado pela PJ, pode não ser coe-
rente com o total desse crime registado pelas autoridades, disponibilizado pela DGPJ no
seu website, apresentando por vezes valores mais elevados. Tal deve-se a diferenças entre
a metodologia interna de recolha para este efeito por parte da PJ e a metodologia na-
cional utilizada pela DGPJ junto das diversas autoridades. Para efeitos de consideração
estatística do total da criminalidade, deve ter-se em conta os dados da DGPJ. Para efeitos
de consideração de crimes não explicitamente informáticos, mas que se realizaram por
meios informáticos, os dados da PJ são pertinentes de modo a obter-se uma visão sobre
tendências e predomínios. Para mais esclarecimentos, ver Documento Metodológico da
DGPJ (2021) sobre crimes registados pelas autoridades.
59
Figura 20
CRIMES CONTRA PESSOAS COM NATUREZA INFORMÁTICA REGISTADOS PELA UNC3T DA PJ - ENTRADAS
DE REGISTOS
481 407
33 42 84 134
Aliciamento de menores para fins sexuais Gravações e fotografias ilícitas Pornografia de menores
2022 2023
Fonte: PJ
No âmbito dos crimes contra o património, a UNC3T tratou dois tipos

de crimes que contemplaram casos que se realizaram por via informáti-
ca: o abuso de cartão de garantia/dispositivo ou dados de pagamento e
a extorsão - o primeiro aumentou os seus registos em 70% em 2023 face
a 2022; o segundo, 24%. O elevado número de registos de abuso de car-
tão de garantia/dispositivo ou dados de pagamento, com mais de 10 mil
casos (o tipo de crime não explicitamente informático com mais registos
na UNC3T), resulta da crescente ameaça aos diferentes métodos de pa-
gamentos eletrónicos, mas também da alteração metodológica e na lei
já mecionada que, desde o final de 2021, fez com que certos crimes antes
registados como burla informática/comunicações passassem a ser regis-
tados naquele crime. No âmbito da extorsão, por sua vez, incluem-se so-
bretudo casos de sextortion, mostrando mais uma vez a importância da
dimensão passional de alguns crimes no ciberespaço.
Figura 21
CRIMES CONTRA PATRIMÓNIO COM NATUREZA INFORMÁTICA REGISTADOS PELA UNC3T DA PJ - ENTRA-
DAS DE REGISTOS
10877
6410
748 930
Abuso de cartão de garantia/ dispositivo ou dados pagamento Extorsão
2022 2023
Fonte: PJ
60
Entre os crimes contra o Estado, o branqueamento de capitais, no-
meadamente através de criptomoedas, mas não só, é um modus ope-
randi típico do cibercrime, que tem tido alguma importância e apresen-
ta um crescimento nos registos da UNC3T, com um aumento de 50%, de
655 entradas em 2022 para 984 em 2023.
Figura 22
CRIMES CONTRA O ESTADO COM NATUREZA INFORMÁTICA REGISTADOS PELA UNC3T DA PJ (BRANQUEA-
MENTO) - ENTRADAS DE REGISTOS
984
655
2022 2023
Fonte: PJ
DESTAQUES • A UNC3T da PJ, em 2023, contabilizou 13374 entradas de crimes não

explicitamente informáticos, mas com natureza informática, mais
59% do que no ano anterior;
• O crime contra pessoas praticado por meios informáticos mais
registado pela UNC3T da PJ em 2023 foi o de pornografia de me-
nores, com 407 registos (embora com menos 15% de casos do que
em 2022);
• Quanto a crimes contra o património, por via informática, desta-
cou-se o crime de cartão de garantia/dispositivo ou dados de paga-
mento, com mais 70% em 2023 do que em 2022, somando, assim,
cerca de 10 mil entradas na UNC3T – este foi o tipo de crime não
explicitamente informático com mais registos no âmbito da ativi-
dade desta unidade da PJ;
• O branqueamento de capitais, categorizado como crime contra o
Estado, com recurso a meios informáticos, aumentou nos registos
da UNC3T 50% em 2023 face ao ano anterior, com 984 casos.
61
DENÚNCIAS AO GABINETE CIBERCRIME DA PGR
Reconhecido o problema da falta de abrangência das estatíticas ofi-

ciais relativamente ao crime que ocorre no ciberespaço, os dados do
Gabinete Cibercrime da PGR sobre denúncias recebidas, tal como os
da PJ e da APAV, também permitem um olhar sobre o cibercrime não
restrito aos crimes previstos na Lei do Cibercrime ou explicitamente
relacionados com a informática. Nesta edição do relatório apenas foi
possível ter acesso a dados da PGR sobre o primeiro semestre, por os do
segundo não terem sido disponibilizados. Por esta razão, a comparação
com outros anos está limitada.
Durante o primeiro semestre de 2023, o Gabinete Cibercrime rece-
beu 1363 denúncias, o que mostra uma tendência para que o aumen-
to anual de denúncias continue a verificar-se em 2023, visto este valor
corresponder a mais de metade do total de 2022, isto é, a cerca de 64%.
Comparando o primeiro semestre de 2023 com o período homólogo,
verifica-se um crescimento de 60% no número de denúncias. Manten-
do-se este nível de crescimento no segundo semestre, 2023 terá mais
denúncias do que o ano anterior.
Tabela 26
DENÚNCIAS RECEBIDAS PELO GABINETE CIBERCRIME DA PGR*
mais mais
2016
108 N/A S/D S/D S/D
(desde fevereiro)
2017 155 +44 S/D S/D S/D
2018 160 +3 S/D S/D S/D
2019 193 +21 S/D S/D S/D
2020 544 +182 mai. (51) 2º (219) 1º (305)
2021 1160 +113 fev. (133) 2º (300) 1º (594)
2125
2022 +83 jul. (281) 4º (649) 2º (1272)
(1ºsem.: 853)
2023 + 60
1363 N/A N/A N/A
(1º semestre) (1º sem.)
Fonte: PGR (2023a e 2023b)
* Denúncias recebidas no email [email protected]. Nem todas são encaminhadas para inquérito. “Cibercrime” entendido no seu sentido
mais lato.
62
Comparando os últimos três anos, além de 2022 apresentar uma su-
bida relevante no segundo semestre face ao ano anterior, o primeiro se-
mestre de 2023 registou mais denúncias mensais do que nos dois anos
precedentes, com um peso importante de janeiro e março.
Figura 23
NÚMERO DE DENÚNCIAS RECEBIDAS PELO GABINETE CIBECRIME DA PGR - POR MÊS
300
200
100
0
2021 2022 2023
Tendo em conta a comparação entre os números de denúncias

e de encaminhamentos para inquérito (isto é, denúncias que resul-
tam em abertura de inquérito), verifica-se igualmente um crescimen-
to significativo no primeiro semestre em face do período homólogo,
com mais 158% de encaminhamentos, passando-se de 113 para 292. O
rácio de encaminhamentos por denúncia aumentou, de 0,1 no primei-
ro semestre de 2022 para 0,2 no primeiro semestre de 2023. Portanto,
a eficácia das denúncias foi maior em 2023.
63
Tabela 27
ENCAMINHAMENTOS PARA INQUÉRITO ENVIADOS PELO GABINETE CIBERCRIME

DA PGR POR CADA DENÚNCIA
Denúncias
Variação Variação Enc. Encaminhadas
Denúncias encaminhadas
denúncias (%) Inq. % p/ denúncia
p/ inquérito
2016
108 N/A 25 N/A N/A
(desde fevereiro)
2017 155 +44 59 +136 0,4
2018 160 +3 50 -15 0,3
2019 193 +21 67 +34 0,3
2020 544 +182 138 +106 0,3
2021 1160 +113 195 +41 0,2
2125 359 0,2

2022 +83 +84
(1ºsem.: 853) (1ºsem.: 113) (1º sem.: 0,1)
2023 + 60 + 158
1363 292 0,2
(1º semestre) (1º sem.) (1º sem.)
Mantendo-se a limitação quanto aos dados disponíveis, a compara-

ção entre o tipo de criminalidade mais relevante em 2022 e no primeiro
semestre de 20239 mostra como certas ameaças se mantiveram está-
veis e outras adquiriram mais saliência. O phishing, sobretudo bancá-
rio, continuou a ser o tipo de criminalidade mais relevante, seguindo-se
diversos géneros de burlas ligadas ao comércio online e a transações
monetárias. Enquanto o phishing bancário visa a recolha de dados sen-
síveis para o comprometimento de contas bancárias, as burlas referidas
procuram defraudar compradores e vendedores com falsos produtos
e transações. É de relevar ainda a crescente importância, pelo menos
no primeiro semestre, das burlas no mercado imobiliário e com crip-
tomoedas e outros produtos financeiros, as quais remetem para falsas
ofertas de casas e de investimentos, respetivamente. Como entradas
relevantes no conjunto das 10 metodologias criminosas mais significa-
tivas, merecem especial atenção as falsas convocatórias policiais, com
pedidos financeiros falaciosos de modo e evitar suposta ação judicial,
e os falsos telefonemas em nome de empresa de software, com vista a
instalação de malware e a recolha de dados sensíveis junto das vítimas.
Os casos denunciados à PGR têm uma forte componente de enge-
nharia social, reforçando como a criminalidade no ciberespaço abar-
ca muitos crimes ciberinstrumentais, algo já visível na importância da
burla informática/comunicações presente nos dados da DGPJ e da cri-
minalidade não explicitamente informática visível no trabalho da PJ.
9. No âmbito de entrevista qualitativa a responsável da PGR, refere-se que o segundo se-

mestre de 2023, embora ainda sem dados quantitativos, revela, grosso modo, a manuten-
ção do mesmo tipo de criminalidade denunciada no primeiro semestre.
64
Tabela 28
CRIMINALIDADE MAIS RELEVANTE COM BASE NO REGISTO DE DENÚNCIAS AO

GABINETE CIBERCRIME, DA PGR – TOP 10*
2022 2023
Lugar
RK
RK Criminalidade mais relevante RK Criminalidade mais relevante
1º Phishing, sobretudo bancário 1º Phishing, sobretudo bancário =
2º Burlas online (compras e vendas) 2º Burlas online (compras e vendas) =
3º Burlas com páginas web “falsas” 3º Burlas no mercado imobiliário +
Burlas com criptomoedas e outros produtos

4º Burlas no mercado imobiliário 4º +
financeiros
Defraudações na utilização de plataformas

5º de vendas online e em aplicações de 5º Burlas com páginas web “falsas" -
pagamentos
Burlas com criptomoedas e outros produtos Defraudações na utilização de plataformas de

6º 6º -
financeiros vendas online e em aplicações de pagamento
7º Burlas em relações pessoais 7º Falsas convocatórias policiais +
8º Burla invocando pagamentos em falta 8º Burla invocando pagamentos em falta =
9º Fenómeno conhecido como “olá mãe, olá pai” 9º Fenómeno conhecido como “olá mãe, olá pai” =
Falsos telefonemas em nome de empresa de

10º CEO fraud 10º +
software
PGR (2022 e 2023)
* Não são apresentados números concretos em relação a esta criminalidade. Todavia, elenca-se de forma decrescente a criminalidade mais
relevante que predomina no âmbito das denúncias e inquéritos acima referidos. Em alguns casos, a terminologia adotata altera ligeira-
mente entre anos, mas sem comprometer a comparabilidade conceptual. Nos casos de novas entradas, assume-se que correspondem a
uma subida.
DESTAQUES • Durante o primeiro semestre de 2023, registaram-se mais 60% de

denúncias ao Gabinete Cibercrime da PGR do que no período ho-
mólogo, passando de 853 para 1363;
• O número de encaminhamentos para inquérito pelo Gabinete Ci-
bercrime da PGR também cresceu, mas ainda mais do que as de-
núncias, com 158% de crescimento, de 113 para 292;
• O número de encaminhamentos por denúncia ao Gabinete Ciber-
crime da PGR também aumentou no primeiro semestre face ao
período homólogo, de 0,1 em 2022 para 0,2 em 2023;
65
• O tipo de criminalidade mais relevante entre as denúncias ao Ga-
binete Cibercrime da PGR, durante o primeiro semestre de 2023,
foi o phishing bancário e diversas formas de burla online, nomea-
damente ligadas ao comércio eletrónico, ao imobiliário e a investi-
mentos em criptomoedas.
LINHA INTERNET SEGURA
No âmbito das atividades do Centro Internet Segura, coordenado

pelo CNCS, a APAV gere a Linha Internet Segura (LIS), a qual tem como
objetivo fazer atendimentos ao cidadão, através de chamadas telefóni-
cas e de contactos online, relativamente a questões sobre o uso seguro
da Internet e denúncias de problemas que coloquem em causa a se-
gurança online nas suas mais variadas dimensões. A LIS subdivide-se
em dois serviços: a dimensão Helpline, que apoia vítimas de ações ma-
liciosas no ciberespaço; e a dimensão Hotline, a qual disponibiliza uma
plataforma de denúncias de conteúdos ilegais online.
Ao contrário do ano passado, em 2023, o número de processos de
atendimento e apoio registados pela LIS aumentou 23%, passando de
1236 para 1522. No ano anterior, estes valores tinham decrescido 24%.
Portanto, voltou-se a um número de registos próximo de 2021. Quanto
aos períodos com mais processos registados no ano de 2023 em ter-
mos de meses, destaca-se o mês de maio; no que se refere a trimestres,
o quarto (tal como se verifica nos dados do CERT.PT e da RNCSIRT); e
no que diz respeito a semestres, o primeiro. Ao longo dos últimos cinco
anos, todavia, não se verifica um padrão quanto a estes períodos com
mais volume de processos, ao contrário do que se verifica nos dados
do CERT.PT.
Tabela 29
PROCESSOS DE ATENDIMENTO E APOIO DA LINHA INTERNET SEGURA, APAV*
mais mais
2019 827 N/A set. (98) 3º (222) 2º (442)
2020 1164 +41 mar. (154) 1º (356) 1º (711)
2021 1626 +40 abr. (441) 2º (737) 1º (1071)
2022 1236 -24 set. (130) 3º (333) 2º (642)
2023 1522 +23 mai. (178) 4º (435) 1º (777)
Fonte: APAV (2020, 2021, 2022, 2023 e 2024)
* Nas suas duas vertentes: atendimento e denúncia.

66
Figura 24
PROCESSOS DE ATENDIMENTO E APOIO DA LINHA INTERNET SEGURA, APAV*
1626 1522
1236
1164
827
2019 2020 2021 2022 2023
* Nas suas duas vertentes: atendimento e denúncia
Fonte: APAV (2020, 2021, 2022, 2023 e 2024)
Comparando a evolução mensal do número de processos nos últi-

mos três anos, é notório um aumento exponencial em abril de 2021, o
mês com o número mais elevado de processos desde que há registos.
A coincidência com o período de pandemia de Covid-19 pode ser uma
das explicações possíveis para esta situação. Nos restantes anos não
existem volumes tão salientes, nomeadamente em 2023.
Figura 25
NÚMERO DE PROCESSOS DE ATENDIMENTO E APOIO DA LINHA INTERNET SEGURA, APAV - POR MÊS
500
400
300
200
100
0
2021 2022 2023
* Cada vítima pode ser alvo de mais do que um tipo de crime.
Fonte: APAV (2022, 2023 e 2024)
67
Na esfera da Helpline, o número de crimes e outras formas de vio-
lência registados nos apoios e denúncias realizados aumentou de 478
em 2022 para 731 em 2023, o valor mais elevado desde 2019.
Figura 26
CRIMES E OUTRAS FORMAS DE VIOLÊNCIA REGISTADOS PELA LINHA INTERNET SEGURA, DIMENSÃO
HELPLINE, APAV*
731
587
454 478
102
2019 2020 2021 2022 2023
Fonte: APAV (2020, 2021, 2022, 2023 e 2024)
O tipo de crime e outras formas e violência mais registado pela

dimensão Helpline em 2023 foi a burla, tal como no ano anterior, cor-
respondendo a cerca de 17% dos casos, verificando-se uma subida de
148% face a 2022. Segue-se a extorsão, com 7% dos casos e um cres-
cimento exponencial de 1175%. As situações de sextortion também
dizem respeito a 7% do total, mas aumentaram apenas 2%. As novas
entradas referem-se genericamente a burla, o que reforça a impor-
tância deste tipo de crime.
68
Tabela 30
TIPOS DE CRIMES E OUTRAS FORMAS DE VIOLÊNCIA REGISTADOS PELA LINHA

INTERNET SEGURA, DIMENSÃO HELPLINE, APAV – TOP 10*
Crimes e outras formas Crimes e outras formas Lugar

de violência de violência RK
1º Burla 100 21% 1º Burla 248 17% 148% =
2º Sextortion 97 20% 2º Extorsão 102 7% 1175% +
3º Furto de Identidade 40 8% 3º Sextortion 99 7% 2% -
Gravação de fotografias Burla no comércio

4º 27 6% 4º 89 6% Novo N/A
ilícitas online
5º Acesso ilegítimo 25 5% 5º Tentativa de burla 74 5% Novo N/A
6º Difamação/injúrias 25 5% 6º Burla romântica 70 5% Novo N/A
Crimes sexuais crianças/

7º 24 5% 7º Acesso ilegítimo 62 4% 148% -
jovens
8º Violência doméstica 24 5% 8º Smishing 44 3% 780% +
9º Ameaça 12 3% 9º Burla de investimento 41 3% Novo N/A
10º Segurança no PC 12 3% 10º Furto de identidade 40 3% Igual -
Fonte: APAV (2023 e 2024)
Nas atividades da Helpline, ao contrário de anos anteriores, houve mais homens vítimas que
Sexo
identificaram o seu sexo (46%) do que mulheres (37%) – 16% das vítimas não identificaram.
Idade Neste mesmo âmbito, 7% das vítimas eram menores de idade e os restantes adultos.
Na dimensão Hotline, o número de registos diminuiu ligeiramente,

de 801 em 2022 para 791 em 2023. Nos últimos cinco anos, destaca-se
2021 como o período com um aumento mais significativo de registos
(1167) face aos outros anos, os quais mantêm um volume num interva-
lo entre 701 e 801 casos.
69
Figura 27
REGISTOS REALIZADOS PELA LINHA INTERNET SEGURA, DIMENSÃO HOTLINE, APAV
1167
760 801 791

701
2019 2020 2021 2022 2023
Fonte: APAV (2020, 2021, 2022, 2023 e 2024)
O tipo de registo realizado na dimensão Hotline mais frequente

continuou a ser o conteúdo de abuso sexual de menores, em 79% dos
casos. O discurso de ódio decresceu 14%, fixando-se nos 21% do total.
Tabela 31
TIPOS DE REGISTOS REALIZADOS PELA LINHA INTERNET SEGURA, DIMENSÃO

HOTLINE, APAV
Lugar
RK Tipos de registos Nº % RK Tipos de registos Nº % Variação %
RK
Conteúdos de abuso Conteúdos de abuso

1º 611 76 1º 628 79 +3 =
sexual de menores sexual de menores
2º Discurso de ódio 190 24 2º Discurso de ódio 163 21 -14 =
Fonte: APAV (2023 e 2024)
O número de imagens categorizadas como conteúdo de abuso se-

xual de menores aumentou significativamente em 2023, para quase o
dobro, face ao ano anterior, com 1526 registos. Mais uma vez, o ano de
2021 destaca-se como aquele em que ocorreram mais casos desde 2020.
70
Figura 28
NÚMERO DE IMAGENS CATEGORIZADAS COMO CONTEÚDO DE ABUSO SEXUAL DE MENORES

REGISTADAS PELA LINHA INTERNET SEGURA, APAV
1929
1773
1526
878
2020 2021 2022 2023
Fonte: APAV (2020, 2021, 2022, 2023 e 2024)
DESTAQUES • O número de processos de atendimento e apoio registados pela LIS au-

mentou 23% em 2023 face ao ano anterior, fixando-se nos 1522;
• O número de crimes e outras formas de violência registados pela di-
mensão Helpline da LIS cresceu de 478 em 2022 para 731 em 2023;
• A burla (17% do total), a extorsão (7%) e a sextortion (7%) foram os crimes
e outras formas de violência com mais registos no âmbito da dimensão
Helpline da LIS em 2023;
• Pela primeira vez, em 2023, entre as vítimas que se identificaram no
âmbito dos atendimentos na dimensão Helpline da LIS, houve mais
homens (46%) do que mulheres (37%). Cerca de 7% das vítimas eram
menores de idade;
• O tipo de registo na dimensão Hotline da LIS com mais volume
continuou a ser o conteúdo de abuso sexual de menores, com
79% do total;
• O número de imagens com conteúdo de abuso sexual de me-
nores registado pela LIS aumentou significativamente em 2023,
para quase o dobro, fixando-se em 1526.
Relação de “Incidentes e Cibercrime” com as seguintes linhas de ação da ENSC: E2 a, E2 s, E3 b,

E3 c, E4 f, E4 h, E6 e e E6 f (ver anexo).
71
EM 2023, AS GUERRAS NA
UCRÂNIA E NO MÉDIO ORIENTE
TIVERAM CONSEQUÊNCIAS
SIGNIFICATIVAS EM VÁRIOS
DOMÍNIOS DO SISTEMA
INTERNACIONAL, INCENTIVANDO
A POLARIZAÇÃO ENTRE ESTADOS
E A MULTIPLICAÇÃO DE DIVISÕES
GEOPOLÍTICAS, COM EFEITOS
NA SEGURANÇA GLOBAL E NO
ESPAÇO EURO-ATLÂNTICO.
72
Centro Nacional
de Cibersegurança
PORTUGAL
C. A M E A Ç A S , T E N D Ê N C I A S
E DESAFIOS
D
epois de apresentados os dados relativos aos incidentes de
cibersegurança e cibercrimes ocorridos em 2023, passa-se a
analisar as ameaças que podem estar na origem desses inci-
dentes e cibercrimes, as principais tendências nacionais e internacio-
nais mais persistentes e emergentes, bem como os desafios que se
colocam neste contexto.
AMEAÇAS
No âmbito das ameaças, analisam-se no próximo tópico os resul-

tados do inquérito anual do Observatório de Cibersegurança do CNCS
sobre Perceção de risco no ciberespaço de interesse nacional; a que
se segue uma caracterização dos agentes de ameaça mais relevantes
no contexto nacional, bem como das vítimas mais frequentes - esta
caracterização dos agentes de ameaça e das vítimas é feita com base
nos dados partilhados na primeira parte deste relatório, mas sobretudo
tendo em conta os contributos qualitativos de parceiros na construção
do presente documento.
PERCEÇÃO DE RISCO - RESULTADOS DE

INQUÉRITO A COMUNIDADE CNCS
O Observatório de Cibersegurança, no âmbito do presente relatório,

aplica anualmente o inquérito Perceção de risco no ciberespaço de in-
teresse nacional dirigido a pontos de contacto de entidades considera-
das partes interessadas no universo de organizações com quem o CNCS
coopera. Até ao ano passado, este inquérito era enviado a entidades na
esfera das organizações com protocolos de cooperação com o CNCS. A
partir deste ano, passou-se a enviar o inquérito às entidades que fazem
partes de dois tipos de comunidades de cibersegurança: os sete Centros
de Análise e Partilha de Informação (vulgo ISACs - Information Sharing
and Analysis Centers), dos setores das águas, energia, media, portos, re-
talho e distribuição e saúde, bem como da região dos Açores, e a Aliança
- um fórum de organizações orientado à capacitação em cibersegurança.
73
Enquanto os Centros de Análise e Partilha de Informação têm como
objetivo principal a colaboração entre as entidades que o compõe na
partilha de indicadores de cibersegurança para melhorar a sua ciber-
-resiliência, a Aliança é uma comunidade de operadores de serviços
essenciais, infraestruturas críticas e grandes empresas que procura
promover uma cultura nacional de cibersegurança. Embora algumas
destas organizações fizessem parte do universo anterior, esta alteração
no público-alvo obriga a que não se façam comparações com os anos
anteriores relativamente aos mesmos dados.
O inquérito de 2024 foi enviado aos pontos de contacto das organi-
zações que constituem estas comunidades e incide sobre as perceções
que os profissionais de cibersegurança em causa têm sobre os riscos
no ciberespaço de interesse nacional. Em geral, estes respondentes,
enquanto profissionais da área da cibersegurança, não são necessaria-
mente analistas das ameaças ao ciberespaço. A sua perceção, no en-
tanto, é construída a partir de lugares de responsabilidade em organi-
zações-chave para a cibersegurança nacional, o que torna a sua visão
relevante, ainda que parcelar. Neste inquérito, obtiveram-se 31 respos-
tas num universo de 62 entidades.
Para 81% dos inquiridos o risco de alguma entidade sofrer um inci-
dente de cibersegurança no ciberespaço de interesse nacional aumen-
tou em 2023. Curiosamente, para 68% dos inquiridos, a sua perceção
ainda foi influenciada pela pandemia de Covid-19. Com um volume
maior, para 87% dos inquiridos, a sua perceção foi influenciada pela
guerra na Ucrânia.
Tabela 32
PERCEÇÃO DE RISCO PARA O CIBERESPAÇO DE INTERESSE NACIONAL, 2023
O risco de alguma entidade sofrer um incidente de cibersegurança Aumentou 81%
A pandemia de Covid-19 influenciou a perceção quanto ao risco Sim, aumentou 68%
A guerra na Ucrânia influenciou a sua perceção quanto ao risco Sim, aumentou 87%
O risco de alguma entidade sofrer um incidente de cibersegurança no próximo ano Aumentou 84%
Fonte: inquérito CNCS
O phishing/smishing foi a ciberameaça considerada mais relevante

em 2023 e perspetivando 2024, selecionada por 81% dos responden-
tes, em ambos os anos. Em 2023, segue-se a engenharia social, com
68%, e o ransomware, com 58%. Perspetivando 2024, o ransomware
adquire mais relevância do que em 2023, com 71%. Estas perceções
coincidem em parte com as estatísticas sobre incidentes de ciberse-
gurança efetivos.
74
Tabela 33
PERCEÇÃO SOBRE CIBERAMEAÇAS MAIS RELEVANTES*
2023 Perspetivando 2024

Variação
RK 23/24
RK Tipo % RK Tipo %
1º Phishing/Smishing 81 1º Phishing/Smishing 81 =
2º Engenharia social 68 2º Ransomware 74 +
3º Ransomware 58 3º Engenharia social 71 -
4º Comprometimento de conta 58 4º Comprometimento de conta 61 =
5º Exploração de vulnerabilidade 45 5º Exploração de vulnerabilidade 58 =
6º Software malicioso em dispositivo 42 6º Software malicioso em dispositivo 45 =
Tentativa de login por parte de

7º Scanning aos sistemas 35 7º 35 +
terceiros a uma conta
Tentativa de login por parte de

8º 32 8º Scanning aos sistemas 32 -
terceiros a uma conta
9º SPAM 23 9º DoS/DDoS 23 +
10º DoS/DDoS 19 10º SPAM 10 -
Fonte: inquérito CNCS
*Múltiplas respostas possíveis.
Entre os agentes de ameaça, os cibercriminosos foram os conside-

rados mais relevantes para a maioria dos respondentes, para 80%, em
2023; e 79%, perspetivando 2024. No que se refere a 2023, seguem-se
os ciberterroristas, para 50%, e os agentes estatais, para 40%. Perspe-
tivando 2024, depois dos cibercriminosos, seguem-se os hacktivistas,
para 58%, e os ciberterroristas, para 47% - a este respeito verifica-se
um certo desfasamento entre estas perceções e os dados concretos.
Por exemplo, os ciberterroristas têm registado menor atividade do
que os hacktivistas no ciberespaço em geral, quer no presente, quer
no passado. No entanto, surgem neste inquérito sobre perceções bem
acima da sua relevância verificada. Embora o questionário em cau-
sa apresente uma definição dos termos quando realiza as perguntas,
esta divergência pode resultar de diferenças de interpretação sobre o
que é efetivamente um ciberterrorista, havendo eventualmente uma
associação deste a atos meramente disruptivos, mais próximos de ou-
tros agentes, como os hacktivistas ou os agentes de cibervandalismo.
75
Tabela 34
PERCEÇÃO SOBRE AGENTES DE AMEAÇA MAIS RELEVANTES*

Variação
RK 22/23
RK Tipo % RK Tipo %
1º Cibercriminosos 80 1º Cibercriminosos 79 =
2º Ciberterroristas 50 2º Hacktivistas 58 +
3º Agentes estatais 40 3º Ciberterroristas 47 -
4º Ameaças internas 40 4º Agentes estatais 42 -
5º Hacktivistas 30 5º Ameaças internas 26 -
6º Script kiddies 25 6º Script kiddies 21 =
7º Agentes de cibervandalismo 15 7º Agentes de cibervandalismo 16 =
8º Empresas 5 8º Empresas 11 =
Fonte: CNCS
*Múltiplas respostas possíveis. 65% capazes de identificar em 2023. Perspetivando 2024, respondem 61%. Dada a mediatização de algumas
ações destes agentes e a dificuldade que persiste na sua identificação em termos operacionais, a perceção sobre os ditos, mesmo entre
especialistas, pode não coincidir com outras fontes e dados empíricos deste relatório. O capítulo “Agentes de ameaça críticos para o cibe-
respaço de interesse nacional” procura apresentar uma hierarquização com base em todos os dados disponíveis. Não obstante, cada um
destes conceitos é explicado no questionário aplicado.
A tecnologia emergente mais considerada como desafiante para

a cibersegurança em 2023 foi a Internet das Coisas, para 71% dos res-
pondentes, seguindo-se a Computação em Nuvem, para 68%, e a IA,
para 61%. Perspetivando 2024, a IA adquire um crescimento significa-
tivo face a 2023, sendo relevante para 94%. Esta situação pode ser um
indício de que a atual presença notória da IA nos debates públicos não
significa uma igual relevância nas perceções dos profissionais, embora
se perspetive uma importância futura.
76
Tabela 35
PERCEÇÃO SOBRE AS TECNOLOGIAS EMERGENTES QUE REPRESENTARAM UM

DESAFIO MAIOR PARA A CIBERSEGURANÇA*

Variação
RK 22/23
RK Tipo % RK Tipo %
1º Internet das Coisas 71 1º Inteligência Artificial 94 +
2º Computação em Nuvem 68 2º Computação em Nuvem 61 =
3º Inteligência Artificial 61 3º Internet das Coisas 58 -
4º Computação Quântica 10 4º Computação Quântica 26 =
5º 5G 3 8º 5G 16 =
Fonte: CNCS
*Múltiplas respostas possíveis
Não obstante os riscos percecionados, uma percentagem signifi-

cativa dos respondentes considera que o ciberespaço, em 2023, es-
teve mais capacitado do ponto de vista da cibersegurança (42%) ou
igualmente capacitado (45%). Portanto, embora se verifique uma
perceção de que as ameaças aumentaram e o risco também, esta é
acompanhada por uma perceção relativamente positiva quanto à re-
siliência nacional a ciberataques.
Figura 29
EM TERMOS DE RESILIÊNCIA A CIBERATAQUES, EM 2023, O CIBERESPAÇO DE INTERESSE NACIONAL ESTÁ:
45%
42%
10%
3%
Mais capacitado Igualmente capacitado Menos capacitado Não sabe
Fonte: Inquérito CNCS
77
DESTAQUES • Em 2023, para 81% dos respondentes a um inquérito do CNCS a
profissionais de entidades das comunidades de cibersegurança
existe a perceção de que aumentou o risco de uma entidade so-
frer um incidente de cibersegurança no ciberespaço de interesse
nacional (87% considera que a sua perceção foi influenciada pela
guerra na Ucrânia);
• O phishing/smishing foi a ciberameaça percecionada como rele-
vante em 2023 por mais profissionais, para 81%, seguindo-se a en-
genharia social, para 68%, e o ransomware, para 58%, o qual adqui-
re particular relevância quando se perspetiva 2024, para 71%;
• Os cibercriminosos foram o tipo de agente de ameaça perceciona-
do como mais relevante, quer em 2023, para 80%, quer perspeti-
vando 2024, para 79%;
• A Internet das Coisas foi a tecnologia emergente mais perceciona-
da como desafiante para a cibersegurança em 2023 pelos profis-
sionais, com 71%. Contudo, perspetivando 2024, a IA adquire uma
relevância muito elevada, com 94%;
• Para 42% dos profissionais, o ciberespaço de interesse nacional, em
2023, esteve mais capacitado e, para 45%, igualmente capacitado.
AGENTES DE AMEAÇA CRÍTICOS PARA O

CIBERESPAÇO DE INTERESSE NACIONAL
Não é propósito deste relatório identificar os responsáveis em con-

creto pelos incidentes de cibersegurança e pelos cibercrimes descri-
tos. Contudo, apresenta-se uma categorização da tipologia de atores
plausivelmente na origem das situações em causa. Considerando as
fontes qualitativas, bem como as características dos incidentes e ciber-
crimes dominantes, tem sido possível caracterizar os tipos de agentes
de ameaça mais relevantes, permitindo desse modo contribuir para a
construção de quadros de expetativa quanto aos modi operandi que
conduzem a certos incidentes e cibercrimes (ver Bruijne et al., 2017).
Tal como em anos anteriores, também presentemente se destacam
três tipos de agentes de ameaça: os cibercriminosos, os atores estatais
e os hacktivistas. No entanto, existem outras categorias, por vezes um
pouco mais ambíguas, que também têm relevância no ciberespaço de
interesse nacional, embora menos. É o caso dos ciberdelinquentes e de
agentes de cibervandalismo, que são mais motivados pela possibilida-
de de provocar a disrupção em sistemas ou a perturbação em pessoas,
ganhando vantagem reputacional ou passional, do que por ganhos
económicos, estratégicos ou ideológicos.
78
1. CIBERCRIMINOSOS
Embora qualquer cibercrime resulte de um ato criminoso, conven-

cionou-se designar os cibercriminosos como os agentes de ameaça
que praticam crimes no ciberespaço com o objetivo de obter ganhos
económicos, distinguindo-se dos atores estatais e dos hacktivistas,
por exemplo, que têm em termos gerais propósitos mais estratégicos
e ideológicos, respetivamente. A forma como estes grupos se organi-
zam e atuam também se distingue. O cibercriminoso tende a ser mais
oportunista do ponto de vista temático e indiscriminado nos alvos que
escolhe do que outros atores. Nos últimos anos, tem mostrado um
crescente nível de colaboração entre os seus membros e de “profissio-
nalização” (ENISA, 2023).
Os cibercriminosos continuam a ser o tipo de agente de ameaça
dominante, não só pelo número de ataques em que estão envolvidos,
como tendo em conta o efeito que provocam na atividade económica e
no espaço público. Em 2023, verificou-se um elevado impacto da ciber-
criminalidade organizada em Portugal, afetando entidades públicas e
privadas, com particular destaque para ações que conduziram a casos
de ransomware, muito assentes em redes de ransomware-como-servi-
ço, bem como práticas de engenharia social dirigidas às organizações,
como a CEO Fraud e outras situações de comprometimento de email
empresarial. A presença persistente do ransomware nas estatísticas
apresentadas na primeira parte deste relatório e o recente crescimento
dos casos de CEO Fraud, para quase o dobro, nos números do CERT.PT,
são sintomas desta situação.
É de relevar ainda o papel dos cibercriminosos nas fraudes digitais
que afetaram vítimas através de plataformas de comércio eletrónico e
de redes sociais, bem como na persistência de campanhas de phishing,
como as que personificaram entidades do setor bancário. Muitos des-
tes cibercriminosos, visando o comprometimento de contas, estiveram
por trás do uso da técnica de spoofing do número de telefone de en-
tidades fidedignas, criando um pretexto fraudulento mais difícil de
detetar por parte das vítimas, que veem o seu telemóvel associar de-
terminado contacto a uma entidade, chegando a partilhar códigos
de validação com os burlões por esta via. Estas fraudes tenderam a
ser praticadas por clusters de criminosos, que funcionam em coope-
ração, e que mantêm uma atividade bastante organizada, colocando
em risco a confiança dos utilizadores nas interações comerciais e so-
ciais realizadas online. O volume de incidentes de phishing, smishing
e vishing, bem como de crimes de burlas online já apresentados, e
que se mantêm elevados de ano para ano, revelam o impacto desta
criminalidade no ciberespaço de interesse nacional.
Na esfera das fraudes digitais praticadas por cibercriminosos des-
tacaram-se também algumas práticas que envolveram meios de pa-
gamento eletrónico. Esta superfície de ataque torna-se vulnerável a
ameaças por duas vias: por um lado, por falta de mecanismos ins-
talados de dupla autenticação ou de validação bancária; por outro,
porque alguns utilizadores fazem um uso desadequado destas apli-
cações, realizando compras em websites inseguros, aderindo a servi-
ços falsamente gratuitos ou partilhando códigos de validação com o
agente de ameaça.
79
2. ATORES ESTATAIS
Os designados “atores estatais” correspondem a grupos associa-

dos a Estados estrangeiros, quer porque pertencem à sua estrutura,
como a serviços de informações ou militares, quer porque são grupos
externos patrocinados por esses Estados para realizar ações conside-
radas vantajosas para quem os patrocina. Os atores estatais movem-
-se sobretudo por objetivos estratégicos e geopolíticos, através de ci-
berespionagem, cibersabotagem e, em alguns casos, extorsão para
ganhos económicos. Comparativamente com outros tipos de atores,
os estatais têm bastantes recursos e tendem a realizar ações persis-
tentes no tempo, daí ser-lhes atribuído frequentemente o título de
“ameaças persistentes avançadas” (vulgo APT – Advanced Persistent
Threat) (ENISA, 2023).
O contexto internacional de guerras na Ucrânia e na Palestina fa-
voreceu a formação de polarizações que colocam Portugal numa po-
sição mais exposta a ameaças resultantes destes conflitos, por via da
sua pertença à Organização do Tratado do Atlântico Norte (NATO -
North Atlantic Treaty Organization) e de tomadas de posição públicas
sobre os conflitos em causa. Verificou-se em 2023 a existência de um
número significativo de eventos no ciberespaço europeu resultantes
da ação direta ou indireta de Estados hostis. À imagem do observado
em anos anteriores, estes Estados continuaram a promover operações
que visaram a prossecução dos seus objetivos estratégicos, gerando
uma ameaça às sociedades democráticas. Neste contexto, Portugal
também foi alvo, nomeadamente de campanhas de ciberespionagem
orientadas para o comprometimento de vítimas institucionais públicas
e privadas. É importante ainda salientar a ameaça relacionada com a
utilização do ciberespaço nacional e europeu como proxy para a anoni-
mização de ciberataques realizados contra alvos terceiros.
3. HACKTIVISTAS
Os chamados “hacktivistas” (contração dos termos “hacker” e “ati-

vista”) têm aumentado a sua relevância de ano para ano, atuando
como ativistas no ciberespaço em nome de uma determinada cau-
sa político-ideológica (ENISA, 2023). Embora este tipo de ator tenha
tido em Portugal quase sempre uma expressão nacional, nos últimos
anos, no contexto internacional já descrito, o país ficou mais exposto a
dinâmicas globais em que grupos deste tipo atuaram em função das
polaridades abertas pelos antagonismos emergentes, como os que
resultaram da guerra na Ucrânia e do conflito no Médio Oriente, já
referidos. Trata-se de um hacktivismo alinhado com objetivos táticos
e estratégicos de Estados que procuram desestabilizar a segurança
internacional e as sociedades democráticas.
Em 2023, verificaram-se efeitos no ciberespaço de interesse na-
cional deste fenómeno. Estes hacktivistas, alguns que se consideram
“patrióticos”, conduziram, à escala nacional e internacional, atos dis-
ruptivos de reduzida incidência técnica contra alvos públicos e pri-
vados. Além destes atos disruptivos, como o DDoS, é notório o uso
crescente de técnicas combinadas que procuraram, mediante cibe-
respionagem, exfiltrar e divulgar informação sensível (hack & leak),
bem como a disseminação de desinformação no ciberespaço.
80
4. OUTROS ATORES
Algum do hacktivismo emergente tem perdido densidade ideoló-

gica, transitando para tipologias de ação mais próprias da ciberdelin-
quência ou cibervandalismo, em que a orientação dos seus membros
procura o protagonismo mediático e entre pares mediante ações de
cibersabotagem que almejam uma visibilidade sem causa.
Acresce que diversos dados partilhados e descritos pelos parcei-
ros na construção do presente relatório, como, por exemplo, os da PJ,
PGR e APAV, embora se refiram a atos criminosos, remetem para ti-
pologias de ação não redutíveis ao cibercrime como definido em ter-
mos de agentes de ameaça. Por exemplo, o cyberbullying, a violência
doméstica ou a autoprodução não forçada ou coagida de conteúdos
íntimos entre jovens correspondem a atos com objetivos passionais e
não económicos, que se inscrevem numa violência simbólica sobeja-
mente potenciada pelo ciberespaço e que se dissemina entre utiliza-
dores comuns.
Vítimas predominantes
A vítima mais visada por estes diversos agentes de ameaça em

2023, à luz dos dados estatísticos e qualitativos dos parceiros do pre-
sente documento, foi o setor dos Prestadores de Serviços de Internet.
Esta incidência refere-se, na prática, a utilizadores domésticos, indiví-
duos e PME, que são clientes destes prestadores e alvos de muitas das
ciberameaças mais frequentes, como o phishing e as burlas online,
e não são categorizados nos restantes setores e áreas governativas.
Considerando os dados do CERT.PT, e como referido no capítulo so-
bre incidentes, a tentativa de login sobressai enquanto incidente mais
frequente neste setor, seguido do sistema infetado e do phishing.
O ano de 2023 foi ainda marcado por diversos casos a afetar Câma-
ras Municipais. Apesar da relevância qualitativa de alguns dos ataques
de ransomware que afetaram este tipo de entidade, nos dados do
CERT.PT destacaram-se o comprometimento de conta não privilegia-
da e o phishing como incidentes mais frequentes na Administração
Pública Local.
A Banca continua a ter muita relevância, principalmente porque a
marca das entidades deste setor é utilizada em ataques de phishing
e de outras formas de engenharia social (os dois tipos de incidentes
mais frequentes registados pelo CERT.PT neste setor), com o objetivo
de comprometer contas bancárias e obter ganhos financeiros. A se-
guir à Banca, os domínios da Educação, Ciência, Tecnologia e Ensino
Superior, bem como da Saúde, também foram alvos importantes, no-
meadamente de phishing.
Em qualquer destas esferas políticas, sociais e económicas, o tipo
de ciberameaça dominante resulta sobretudo de ações de cibercrimi-
nosos, mas nem sempre. Os atores estatais tendem a afetar infraes-
truturas do Estado e serviços essenciais. Os hacktivistas, por sua vez,
procuram desestabilizar entidades com visibilidade social, sendo que,
no contexto atual, alguns hacktivistas de cunho patriótico poderão ter
modi operandi semelhantes aos dos atores estatais.
81
DESTAQUES • Os agentes de ameaça mais relevante em 2023, tal como em anos an-
teriores, foram os cibercriminosos, os atores estatais e os hacktivistas;
• O cibercriminosos, no ciberespaço de interesse nacional, tende-
ram a realizar ataques de ransomware e campanhas de phishing,
smishing e vishing (com spoofing), bem como CEO Fraud e outras
formas de engenharia social, com vista a obter ganhos económicos;
• Os atores estatais, por sua vez, atuaram no ciberespaço de interes-
se nacional através de ações de ciberespionagem, afetando tanto
entidades públicas como privadas;
• Portugal também foi alvo de alguns atos disruptivos provenienetes
de hacktivistas de pendor “patriótico” no contexto das polarizações
geoestratégicas internacionais;
• Alguns atores transitam entre ações típicas de hacktivistas para
outras mais próprias de ciberdelinquentes ou agentes de cibervan-
dalismo, com pouca ou nenhuma densidade ideológica e com mo-
tivos pessoais e passionais;
• As vítimas mais frequentes dos agentes de ameaça descritos fo-
ram as PME e os indivíduos. No entanto, em 2023, as Câmaras Mu-
nicipais foram um alvo frequente e sofreram ciberataques com
impacto relevante. A Banca, por sua vez, continua a ser alvo de si-
mulações das suas marcas que afetam os seus clientes de forma
disseminada – os cibercriminosos são dominantes como agentes
a afetar estas vítimas, enquanto os atores estatais e os hacktivistas
patrióticos tendem a dirigir-se a infraestruturas do Estado e a ser-
viços essenciais.
TENDÊNCIAS E DESAFIOS
Os dados e a análise já disponibilizados permitem identificar gran-

des tendências. Os contributos de alguns parceiros sobre este tópi-
co também. Além disso, alguns acontecimentos internacionais e/ou
emergentes possibilitam conjeturar sobre o futuro próximo. Com base
nestes aspetos apresentam-se de seguida as principais tendências e
desafios para a cibersegurança nacional, através de uma caracteriza-
ção do contexto internacional e das dinâmicas no ciberespaço que po-
dem ter impacto a este respeito em 2024 e 2025.
CONTEXTO INTERNACIONAL
Em 2023, as guerras na Ucrânia e no Médio Oriente tiveram con-

sequências significativas em vários domínios do sistema internacional,
incentivando a polarização entre Estados e a multiplicação de divisões
geopolíticas, com efeitos na segurança global e no espaço euro-atlân-
tico. Estes conflitos continuam a demonstrar que diversos instrumen-
tos das denominadas ameaças híbridas são usados contra interesses
nacionais e da Aliança Atlântica. Destes, saliente-se a propaganda e as
operações de informação e desinformação em plataformas digitais. No
domínio da propaganda, refira-se que indivíduos e movimentos que
82
perfilam ideários extremistas violentos e conspirativos têm incorpora-
do estes conflitos nas suas narrativas e ações de desinformação.
A desinformação em plataformas digitais desenvolvida por atores
estatais hostis e entidades afiliadas proxies, mais sofisticada e com sig-
nificativa integração de ferramentas de IA ao longo do último ano (não
apenas relativa aos conflitos militares, mas também em relação a ou-
tros temas, como a imigração, igualdade de género e causas ambien-
tais) continua a ser disseminada e a ter um alcance expressivo junto
de várias audiências. Os objetivos de atores estatais hostis e de grupos
não estatais, no que se refere à produção e disseminação deste tipo de
conteúdos, continuam a apontar para um ataque à coesão das socie-
dades, o limitar da capacidade de decisão das instituições e o colocar
em causa os alicerces do Estado de direito democrático.
A guerra na Ucrânia continua a refletir-se na esfera das ciberamea-
ças, com o desencadeamento de novas ações de ciberespionagem e
cibersabotagem, por iniciativa de atores estatais ou grupos patrocina-
dos por estes. Por sua vez, a guerra entre Israel e o Hamas também se
repercute no ciberespaço através de incidentes que afetaram o espaço
euro-atlântico, nomeadamente mediante a atividade de hacktivistas
que tomam partido por uma das partes.
Em geral, os ataques hacktivistas de grupos não estatais de inspira-
ção nacionalista e egotista visaram redes e plataformas de entidades
públicas e privadas. A comunidade hacktivista revela níveis elevados de
atividade contra o espaço euro-atlântico, maioritariamente com ata-
ques DDoS e defacements que procuram capitalizar o efeito mediá-
tico, embora apenas um número reduzido de ataques revele maiores
impactos, por exemplo, através da exposição pública de dados priva-
dos/sensíveis (leaks), para causarem efeitos mais disruptivos a gover-
nos e sociedades.
Fora do âmbito destes conflitos político-militares, outros atores esta-
tais continuaram a manter uma atividade regular e significativa, sobre-
tudo com ações de ciberespionagem visando os domínios industrial, di-
plomático, militar, scanning de infraestruturas e vigilância a opositores.
INDICADORES DE INCIDENTES E CIBERCRIME EM

RELATÓRIOS INTERNACIONAIS
Dada a dificuldade em realizar comparações estatísticas válidas en-

tre países sobre os incidentes de cibersegurança e a cibercriminalida-
de, o presente relatório tem recorrido a uma comparação qualitativa
com outros relatórios com análises às ameaças ao ciberespaço, sobre-
tudo na UE, por parte da Agência da União Europeia para a Ciberse-
gurança (ENISA), da Europol e da Equipa de Resposta a Incidentes de
Cibersegurança da UE (CERT-EU).
Os três documentos em causa representam perspetivas com algu-
mas diferenças que importa considerar. A ENISA concentra-se nos in-
cidentes de cibersegurança; a Europol aborda a cibercriminalidade; e o
CERT-EU, centrando-se nos incidentes, foca-se apenas nas instituições
da UE e não na totalidade do ciberespaço de interesse da UE, como
o fazem as duas outras entidades. Não obstante estas diferenças, as
visões que estas abordagens apresentam cruzam-se e incidem sobre
aspetos do ciberespaço que se sobrepõem, mostrando tendências in-
ternacionais que permitem analisar a existência ou não de um alinha-
mento com a situação nacional.
83
À luz dos três documentos, o ransomware é a ameaça mais persis-
tente, em particular no conjunto da UE (e não tanto nas instituições da
UE), seguindo-se o phishing, outras formas de engenharia social (entre
as quais a CEO Fraud) e os ataques à disponibilidade dos serviços di-
gitais (como o DDoS). Para a ENISA, sobressaem ainda as ameaças aos
dados, a manipulação da informação e os ataques às cadeias de forne-
cimento. Para a Europol, do ponto de vista dos conteúdos criminosos,
a exploração sexual de crianças online mantém-se uma preocupação.
Como tendências, quer a ENISA, quer a Europol, sublinham que os
ciberataques e o cibercrime aumentaram o seu número e o nível de
complexidade. O CERT-EU é relativamente omisso nesta matéria. Este
diagnóstico é semelhante a anos anteriores e, pelo menos em parte,
mostra um certo alinhamento com as tendências nacionais.
Quadro 3
TENDÊNCIAS E PRINCIPAIS AMEAÇAS AO CIBERESPAÇO SEGUNDO RELATÓRIOS

INTERNACIONAIS
Fonte Threat Landscape 2023 Internet Organised Crime Threat Landscape Report 2023
ENISA (2023) Threat Assessment 2023 CERT-EU (2024)
EUROPOL (2023)
Universo União Europeia Governos, empresas e Instituições da União Europeia

cidadãos da União Europeia
Ameaças • Ransomware • Ransomware • Spearphishing

• Malware • Phishing • Ransomware
• Engenharia social • Negação de Serviço
• Ameaças aos dados Distribuída (DDoS)
• Ameaças à disponibilidade • Fraudes online (CEO
• Manipulação de informação Fraud, BEC, esquemas de
e interferência caridade, skimming digital)
• Ataques à cadeia de • Exploração sexual de
fornecimento crianças online
Tendências “In the latter part of 2022 “Cybercrime, in its various “Spearphishing remained the
and the first half of 2023, forms, represents an predominant initial access
the cybersecurity landscape increasing threat to the method for state-sponsored
witnessed a significant EU. Cyber-attacks, online and cybercrime groups seeking
increase in both the variety child sexual exploitation, to infiltrate target networks. (…)
and quantity of cyberattacks and online frauds, are highly In 2023, ransomware remained
and their consequences. The complex crimes and manifest the predominant cybercrime
ongoing war of aggression in diverse typologies. activity, globally. However, we
against Ukraine continued Offenders continue showing didn't detect any significant
to influence the landscape. high levels of adaptability ransomware breach affecting
Hacktivism has expanded with to new technologies and Union entities.”
the emergence of new groups, societal developments,
while ransomware incidents while constantly enhancing
surged in the first half of cooperation and
2023 and showed no signs of specialisation. Cybercrimes
slowing down.” have a broad reach and inflict
severe harm on individuals,
public and private
organisations, and the EU’s
economy and security.”
84
PRINCIPAIS TENDÊNCIAS COM POSSÍVEL
IMPACTO NACIONAL
Tendo em conta o contexto internacional apresentado, além de

dinâmicas persistentes e emergentes, apresentam-se de seguida al-
gumas das principais tendências que se consideram relevantes para
Portugal num futuro próximo.
Continuação de esforços para aceder e explorar

vulnerabilidades “dia 0”
A exploração de vulnerabilidades “dia 0” (uma vulnerabilidade téc-

nica que ainda não foi divulgada) tem sido uma tendência apontada
em anteriores relatórios Riscos e Conflitos e que se perspetiva poder
vir a manter-se em 2024, face à sucessão de novos relatos de ataques
bem-sucedidos a aplicações de Tecnologias de Informação e Comuni-
cação (TIC), sobretudo de fornecedores com presença global. Estima-
-se que esta deverá continuar a ser uma das táticas mais privilegiadas
por atacantes para o comprometimento de alvos, dadas as dificulda-
des de deteção, em tempo útil, e a necessidade de as empresas dispo-
rem de alguns dias de margem temporal para emitir as atualizações
de segurança (patches).
Aumento da frequência das infeções através de pens

USB com malware oculto
Em 2023, verificou-se um número crescente de relatos de inciden-

tes e campanhas em que a infeção inicial nos sistemas ocorreu por
via da inserção de pens USB contendo malware ocultado em fichei-
ros. Este tipo de malware tende a propagar-se de forma crescente,
replicando-se para novas USB inseridas nos dispositivos e comprome-
tendo, sucessivamente, novos dispositivos onde são inseridas as pens
infetadas. Considera-se muito provável que um número crescente de
organizações venha a ser afetado por este tipo de infeções, mesmo
que de forma inadvertida.
Risco de cibersabotagem e hacktivismo em face do

contexto internacional
No contexto das fraturas políticas, sociais e religiosas decorrentes

dos conflitos na Ucrânia e no Médio Oriente, continua a perspetivar-se
a ocorrência de ataques hacktivistas – ou até mesmo um aumento da
sua frequência e impactos –, por exemplo, sob a forma de campanhas
de DDoS, recurso a malware de destruição de dados (data wipers) ou
leaks de dados privados/sensíveis de pessoas e organizações. Por ou-
tro lado, mantém-se o potencial de aproveitamento por estes agen-
tes de outros temas, como as alterações climáticas, movimentos de
protesto contra os governos ou causas egotistas. Em 2024, a ocorrên-
cia de várias eleições nacionais e de grandes eventos internacionais,
como os Jogos Olímpicos, poderão ser momentos propiciadores para
a verificação destes ataques hacktivistas.
85
Expetativas de valorização de criptomoedas potenciam
atividades de cibercrime
A cotação de algumas criptomoedas tem registado uma nova fase

de crescimento desde meados de 2023, verificando-se a hipótese de
a tendência se prolongar em 2024, favorecida por eventos, como a
recente regulação dos ETF (Exchange Traded Fund) de criptomoe-
da pelo regulador norte-americano para o mercado de capitais e um
novo halving (redução para metade da quantidade de criptomoeda
que o processo de mineração permite, podendo contribuir para uma
valorização da mesma), esperado para o presente ano11. Este potencial
de valorização – que, reforce-se, pode não se concretizar – aumenta a
atratividade destes ativos para atores do cibercrime e de ciberespio-
nagem. Segundo dados da indústria, aparenta existir uma correlação
entre os picos de valorização de criptomoedas e um aumento de par-
te das atividades de cibercrime centradas nestes ativos.
Maior recorrência de desinformação com conteúdos

de IA generativa
As aplicações que permitem criar textos, vídeos e imagens com

recurso a IA têm-se tornado mais acessíveis, conteúdos que acabam
por ser difundidos por utilizadores em redes sociais, de forma lúdica
ou maliciosa, embora sem estarem identificados como inautênticos
ou serem percebidos como tal. Estas ferramentas também podem ser
usadas em apoio a ciberataques, por exemplo, pelo recurso a plata-
formas com IA para gerar conteúdos de phishing ou esclarecimento
de dúvidas sobre programação e/ou exploração de botnets para gerar
automaticamente conteúdos de IA que contornem mecanismos de
identificação de ações maliciosas. Estes riscos são potenciados pelo
facto de os sistemas de controlo de conteúdos estarem subcapacita-
dos para detetar, classificar ou eliminar, em tempo útil, conteúdos ge-
rados por IA, devido a constrangimentos de pessoal e/ou tecnologia.
É expectável uma maior recorrência na difusão destes conteúdos
gerados por IA em plataformas digitais, juntando-se a outras formas
de desinformação já amplamente exploradas (e.g. narrativas construí-
das, vídeos/imagens descontextualizadas). É também expectável que
a IA venha a produzir reflexos extensos em matéria de capacitação dos
atores hostis, gerando uma aceleração global das ciberameaças de
forma massificada e automatizada, com um número cada vez maior
de agentes de ameaça e com previsíveis consequências na segurança
do ciberespaço. O acesso generalizado por agentes de ameaça com
vínculo estatal a este tipo de tecnologia tende a ter um caráter mais
profissionalizado, fomentando casos de ciberespionagem, seguidos,
de forma desestruturada, por grupos da cibercriminalidade e por co-
letivos hacktivistas. De uma maneira genérica, prevê-se que as capa-
cidades de automação, de repetição e de disseminação da IA venham
a promover, também, uma maior frequência de ciberataques, com
maiores graus de anonimato, sendo muito provável o uso desta tec-
nologia na criação de coberturas operacionais e de construção de tex-
to e de imagem de forma sofisticada.
10. Consultar: https://www.theguardian.com/technology/2024/apr/19/what-is-bitcoin-

halving-price [consultado a 09/05/2024]
86
Persistência de ciberameaças de 2023
Prevê-se que em 2024 e 2025 persistam algumas das ciberameaças

que ganharam ou mantiveram relevância em 2023, nomeadamente o
phishing, o smishing e o vishing bancários, acompanhados frequen-
temente pela técnica de spoofing no caso do smishing e vishing -
spoofing que tenderá a ser usado na personificação de mais setores.
As burlas online relacionadas com a transação de bens ou serviços e
investimentos em moeda virtual também tendem a manter-se como
ameaças relevantes. Ainda se prevê que existam acessos ilegítimos
a carteiras de criptoativos. Entre as ameaças ciberdependentes des-
taca-se a persistência do risco de ataques de ransomware, nomea-
damente para as organizações pequenas e médias. Os malwares de
recolha de informação, os designados “infostealers”, têm ressurgido
como um problema, colocando desafios às boas práticas tradicionais
de proteção de credenciais de acesso.
DESTAQUES • O contexto internacional foi marcado pelos conflitos militares na

Ucrânia e no Médio Oriente e pelo aumento das tensões político-
-diplomáticas entre Estados, criando-se as condições para a pro-
liferação de ameaças híbridas, como as que instrumentalizam a
desinformação online. Esta situação também tem promovido a ci-
berespionagem e a cibersabotagem entre Estados.
• Relatórios internacionais sobre ameaças da ENISA, Europol e
CERT-EU relativos a 2023, centrados na UE, mostram um aumento
dos incidentes de cibersegurança e do cibercrime, bem como da
sua complexidade, com particular relevância para o ransomware,
o phishing, outras formas de engenharia social e ataques à dispo-
nibilidade de serviços digitais.
• As principais tendências e desafios no futuro próximo são os se-
guintes: continuação de esforços para aceder e explorar vulnera-
bilidades “dia 0”; aumento da frequência das infeções através de
pens USB com malware oculto; risco de cibersabotagem e hack-
tivismo em face do contexto internacional; expetativas de valoriza-
ção de criptomoedas a potenciar atividades de cibercrime; maior
recorrência de desinformação com conteúdos de IA generativa;
e a persistência de algumas ciberameaças de 2023, tais como o
phishing, smishing e vishing (com spoofing), burlas online, ran-
somware e infostealers.
Relação de “Ameaças, Tendências e Desafios” com as seguintes linhas de ação da ENSC: E2 a,

E2 c, E2 r, E2 s, E3 b, E4 b, E4 h e E6 e e E6 f (ver anexo).
87
Centro Nacional
de Cibersegurança
PORTUGAL
D. B R I E F I N G D A
ESTRATÉGIA NACIONAL
DE SEGURANÇA DO
C I B E R E S PAÇO
A
ENSC 2019-2023 esteve em vigor até ao final de 2023. Por isso,
a análise ao estado da cibersegurança no país no ano transato
do ponto de vista dos riscos e conflitos em relação aos objetivos
desta ENSC continua a ser pertinente. Poder-se-á mesmo dizer que a
importância desta abordagem é atualmente ainda maior do que na
edição anterior na medida em que será entre 2023 e 2024 que se pode-
rão avaliar melhor os resultados desta política pública.
Como referido noutros relatórios do Observatório de Ciberseguran-
ça, não se pretende estabelecer correlações causais entre os indicado-
res partilhados neste documento e os objetivos da ENSC, devido aos
desafios metodológicos de abordagens desse tipo, nomeadamente
a dificuldade em controlar a relação entre variáveis em ambiente tão
multifatorial. Não obstante, é possível perceber em que medida o esta-
do da cibersegurança em 2023 correspondeu ou não ao estado deseja-
do nos propósitos da ENSC iniciada em 2019.
Existem pelo menos três domínios que encontram neste documen-
to indicadores que podem informar a comunidade sobre o sucesso da
ENSC: a proteção contra incidentes e cibercrimes; a antecipação de
ameaças; e a cooperação entre entidades para a prevenção e resposta.
A este respeito, identificam-se 11 linhas de ação (ver anexo A) distribuí-
das por quatro eixos na ENSC: Eixo 2 - Prevenção, educação sensibi-
lização; Eixo 3 - Proteção do ciberespaço e das infraestruturas; Eixo 4
- Resposta às ameaças e combate ao cibercrime; e Eixo 6 - Cooperação
nacional e internacional.
Ao longo dos anos, o número de incidentes de cibersegurança e
de cibercrimes tem aumentado, embora este ano alguns indicadores
mostrem estabilização. A crescente quantidade de eventos maliciosos
no ciberespaço tem sido acompanhada por uma também crescente
complexidade qualitativa. Os agentes de ameaça ganharam sofistica-
ção e proliferaram, quer no âmbito da criminalidade, quer das relações
internacionais e da atividade ideológica. A massificação das tecnolo-
gias digitais conectadas e as tecnologias emergentes também con-
tribuíram para uma maior dificuldade em garantir a cibersegurança.
Deste ponto de vista, entre 2019 e 2023 a situação no ciberespaço não
se tornou menos ameaçadora. Ao contrário, existem mais ameaças.
88
Não obstante esta conclusão, o presente relatório mostra a existên-
cia no país de mecanismos de cooperação para a proteção e anteci-
pação das ameaças. A deteção de um incidente e a denúncia de um
cibercrime, podendo revelar mais problemas de segurança, mostram
igualmente capacidades para os identificar. Os dados partilhados e a
cooperação na forma como essa partilha ocorre neste documento são
indicadores que evidenciam uma evolução positiva entre 2019 e 2023.
Duas respostas ao inquérito sobre perceção de risco divulgado nes-
te relatório expressam bem o balanço que se pode fazer: por um lado,
perceciona-se que existem mais risco de se sofrer um incidente no ci-
berespaço de interesse nacional; por outro, considera-se que este mes-
mo ciberespaço está mais capacitado em termos de cibersegurança
ou igualmente capacitado. O desafio que se coloca à próxima ENSC
é, portanto, o de proporcionar um nível de resiliência do ciberespaço
superior ao ritmo de incremento das ameaças.
89
Centro Nacional
de Cibersegurança
PORTUGAL
E. R E C O M E N D A Ç Õ E S E
RECURSOS
Quadro 4
RECOMENDAÇÕES GERAIS
• Fomentar a criação de comunidades de cibersegurança setoriais e

regionais para a partilha de indicadores de comprometimento e de
ameaça entre as organizações;
• Correlacionar a identificação e atualização do quadro de ameaças com
as ações de mitigação do risco, nomeadamente os programas de capaci-
tação humana e tecnológica;
• Sensibilizar os cidadãos e os funcionários das organizações para as me-
lhores práticas de cibersegurança relativamente a ameaças que explo-
ram as vulnerabilidades do fator humano.
Fonte: CNCS
Quadro 5
RECOMENDAÇÕES POR CIBERAMEAÇA

Ciberameaças
principais
Comportamento individual Comportamento organizacional
Ransomware Aplicar as recomendações relativas ao Formar os colaboradores relativamente

phishing; salvaguardar cópias de segurança às recomendações relativas ao phishing e
em localização secundária e desconectada email; salvaguardar cópias de segurança em
da rede; manter os sistemas, as aplicações e o localização secundária e desconectada da
antivírus atualizados; evitar navegar em web- rede; manter os sistemas, as aplicações e o
sites sem garantias de segurança; não utilizar antivírus atualizados; ter as redes da orga-
dispositivos USB de origem desconhecida nização segmentadas; evitar navegar em
websites sem garantias de segurança; não
utilizar dispositivos USB de origem desco-
nhecida; manter estas ações monitorizadas
por políticas de segurança definidas
90
Phishing/ Não clicar em links ou anexos de emails Desenvolver ações de sensibilização contra
Smishing/Vishing ou SMS suspeitos; verificar a origem dos a engenharia social junto dos colaboradores;
emails, SMS ou telefonemas; não partilhar realizar simulações de phishing e aplicar
dados sensíveis solicitados por email, SMS as melhores práticas e standards de
ou telefonemas; confirmar noutras fontes segurança ao nível da configuração do
os pedidos de transferências bancárias ou email organizacional; manter estas ações
similares monitorizadas por políticas de segurança
definidas
Engenharia social Desconfiar de interpelações por email, SMS Desenvolver ações de sensibilização contra
ou telefone que conduzam a intrusões em a engenharia social junto dos colaboradores;
plataformas online ou a ações relevantes realizar simulações de ataques de
como transferências bancárias - confirmar engenharia social; manter estas ações
junto de terceiros e através de vários canais monitorizadas por políticas de segurança
a veracidade de solicitações realizadas por definidas
essas vias; não responder a tentativas de
extorsão sexual e denunciar os casos às
autoridades
Burla online Desconfiar de ofertas de produtos e serviços Desenvolver ações de sensibilização contra
à venda online demasiado boas; não a engenharia social junto dos colaboradores;
partilhar dados sensíveis em plataformas garantir que os colaboradores confirmam o
não reconhecidas; não transferir dinheiro destino e a necessidade das transferências
sem verificar noutras fontes o destino e bancárias solicitadas; utilizar carteiras virtuais
essa necessidade; desconfiar de solicitações ou cartões temporários nos pagamentos
por parte de terceiros de alterações das online a fornecedores; verificar a veracidade
configurações de aplicações de pagamentos; dos websites de fornecedores e privilegiar
utilizar carteiras virtuais ou cartões aqueles que utilizam HTTPS; manter estas
temporários nos pagamentos online; verificar ações monitorizadas por políticas de
a veracidade dos websites de vendas e segurança definidas
privilegiar aqueles que utilizam HTTPS
Comprometimento Utilizar palavras-passe fortes e Aplicar de forma contínua as políticas de

de contas alterá-las sempre que se suspeite segurança definidas quanto às palavras-
de comprometimento; aplicar as -passe em particular, promovendo o
recomendações relativas ao phishing/ cumprimento de requisitos mínimos de
smishing/vishing; aplicar o múltiplo fator de dimensão e complexidade; monitorizar
autenticação e bloquear ataques de força-bruta;
registar os eventos; aplicar o múltiplo
fator de autenticação; manter estas ações
monitorizadas por políticas de segurança
definidas
Fonte: CNCS
Quadro 6
Recursos do CNCS de suporte a estas recomendações
Para indivíduos Para organizações
Cursos online Cidadão Ciberseguro, Cidadão Quadro Nacional de Referência para a Cibersegurança;
Ciberinformado, Consumidor Ciberseguro e Cidadão Cibercheckup; Webcheck; Referencial de Competências
Cibersocial; Conteúdos de Boas Práticas; Centro Internet em Cibersegurança; C-Academy; Recursos para
Segura Sensibilização; Guia para Gestão dos Riscos; Referencial
de Comunicação de Risco e Crise em Cibersegurança;
C-Network
Fonte: CNCS
Estes recursos podem ser encontrados no website do CNCS: https://www.cncs.gov.pt

91
Centro Nacional
de Cibersegurança
PORTUGAL
F. N O T A S C O N C L U S I V A S
O
objetivo principal do presente documento é que a caracteri-
zação das ameaças aqui realizada tenha consequências nas
ações que visam mitigar os riscos decorrentes, nomeadamen-
te através de políticas de cibersegurança, de programas de formação
e treino e de análises e avaliações de risco. Por isso, as conclusões que
daqui se retiram destinam-se a fomentar práticas que melhorem efeti-
vamente a cibersegurança do país.
Tendo em conta os tipos de ciberameaças com maior relevância, é
fundamental continuar a investir na capacitação do fator humano nas
organizações, quer no setor público, quer no privado, incluindo a Aca-
demia, visto ser este setor tão fundamental na formação de profissio-
nais. A Administração Pública Local merece atenção (nomeadamente
através das Comunidades Intermunicipais), visto ter sido alvo frequen-
te de ataques de ransomware durante o 2023. As PME, por seu turno,
têm tradicionalmente menos capacidade do que as grandes empresas
(CNCS, 2023), mas, tal como os indivíduos, são alvos de ciberataques
que por vezes têm sucesso através da exploração das vulnerabilidades
do fator humano. O contexto de emergência da IA generativa, forte-
mente orientada à engenharia social, deve também ser considerado
neste domínio e mobilizar para a sensibilização e formação dos cida-
dãos e dos profissionais dos vários setores.
Perante a situação internacional, a Administração Pública (em parti-
cular os órgãos de soberania), os operadores de serviços essenciais e os
operadores de infraestruturas críticas devem integrar as novas amea-
ças que se lhes colocam na análise e no tratamento dos seus riscos. A
cooperação entre entidades e o investimento em profissionais qualifi-
cados pode ajudar nesta matéria.
Os diversos guias, referenciais, colaboração em rede (como a pro-
porcionada pela C-Network) e plataformas de sensibilização que o
CNCS oferece são um bom ponto de partida para que as organizações
e os indivíduos ajudem a cibersegurança do país através da sua pró-
pria capacitação.
92
Centro Nacional
de Cibersegurança
PORTUGAL
G. N O T A S
METODOLÓGICAS
A
metodologia aplicada na realização do presente relatório divi-
de-se em quatro etapas: 1) recolha de dados e perspetivas junto
dos parceiros e de fontes próprias; 2) análise de dados e perspe-
tivas para exposição e integração numa visão panorâmica; 3) redação; e
4) validação de documento junto dos parceiros.
A primeira e a segunda etapas são decisivas do ponto de vista meto-
dológico. A recolha dos dados e perspetivas junto dos parceiros foi rea-
lizada nos meses de janeiro e fevereiro de 2024, com base num guião
de questões padronizado. Cada parceiro enviou os dados e perspetivas,
quer em formato estatístico, quer com respostas diretas às questões
colocadas. Dois parceiros foram também entrevistados. Partes dos da-
dos partilhados neste contexto por algumas entidades foram publica-
das pelas próprias, nomeadamente APAV, CNPD, DGPJ e PGR. Todavia,
qualquer dos dados partilhados são tratados de forma específica no
presente relatório, com análise e opções originais.
Dois grupos de dados resultam de inquéritos realizados com a par-
ticipação do Observatório de Cibersegurança do CNCS. Os números
sobre os incidentes de cibersegurança registados pelo RNCSIRT re-
sultam de um inquérito anual lançado pela comissão executiva desta
rede aos seus membros, com o apoio do Observatório de Cibersegu-
rança. Nesta edição o inquérito foi respondido entre 26 de fevereiro
e 9 de março de 2024 por 60 membros, sendo que 50 autorizaram a
partilha das suas respostas sobre incidentes, de forma anónima, no
presente documento. Por sua vez, o inquérito Perceção de risco no
ciberespaço de interesse nacional foi enviado aos pontos de contac-
to de 40 entidades membros dos sete Centros de Análise e Partilha
de Informação, dos setores das águas, energia, media, portos marí-
timos, retalho/distribuição e saúde, bem como da Região Autónoma
dos Açores, e de doze entidades membros da chamada “Aliança”, uma
comunidade que promove a cooperação entre operadores de serviços
essenciais e operadores de infraestruturas críticas para a cibersegu-
rança no país. Num universo de 52 pontos de contacto, responderam
31, entre os dias 16 e 26 de janeiro de 2024.
93
A construção de uma visão integrada com base nos diferentes con-
tributos, particularmente importante no capítulo Ameaças e Tendên-
cias e no tópico Análise Global do Sumário Executivo, obedece a um
procedimento de ordenação por nível de relevância que pontua cada
ciberameaça com base na redundância entre fontes, importância de
cada fonte e impacto potencial do incidente associado. Estes valores
são ainda alinhados com os tipos de agentes de ameaça mais relevan-
tes, com base nos seus modi operandi mais típicos, e as vítimas mais
frequentes.
Em Análise Global tende-se a privilegiar a taxonomia de inciden-
tes da RNCSIRT (2023) na designação das ciberameaças, excetuando
quando essa taxonomia não cubra suficientemente casos expressos
em fontes relevantes que utilizam outras designações, como as do âm-
bito legal, sendo esse o caso da burla informática. Por exemplo, embora
o phishing/smishing utilize engenharia social como técnica, na taxo-
nomia da RNCSIRT o phishing tem uma tipologia própria, remeten-
do-se para engenharia social situações mais elaboradas do ponto de
vista da interação social, como são os casos de vishing ou CEO Fraud. A
burla informática, neste contexto, é associada sobretudo a transações
comerciais e financeiras online, incluindo-se aí, para o propósito deste
documento, os abusos de cartão bancário em geral, embora na lei se
efetue uma distinção entre a burla informática e o abuso de cartão de
garantia/dispositivo ou dados de pagamento.
A relevância da tipologia dos agentes de ameaça estipulada e os
destaques quanto às principais tendências, bem como o contexto in-
ternacional, beneficiaram do contributo central do Serviço de Informa-
ções de Segurança (SIS) e do Serviço de Informações Estratégicas de
Defesa (SIED), a que acresce a consideração dos dados quantitativos
analisados e de algumas outras perspetivas dos restantes parceiros.
O processo de integração dos diferentes contributos e redação do
texto final é da responsabilidade do CNCS.
94
Centro Nacional
de Cibersegurança
PORTUGAL
H. E N T I D A D E S P A R C E I R A S
• Associação Portuguesa de Apoio à Vítima (APAV)

• Associação Portuguesa para a Promoção da Segurança da In-
formação (AP2SI)
• Autoridade Nacional de Comunicações (ANACOM)
• Comissão Nacional de Proteção de Dados (CNPD)
• Direção-Geral da Política de Justiça (DGPJ)
• Direção-Geral de Estatísticas da Educação e Ciência (DGEEC)
• Direção-Geral de Política de Defesa Nacional (DGPDN)
• Gabinete Cibercrime da Procuradoria-Geral da República (GC-
-PGR)
• Rede Nacional de CSIRTs (RNCSIRT)
• Serviço de Informações de Segurança (SIS)
• Serviço de Informações Estratégicas de Defesa (SIED)
• Unidade Nacional de Combate ao Cibercrime e à Criminalida-
de Tecnológica da Polícia Judiciária (UNC3T-PJ)
95
Centro Nacional
de Cibersegurança
PORTUGAL
I. O O B S E R V A T Ó R I O D E
CIBERSEGURANÇA DO
CNCS
U
m Observatório, por definição, analisa uma dada realidade com
o objetivo de a tornar mais compreensível e, portanto, a ação
em relação à mesma mais consciente e estratégica. O Observa-
tório de Cibersegurança do CNCS visa observar o fenómeno da ciberse-
gurança em Portugal, nas suas mais variadas componentes, de modo
a informar as partes interessadas e a suportar a definição de políticas
públicas. Com uma visão multidisciplinar, o Observatório de Cibersegu-
rança sistematiza informação disponível ou promove a sua recolha nos
domínios da Sociedade, Economia, Políticas Públicas, Ética e Direito,
Riscos e Conflitos, bem como Inovação e Tecnologias Futuras.
Como modelo de governança, o Observatório de Cibersegurança

funciona em duas esferas:
Conselho Consultivo
Constituído por académicos de cada uma das áreas científicas das

Linhas de Observação, tem como missão avaliar, propor e discutir in-
dicadores, pesquisas e produtos, bem como sugerir a elaboração de
documentos e a realização de encontros. O Conselho Consultivo deve
trabalhar como conjunto, mas, eventualmente, poderá ser dividido em
grupos de trabalho setoriais. O Conselho Consultivo do Observatório
de Cibersegurança: https://www.cncs.gov.pt/pt/observatorio/#conselho
Parceiros
Numa lógica de envolvimento da comunidade, pretende criar-se

relações no âmbito do Observatório de Cibersegurança com entida-
des da sociedade civil, com as quais se procura contactar e estabelecer
parcerias. Estas entidades podem contribuir de três modos diferentes,
dependendo das suas características, para o conhecimento sobre a
cibersegurança em Portugal: produzindo estatísticas; desenvolvendo
I&D; ou mediando a recolha de dados junto dos públicos-alvo.
Página do Observatório de Cibersegurança do CNCS:

https://www.cncs.gov.pt/pt/observatorio/
96
Centro Nacional
de Cibersegurança
PORTUGAL
J. T E R M O S , S I G L A S E
ABREVIATURAS
Ameaça: “potencial causa de um incidente indesejado, que pode

provocar danos a um sistema, indivíduo ou organização.”
(ISO/IEC 27032)
Ameaças híbridas: “embora as definições de ameaças híbridas va-

riem e tenham de permanecer flexíveis para responder à sua natureza
evolutiva, o conceito destina-se a abarcar a combinação de atividades
coercivas com atividades subversivas, de métodos convencionais com
métodos não convencionais (ou seja, diplomáticos, militares, económi-
cos, tecnológicos) que podem ser utilizados de forma coordenada por
intervenientes estatais ou não estatais para atingir objetivos específi-
cos, mantendo-se, no entanto, abaixo do limiar de uma guerra formal-
mente declarada.”
(CE e ARUNEPS, Comunicação Conjunta ao Parlamento Europeu e ao Conselho,
Quadro comum em matéria de luta contra as ameaças híbridas uma resposta da União
Europeia)
Ameaça Persistente Avançada: “um adversário que possui níveis

sofisticados de especialização e recursos significativos que lhe permi-
tem criar oportunidades para alcançar os seus objetivos através do uso
de vários vetores de ataque (…) A ameaça persistente avançada: (i) pro-
cura concretizar os seus objetivos repetidamente durante um longo
período de tempo; (ii) adapta-se aos defensores e aos seus esforços de
resistência; e (iii) está determinada a manter o nível de interação neces-
sário para atingir os seus objetivos.”
(NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms)
Blocklist [lista de bloqueio]: “uma lista de entidades discretas, tais

como hosts ou aplicações, que foram previamente consideradas esta-
rem associadas a atividade maliciosa.”
Botnet: “rede de computadores infetados [drones] por software

malicioso e controlados à distância, sem o conhecimento dos utilizado-
res, com a finalidade de enviar mensagens eletrónicas não solicitadas,
furtar informações ou lançar ciberataques coordenados.”
(TCE, Desafios à Eficácia da Política de Cibersegurança da UE)
97
CEO Fraud/Comprometimento de Email de CEO/Negócio: “A frau-
de de CEO/negócio acontece quando um funcionário de uma empresa
é enganado de modo a pagar uma fatura falsa ou a fazer uma transfe-
rência não autorizada com a conta da empresa.”
(Europol, Cyberscams)
Cibercrimes: “factos correspondentes a crimes previstos na Lei do

Cibercrime e ainda a outros ilícitos penais praticados com recurso a
meios tecnológicos, nos quais estes meios sejam essenciais à prática
do crime em causa.” [O cibercriminoso é aquele que pratica estes cri-
mes; contudo, no âmbito dos agentes de ameaça, esta designação é
atribuída àquele que pratica estes crimes com intenções sobretudo
económicas].
(ENSC 2019-2023 [e ENISA, Threat Landscape 2021])
Ciberespaço: “consiste no ambiente complexo, de valores e interes-

ses, materializado numa área de responsabilidade coletiva, que resulta
da interação entre pessoas, redes e sistemas de informação.”
(ENSC 2019-2023)
Ciberespionagem: “esta ameaça geralmente tem como alvo os

setores industriais, as infraestruturas críticas e estratégicas em todo o
mundo, incluindo entidades governamentais, transportes, provedores
de telecomunicações, empresas de energia, hospitais e bancos. Fo-
ca-se na geopolítica, no furto de segredos comerciais e de Estado, de
direitos de propriedade intelectual e de informações proprietárias em
campos estratégicos.”
(ENISA, Threat Landscape 2018)
Cibersegurança: “consiste no conjunto de medidas e ações de

prevenção, monitorização, deteção, reação, análise e correção que vi-
sam manter o estado de segurança desejado e garantir a confidencia-
lidade, integridade, disponibilidade e não repúdio da informação, das
redes e sistemas de informação no ciberespaço, e das pessoas que
nele interagem."
(ENSC 2019-2023)
Ciberterrorismo: existe cada vez mais uma convergência entre ter-

rorismo e ciberespaço. “Ao mesmo tempo que têm como motivação
a realização de ciberataques, os ciberterroristas têm como objetivos o
recrutamento e a monetarização”. Não obstante este uso instrumental
do ciberespaço, o principal objetivo deste agente de ameaça, em últi-
ma análise, é a realização de ciberataques por razões típicas de grupos
terroristas.
Cyberbullying: “bullying realizado através da Internet ou telemóvel,

envolvendo mensagens ofensivas ou maliciosas, emails, chats ou co-
mentários, ou mesmo, em casos extremos, websites construídos com
intenções maliciosas contra indivíduos ou certos grupos de pessoas.”
(Richardson et al., Internet Literacy Handbook)
98
Command & Control (C&C): “a parte mais importante de uma bot-
net é a designada infraestrutura de comando e controlo (C&C). Esta in-
fraestrutura é constituída por bots e pela entidade de controlo que tan-
to pode ser centralizada como distribuída. São usados pelo bot master
um ou mais protocolos de comunicação para comandar os computa-
dores das vítimas e coordenar as suas ações (…) A infraestrutura de C&C
serve tipicamente como a única forma de controlar bots numa botnet.”
(ENISA, Botnets: Detection, Measurement, Disinfection & Defence)
Defacement [defacing]: “alteração ilícita de páginas web”.

(ENISA, Abordagem Gradual de Criação de uma CSIRT)
Desinformação: “toda a informação comprovadamente falsa ou en-

ganadora que é criada, apresentada e divulgada para obter vantagens
económicas ou para enganar deliberadamente o público, e que é sus-
cetível de causar um prejuízo público.”
(ERC, A Desinformação - Contexto Europeu e Nacional)
Engenharia Social: “o ato de enganar um indivíduo no sentido de

este revelar informação sensível, assim obtendo-se acesso não autori-
zado ou cometendo fraude, com base numa associação com este indi-
víduo de modo a ganhar a sua confiança.”
(NIST, Digital Identity Guidelines.)
Força-bruta: “em criptografia, um ataque que explora todas as

possíveis combinações para encontrar uma chave que combine com
a correta.”
(NIST, 2015 De-Identification of Personal Information)
Hacktivistas: agentes de ameaça “orientados a realizar ações de

protesto contra decisões políticas/geopolíticas que afetam matérias
nacionais e internacionais.”
Incidentes: “eventos com um efeito adverso real na segurança das

redes e dos sistemas de informação.”
(Lei n.º 46/2018, de 13 de agosto)
Insider [Ameaça Interna]: “a ameaça interna pode existir em todas

as empresas ou organizações. Qualquer colaborador atual ou ex-co-
laborador, sócio ou fornecedor, que tenha, ou tenha tido, acesso aos
ativos digitais da organização, pode abusar, voluntaria ou involuntaria-
mente, desse acesso. Os três tipos mais comuns de ameaças internas
são: insider malicioso, que age intencionalmente; insider negligente,
que é desleixado ou não está em conformidade com as políticas e ins-
truções de segurança; e insider comprometido, que age involuntaria-
mente como instrumento de um atacante real.”
99
Intrusion Detection Systems (IDS): “produto de hardware ou sof-
tware que recolhe e analisa informação de várias áreas num computa-
dor ou rede de modo a identificar possíveis falhas de segurança, que
incluem intrusões (ataques a partir do exterior da organização) e má
utilização (ataques a partir do interior da organização).”
Malware [Software Malicioso]: “programa que é introduzido num

sistema, geralmente de forma encoberta, com a intenção de compro-
meter a confidencialidade, a integridade ou a disponibilidade dos da-
dos da vítima, de aplicações ou do sistema operativo, ou perturbando
a vítima.”
Observável (instância): “representa uma efetiva observação espe-

cífica que ocorreu no domínio ciber. As propriedades detalhadas desta
observação são específicas e não ambíguas.”
(STIX)
Phishing: “mecanismo de elaboração de mensagens que usam téc-

nicas de engenharia social de modo que o alvo seja ludibriado ‘mor-
dendo o isco’. Mais especificamente, os atacantes tentam enganar os
recetores de emails ou mensagens para que estes abram anexos mali-
ciosos, cliquem em URL inseguros, revelem as suas credenciais através
de páginas de phishing aparentemente legítimas [pharming], façam
transferências de dinheiro, etc.”
Ransomware: tipo de malware que permite que “um atacante se

apodere dos ficheiros e/ou dispositivos de uma vítima, bloqueando a
possibilidade de esta poder aceder-lhes. Para a recuperação dos fichei-
ros, é exigido ao proprietário um resgate em criptomoedas.”
Sextortion: “a prática de forçar alguém a fazer algo, particularmente

a realizar atos sexuais [ou a pagar um resgate], através de uma ameaça
de publicação de dados ou imagens de natureza íntima ou com cariz
sexual da vítima [ameaça que por vezes não corresponde a uma pos-
sibilidade efetiva, apresentando-se detalhes técnicos, como a palavra-
-passe da vítima, de modo a tornar a ameaça mais credível]”.
(Adaptado de Cambridge Advanced Learner's Dictionary & Thesaurus)
Scan/Scanning: “Ataques baseados em pedidos realizados a um

sistema com o intuito de descobrir pontos fracos. Também inclui pro-
cessos de teste para recolha de informações sobre sistemas, serviços
e contas. Exemplos: fingerd, consultas DNS, ICMP, SMTP (EXPN, RCPT,
etc.), scanning de portos..”
(RNCSIRT, Taxonomia Comum da Rede Nacional de CSIRT)
Script kiddies: indivíduos com poucas competências na realização

de ciberataques, mas que, ainda assim, os conseguem realizar através
da aquisição de ferramentas de hacking fáceis de adquirir e usar. “Estas
ferramentas podem tornar-se meios com muito alcance nas mãos de
grupos com poucas capacidades. Além disso, quando se tenta quanti-
ficar o conhecimento disponível e poder de ataque dos script kiddies,
100
consegue-se ter um vislumbre de um dos desafios de cibersegurança:
jovens com alguma orientação podem tornar-se muito eficientes em
ações de hacking.”
Smishing: “(combinação das palavras SMS e phishing) é a tentativa

por atacantes de obter dados pessoais, financeiros ou de segurança
por mensagem de texto”.
(Europol, Cyberscams)
Sniffing: “observação e/ou gravação de tráfego de rede”.

(RNCSIRT, Taxonomia Comum da Rede Nacional de CSIRT)
Spoofing: “falsificar o endereço de envio de uma comunicação para

obter o acesso ilegal a um sistema”.
Violação de dados pessoais: “uma violação da segurança que pro-

voque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos,
conservados ou sujeitos a qualquer outro tipo de tratamento.”
(RGPD)
Vishing: uso de mensagens de voz ou de chamadas telefónicas

para furtar identidades e recursos financeiros. O termo resulta da com-
binação de voice e phishing.
(adaptado de Techopedia)
Vulnerabilidade: “falha em software ou componentes de hardware

que permite que um atacante efetue ações que normalmente não se-
riam permitidas.”
(CERT Carnegie Mellon University)
• APAV: Associação Portuguesa de Apoio à Vítima.

• CERT-EU: equipa de resposta a incidentes de cibersegurança
das instituições da EU [CERT - Computer Emergency Response
Team]
• CERT.PT: Equipa de Resposta a Incidentes de Segurança In-
formática Nacional (Lei 46/2018) [CERT - Computer Emergency
Response Team]
• C&C: Command and Control.
• CNCS: Centro Nacional de Cibersegurança.
• CNPD: Comissão Nacional de Proteção de Dados.
• DGPJ: Direção-Geral da Política de Justiça.
• DoS/DDoS: Negação de Serviço Distribuída [Distributed Denial
of Service].
• ENISA: Agência da União Europeia para a Cibersegurança.
• ENSC: Estratégia Nacional de Segurança do Ciberespaço 2019-
2023.
• N/A: Não se aplica.
• IA: Inteligência Artificial.
• LIS: Linha Internet Segura
• PGR: Procuradoria-Geral da República.
101
• PJ: Polícia Judiciária
• PME: Pequenas e Médias Empresas.
• Pp: pontos percentuais.
• RGPD: Regulamento Geral sobre a Proteção de Dados.
• RNCSIRT: Rede Nacional de Equipas de Resposta a Incidentes
de Segurança Informática [CSIRT-Computer Security Incident
Response Team].
• RK: Ranking.
• S/D: Sem Dados.
• TIC: Tecnologias de Informação e Comunicação.
• UE: União Europeia.
• UNC3T: Unidade Nacional de Combate ao Cibercrime e à Crimi-
nalidade Tecnológica.
102
Centro Nacional
de Cibersegurança
PORTUGAL
K. R E F E R Ê N C I A S
PR I N C I PA I S
(última consulta de links a 09/05/2024)
RELATÓRIOS
• ANACOM (2023) Violações de Segurança ou Perdas de

Integridade. Autoridade Nacional de Comunicações.
Disponível em: https://www.anacom.pt/streaming/Relatorio_
Notificacoes_2023.pdf?contentId=1776137&field=ATTACHED_
FILE
• CERT-EU (2024) Threat Landscape Report 2023. CERT-EU.
Disponível em: https://cert.europa.eu/publications/threat-
intelligence/tlr2023/
• CNCS (2022) Relatório Cibersegurança em Portugal – tema
Sociedade 2023. Observatório de Cibersegurança. Centro
Nacional de Cibersegurança. Disponível em: https://www.cncs.
gov.pt/docs/rel-sociedade2023-observ-cncs-dig.pdf
• ENISA (2023) ENISA Threat Landscape 2023. ENISA-European
Union Agency for Cybersecurity. Disponível em: https://www.
enisa.europa.eu/publications/enisa-threat-landscape-2023
Union Agency for Cybersecurity. Disponível em: https://www.
enisa.europa.eu/publications/enisa-threat-landscape-2021
Union Agency for Cybersecurity. Disponível em: https://
www.enisa.europa.eu/publications/enisa-threat-landscape-
report-2018
• ENISA (2011) Botnets: Detection, Measurement, Disinfection
& Defence. ENISA-European Union Agency for Cybersecurity.
Disponível em: https://www.enisa.europa.eu/publications/
botnets-measurement-detection-disinfection-and-defence
• ERC (2019) A Desinformação - Contexto Europeu e Nacional.
Entidade Reguladora da Comunicação. Disponível em: https://
www.parlamento.pt/Documents/2019/abril/desinformacao_
contextoeuroeunacional-ERC-abril2019.pdf
• Europol (2023) Internet Organised Crime Assessment (IOCTA)
2023. Europol. Disponível em: https://www.europol.europa.eu/
publication-events/main-reports/internet-organised-crime-
assessment-iocta-2023
103
• PGR (2023a) Nota Informativa Cibercrime: Denúncias
Recebidas janeiro-junho 2023. Ministério Público,
Procuradoria-Geral da República, Gabinete Cibercrime.
Disponível em: https://cibercrime.ministeriopublico.pt/sites/
default/files/documentos/pdf/denuncias_cibercrime_2023_
primeiro_semestre.pdf
• PGR (2023b) Nota Informativa Cibercrime: Denúncias
Recebidas 2022. Ministério Público, Procuradoria-Geral da
República, Gabinete Cibercrime. Disponível em: https://www.
ministeriopublico.pt/sites/default/files/documentos/pdf/
denuncias-de-cibercrime.pdf
• PGR (2022) Nota Informativa Cibercrime: Denúncias
Recebidas 2021. Ministério Público, Procuradoria-Geral da
República, Gabinete Cibercrime. Disponível em: https://
cibercrime.ministeriopublico.pt/sites/default/files/documentos/
pdf/denuncias-de-cibercrime-25-01-2022.pdf
• PGR (2021) Nota Informativa Cibercrime: Denúncias Recebidas
2020. Ministério Público, Procuradoria-Geral da República,
Gabinete Cibercrime. Disponível em: https://cibercrime.
ministeriopublico.pt/pagina/cibercrime-em-2020-denuncias-
recebidas
• TCE (2019) Desafios à Eficácia da Política de Cibersegurança
da UE. Tribunal de Contas Europeu. Disponível em https://www.
eca.europa.eu/pt/Pages/DocItem.aspx?did=49416
OUTRAS FONTES
• Adlumin (2023) PlayCrypt Ransomware-as-a-Service Expands

Threat from Script Kiddies and Sophisticated Attackers.
Adlumin, 21 de novembro. Disponível em: https://adlumin.com/
post/playcrypt-ransomware-as-a-service-expands-threat-from-
script-kiddies-and-sophisticated-attackers/
• ANSSI (2023) FIN12 - Un groupe cybercriminel aux multiples
rançongiciels. Agence Nationale de la Sécurité des Systèmes
D’information. Disponível em: https://www.cert.ssi.gouv.fr/
uploads/CERTFR-2023-CTI-007.pdf
• APAV (2024) Estatísticas 2024 Linha Internet Segura. APAV
– Associação Portuguesa de Apoio à Vítima. Disponível em:
https://apav.pt/apav_v3/index.php/pt/3392-estatisticas-apav-
linha-internet-segura-2023
https://apav.pt/apav_v3/images/press/LIS_2022_final.pdf
– Associação Portuguesa de Apoio à Vítima. Disponível
em: https://apav.pt/apav_v3/images/pdf/Estatisticas_APAV_
LinhaInternetSegura_2021.pdf
https://apav.pt/apav_v3/images/pdf/Estatisticas_LIS_2020.pdf
https://apav.pt/apav_v3/images/pdf/Estatisticas_Linha_Internet_
Segura_2019.pdf
104
• Bruijne, M., M. van Eeten, C. Gañán, W. Pieters (2017) Towards
a new cyber threat actor typology: A hybrid method for the
NCSC cyber security assessment. Faculty of Technology,
Policy and Management Delft University of Technology.
Disponível em: https://repository.wodc.nl/bitstream/
handle/20.500.12832/2299/2740_Volledige_Tekst_tcm28-273243.
pdf?sequence=1&isAllowed=y
• CE e ARUNEPS (2016) Comunicação Conjunta ao Parlamento
Europeu e ao Conselho, Quadro comum em matéria de
luta contra as ameaças híbridas uma resposta da União
Europeia. Comissão Europeia e Alta Representante da União
para os Negócios Estrangeiros e a Política de Segurança.
Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/
PDF/?uri=CELEX:52016JC0018&from=EN
• Checkpoint (2023) Agent Tesla Malware. Checkpoint. Disponível
em: https://www.checkpoint.com/cyber-hub/threat-prevention/
what-is-malware/agent-tesla-malware/
• Cybereason (S/D) Threat Analysis Report: LockBit 2.0 - All Paths
Lead to Ransom. Cybereason Global SOC Team. Disponível
em: https://www.cybereason.com/blog/threat-analysis-report-
lockbit-2.0-all-paths-lead-to-ransom
• CNCS (2022) Guia para Gestão dos Riscos em matérias de
Segurança da Informação e Cibersegurança. Centro Nacional
de Cibersegurança. Disponível em: https://www.cncs.gov.pt/
docs/guia-de-gestao-dos-riscos11.pdf
• DGPJ (2021) Documento Metodológico, versão 2.0. Direção
Geral da Política de Justiça. Disponível em: https://estatisticas.
justica.gov.pt/sites/siej/pt-pt/Documents/DM_Criminalidade_
Registada_v2.pdf
• Duncan, B. (2020) GuLoader: Malspam Campaign Installing
NetWire RAT. Unit 42, 2 de abril. Disponível em: https://unit42.
paloaltonetworks.com/guloader-installing-netwire-rat/
• ENISA (2006) Abordagem Gradual de Criação de uma CSIRT.
ENISA – Agência da União Europeia para a Cibersegurança.
Disponível em: https://www.enisa.europa.eu/publications/csirt-
setting-up-guide-in-portugese/@@download/fullReport
• Europol (2018) Cyberscams. Europol EC3. Disponível em: https://
www.europol.europa.eu/sites/default/files/documents/pt_0.pdf
• ISO/IEC 27032:2012(en) Information technology - Security
techniques - Guidelines for cybersecurity. International
Standards Organization. Disponível em: https://www.iso.org/
obp/ui/#iso:std:iso-iec:27032:ed-1:v1:en
• Joint Cybersecurity Advisory (2023) Understanding
Ransomware Threat Actors: Lockbit. Joint Cybersecurity
Advisory. Disponível em: https://www.cisa.gov/sites/default/
files/2023-06/aa23-165a_understanding_TA_LockBit_0.pdf
• Jornet, A. (2023) The Swiss Knife – SystemBC, Coroxy, a
malware report. Disponível em: https://github.com/vc0RExor/
Malware-Threat-Reports/blob/main/The%20Swiss%20Knife%20
-%20SystemBC%20%7C%20Coroxy/The%20Swiss%20Knife-
SystemBC_EN.pdf
• NIST (2015) De-Identification of Personal Information. National
Institute of Standards and Technology. Disponível em: https://
nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf
105
• NIST (2013) NIST IR 7298 Revision 2, Glossary of Key Information
Security Terms. National Institute of Standards and Technology.
Disponível em: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.
IR.7298r2.pdf
• Richardson, J.; E. Milovidov; J.D. and Martin Schmalzried (2017)
Internet Literacy Handbook. Council of Europe. Disponível
em: https://edoc.coe.int/en/internet/7515-internet-literacy-
handbook.html
• RNCSIRT (2023) Taxonomia Comum da Rede Nacional de
CSIRT. Rede Nacional CSIRT. Disponível em: https://www.
redecsirt.pt/files/RNCSIRT_Taxonomia_v3.3.pdf
• Rochberger, L. e S. Cohen (2023) Threat Group Assessment:
Mallox Ransomware. Unit 42, 20 de julho. Disponível em:
https://unit42.paloaltonetworks.com/mallox-ransomware/
• Sahin-Uppströmer, V. (2024) A Victim of Mallox Ransomware:
How Truesec CSIRT Fought Back. Truesec, 15 de janeiro.
Disponível em: https://www.truesec.com/hub/blog/a-victim-of-
mallox-ransomware-how-truesec-csirt-fought-back
• Trendmicro (2023) Play. Trend Micro Research, 21 de julho.
Disponível em: https://www.trendmicro.com/vinfo/us/security/
news/ransomware-spotlight/ransomware-spotlight-play
• Truman, D. (2024) Inside the SYSTEMBC Command-and-
Control Server. Krol, 19 janeiro. Disponível em: https://www.
kroll.com/en/insights/publications/cyber/inside-the-systembc-
malware-server
• Walter, J. (2020) Agent Tesla - Old RAT Uses New Tricks to Stay
on Top. Sentinel Lab, 10 de agosto. Disponível em: https://www.
sentinelone.com/labs/agent-tesla-old-rat-uses-new-tricks-to-
stay-on-top/
LEGISLAÇÃO E POLÍTICAS PÚBLICAS
• Estratégia Nacional de Segurança do Ciberespaço: https://www.

cncs.gov.pt/docs/cncs-ensc-2019-2023.pdf
• Lei do Cibercrime: https://files.dre.
pt/1s/2009/09/17900/0631906325.pdf
• Regime Jurídico da Segurança do Ciberespaço: https://www.
cncs.gov.pt/docs/regime-jurdico-da-segurana-do-ciberespao.
pdf
• Regulamento Geral sobre a Proteção de Dados: https://eur-lex.
europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679
WEBSITES
• https://csrc.nist.gov/glossary
• https://dictionary.cambridge.org
• https://stixproject.github.io
• https://www.europol.europa.eu
• https://www.kb.cert.org
• https://www.redecsirt.pt
• https://www.techopedia.com
• https://attack.mitre.org/
• https://malpedia.caad.fkie.fraunhofer.de/
106
Centro Nacional
de Cibersegurança
PORTUGAL
ANEXO I L I N H A S D E A Ç Ã O D A E N S C –
RISCOS E CONFLITOS 2024
Quadro 6
Linhas de Ação da ENSC diretamente articuláveis com os indicadores deste relatório I&C* A, T&D
E2 a** Reforçar os meios de recolha e processamento de informação e as capacidades de análise.
Antecipar a emergência, evolução e mutação das ameaças, possibilitando a adoção atempa-

E2 c
da de ações que acrescentem resiliência.
Promover programas de sensibilização específicos junto das instituições públicas e privadas,

que robusteçam a vertente comportamental de segurança em ambiente digital, com base
E2 r
na partilha de conhecimento especializado sobre os agentes da ameaça e seus modos de
atuação.
Sensibilizar as entidades nacionais para as respetivas vulnerabilidades específicas, passíveis

E2 s de serem infiltradas, exploradas ou subvertidas no campo digital por agentes de ameaça
diversos.
Promover o contínuo desenvolvimento das capacidades e maturidade das entidades nacio-

nais na prevenção, deteção, resposta e recuperação perante cenários adversos à segurança
E3 b do ciberespaço que possam produzir impactos nas suas redes e sistemas de informação e
ecossistema que as caracteriza, consolidando a confiança mútua, a partilha de informação e
conhecimento, e a cooperação célere e eficaz.
Promover estruturas de cooperação nacional e setorial de proteção do ciberespaço, inclusive

do setor público ao nível central, regional e local, e também do setor privado, incluindo as
E3 c
pequenas e médias empresas, para a partilha de informação e de promoção da colaboração
mútua na proteção de interesses comuns.
Adequar, para efeitos de gestão de crises, as capacidades das Forças Armadas, das Forças e
E4 b Serviços de Segurança e de outras entidades públicas e privadas, tendo em vista impulsionar
uma abordagem integrada às ameaças e riscos em matéria de segurança do ciberespaço.
Reforçar a capacidade de resposta às ameaças, maximizando as sinergias criadas pela coope-

ração e confiança existentes entre as equipas de resposta a incidentes de segurança informá-
E4 f
tica, potenciando a criação de novas equipas desta natureza em todas as entidades, públicas e
privadas, com responsabilidade pela segurança das redes e sistemas de informação.
Consolidar e promover a capacidade nacional de conhecimento das ameaças à segurança do

ciberespaço, de forma colaborativa entre as autoridades nacionais com responsabilidade nesta
E4 h área e com a participação ativa das entidades do setor público e privado, produzindo e parti-
lhando, desta forma, um conhecimento agregado que permita a antecipação dos impactos, a
tomada de ações proativas e um melhor conhecimento da ameaça, por todos os envolvidos.
Aprofundar a coordenação e cooperação entre as diversas entidades nacionais com respon-

E6 e sabilidades na segurança do ciberespaço, tendo em vista uma melhor capacidade de alerta e
resposta para fazer face às ameaças.
Aprofundar a articulação entre o Centro Nacional de Cibersegurança e a ANACOM - Autoridade

E6 f Nacional de Comunicações, bem como entre aquele e as entidades que compõem o Sistema
de Certificação Eletrónica do Estado no âmbito das respetivas atribuições.
* E2: Eixo 2 - Prevenção, educação e sensibilização; E3: Eixo 3 - Proteção do ciberespaço e das infraestruturas; E4: Eixo 4 - Resposta às
ameaças e combate ao cibercrime; E6: Eixo 6 - Cooperação nacional e internacional; I&C: Incidentes e Cibercrime; A, T&D: Ameaças, Ten-
dências e Desafios.
** Codificação atribuída com base no eixo em questão e na sequência pela qual surgem as linhas de ação, alinhadas com a ordem alfabética.
107
Centro Nacional
de Cibersegurança
PORTUGAL
ANEXO I I T I P O D E A T A Q U E M A L I C I O S O
M A I S R E L EVA N T E E M G U I A PA R A
GESTÃO DOS RISCO
Quadro 7
Guia para Gestão dos Riscos em matérias de Segurança da Informação e Cibersegurança (CNCS) - Tipos de
Ameaças mais relevantes com base nas conclusões do Relatório Riscos e Conflitos 2024
Ataque malicioso Relevância elevada
Terrorismo, sabotagem
Engenharia social
Interceção de informações
Ciberespionagem, escuta não autorizada
Furto de dispositivos de armazenamento, documentos ou informação
Furto de credenciais ou identidade digital
Furto de equipamentos
Recuperação de dispositivos de armazenamento reciclados ou descartados
Divulgação de informações
Introdução de dados de fontes não confiáveis
Adulteração do hardware
Adulteração do software
Adulteração/Comprometimento de dados
Exploração usando comunicações web
Tratamento não autorizado de dados pessoais
Entrada não autorizada nas instalações
Utilização não autorizada de equipamento ou dispositivo
Dano de equipamentos ou dispositivos
Envio ou distribuição de malware
Intrusão em sistemas ou acesso não autorizado
Spoofing (fazer-se passar por outro)
Ataque a sistemas (por exemplo, ataque distribuído de negação de serviço)
Chantagem, suborno, agressão ou extorsão a funcionários
Uso impróprio de recurso computacional
Forjamento de direitos
108
Centro Nacional
de Cibersegurança
PORTUGAL
Centro Nacional de Cibersegurança

Rua da Junqueira, 69 | 1300-342 Lisboa
[email protected] • (+351) 210 497 400

2024 Relatorio Ciberseguranca em Portugal CNCS 1720370498

Enviado por

Direitos autorais:

Formatos disponíveis

2024 Relatorio Ciberseguranca em Portugal CNCS 1720370498

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2024 Relatorio Ciberseguranca em Portugal CNCS 1720370498

Enviado por

Direitos autorais:

Formatos disponíveis

Centro Nacional

Autoria e edição: Centro Nacional de Cibersegurança

A criminalidade informática no ciberespaço

OS CASOS ASSOCIADOS À Em 2023, ocorreram menos in-

NAS VÍTIMAS. serviços e infraestruturas digitais.

1. Para uma compreensão mais aprofundada sobre a metodologia utilizada e a taxonomia

CIBERAMEAÇAS MAIS RELEVANTES EM PORTUGAL, 2023 – TOP 5*

Enquanto em 2022 os incidentes de elevado impacto tiveram con-

CRONOLOGIA DE ATAQUES NO CIBERESPAÇO COM IMPACTO ELEVADO EM PORTUGAL, 2023*

Ransomware Ransomware a Ransonware Ransomware a

JANEIRO MARÇO MAIO AGOSTO OUTUBRO DEZEMBRO

FEVEREIRO ABRIL JUNHO SETEMBRO NOVEMBRO

Defacement Ransomware Interrupação DDoS a entidade da Ransomware

Em 2023, as tipologias de agentes de ameaça mais relevantes a

QUADRO DE AMEAÇAS: CIBERAMEAÇAS/AGENTES DE AMEAÇA CRÍTICOS EM

Engenharia Social (várias)

Negação de Serviço Distribuída (DDoS)

Agentes de ameaça e ciberameaças com relevância elevada em Portugal durante 2023/2024.

Os indivíduos e as PME foram as vítimas mais

As vítimas afetadas por ciberataques em 2023 com mais regula-

Existe uma perceção elevada de que au-

Há uma perceção elevada entre profissionais de cibersegurança

TENDÊNCIAS PARA O FUTURO PRÓXIMO

A identificação de cenários de ameaça neste documento disponibi-

CENÁRIOS DE AMEAÇA A AFETAR O CIBERESPAÇO DE INTERESSE NACIONAL

ESTRATÉGIA NACIONAL DE SEGURANÇA DO

As análises apresentadas neste relatório permitem avaliar o estado

Por um lado, o aumento da quantidade e da complexidade das amea-

INCIDENTES E CIBERCRIME EM PORTUGAL

Em 2023, o CERT.PT registou 2025 incidentes de cibersegurança, ape-

Há uma tendência para o CERT.PT registar mais incidentes no quarto

Verificou-se, em termos proporcionais, um aumento de incidentes

Os setores e áreas governativas com mais incidentes registados pelo

O phishing/smishing foi o tipo de incidente mais registado pelo

Os tipos de incidentes mais registados pelo CERT.PT em 2023 foram o

As marcas mais simuladas nos ataques de phishing/smishing regista-

Entre os vários tipos de incidentes que envolvem malware, as famílias

No âmbito da atividade do CERT.PT, apesar do seu elevado impacto,

As famílias de ransomware mais identificadas pelo CERT.PT em

A RNCSIRT (inclui CERT.PT) registou cerca de 168 mil incidentes de

Tal como no caso do CERT.PT, também na RNCSIRT se registaram

Os tipos de incidentes mais frequentes na RNCSIRT em 2023 foram

Registaram-se mais 11% de notificações de violações de dados pes-

A proporção entre entidades públicas e privadas a realizar notifica-

A confidencialidade foi o princípio da informação com mais comprome-

As autoridades policiais registaram 2512 crimes informáticos (da Lei

Entre os crimes explicitamente informáticos, mas não incluídos na Lei

Em 2022, em relação a crimes explicitamente relacionados com a in-

A maioria dos condenados singulares por crimes explicitamente rela-

No âmbito de crimes não explicitamente informáticos (excluindo cri-

O crime não explicitamente informático com mais ocorrências no

Foram registados 1522 processos pela Linha Internet Segura da APAV

Os crimes e outras formas de violência mais registados pela Linha In-

Ao contrário dos anos anteriores, em 2023 identificaram-se mais ho-

Para 81% dos profissionais inqueridos em inquérito do CNCS, o risco de

As ciberameaças consideradas mais relevantes em 2023 pelos profis-

No mesmo inquérito a profissionais, os agentes de ameaça tidos como

A tecnologia emergente mais desafiante para a cibersegurança segun-

À luz dos contributos dos parceiros e dos dados disponíveis, os agentes