O que o Threat Report da Cloudflare confirma sobre 2026

Durante anos, a cibersegurança foi vendida quase sempre da mesma forma: bloquear o ataque à entrada. Antivírus, firewall, MFA e, com sorte, alguma formação pelo meio. O problema é que o jogo mudou e o mais recente Threat Report da Cloudflare vem reforçar isso de forma bastante clara. Só em 2025, a Cloudflare identificou mais de 123 milhões de dólares em tentativas explícitas de fraude financeira.

Este número, por si só, já devia chegar para abanar muita empresa. Mas o mais importante nem é o valor. É o que ele revela sobre a forma como os ataques estão a acontecer. Hoje, muitos criminosos já não precisam de “quebrar” sistemas. É mais simples, mais barato e muitas vezes mais eficaz roubar identidade, entrar com credenciais válidas e parecer legítimo. O ataque moderno quer parecer normal.

É precisamente aqui que muitas PME continuam presas a uma fotografia antiga do problema. Acham que, por terem antivírus e MFA, já estão do lado certo da barreira. Não estão. Essas camadas continuam a ser importantes, claro. Mas já não chegam para responder ao tipo de ameaça que hoje mais cresce: a que usa identidade, contexto e confiança como vetor de ataque. A própria Cloudflare destaca o roubo de tokens de sessão como uma forma de contornar MFA tradicional, porque o atacante deixa de precisar apenas da password. Passa a aproveitar uma sessão já autenticada.

E quando isso acontece, o problema deixa de ser bloquear um login. Passa a ser outra coisa: perceber rapidamente que aquele comportamento, apesar de parecer legítimo, não bate certo. Um utilizador a aceder a dados fora do padrão. Um dispositivo com sinais estranhos. Uma sequência de ações improvável. Um pedido financeiro aparentemente normal no contexto errado. É aqui que a segurança deixa de poder viver de ferramentas isoladas e passa a depender de correlação, contexto e monitorização ativa.

Este ponto é particularmente importante para as PME portuguesas, porque muitas continuam a gerir segurança como quem cumpre mínimos. Instala-se um antivírus, ativa-se MFA, revê-se uma ou outra policy e segue-se em frente. Só que o atacante já não joga assim. E, francamente, já vimos casos suficientes para saber que isto não é teoria. Há empresas que só percebem que subestimaram o problema depois de perderem dinheiro a sério.

O que este relatório da Cloudflare confirma é simples: a prioridade já não pode ser apenas impedir intrusões clássicas. Tem de ser proteger identidades, monitorizar comportamento e detetar desvios em tempo real. Isso implica uma visão mais abrangente da segurança. Uma visão que ligue pessoas, dispositivos, identidade, email, cloud e atividade. Não como buzzword, mas como necessidade operacional.

É por isso que a conversa sobre segurança em 2026 já não pode ficar fechada no antivírus e no MFA tradicional. A questão deixou de ser apenas “quem entrou?”. Agora é também “o que está esta identidade a fazer, com que contexto, em que dispositivo e com que sinais de risco?”.

E quem não conseguir responder a isto a tempo vai continuar a descobrir da pior maneira que há ataques que já não arrombam a porta. Entram pela frente.