O elo direto com as chamadas e SMS fraudulentos
Uma fuga de dados raramente fica confinada à organização atacada. Assim que circula, a informação que contém — nome, contacto telefónico, por vezes dados de saúde, de encomendas ou bancários — torna-se a matéria-prima de um burlão que personaliza a abordagem em vez de ligar ao acaso. Um SMS que refere corretamente o seu nome, a sua operadora ou até uma encomenda real em trânsito é muito mais difícil de reconhecer como falso do que uma mensagem genérica.
2025-2026: um ano sem precedentes para a CNPD
Três incidentes recentes ilustram como estes números se traduzem em casos concretos:
Estes dois casos somam-se a uma tendência de fundo já documentada: em 2024, Portugal registou 2.758 ciberataques reportados, 36% mais do que em 2023 — uma progressão de mais de 716% desde 2019.
Fontes: RR/Renascença (25/05/2026), PÚBLICO (22/05/2026 e 26/05/2026), Sapo/CentroTV (abril 2026), formacaoajuda.com (dados CNCS, 04/05/2026).
Saúde, educação, turismo: três setores que também foram atingidos
O caso do SNS não é isolado. Hospitais, universidades e plataformas de viagens usadas por portugueses foram alvo de incidentes distintos em 2025-2026 — cada um com o seu próprio tipo de dado exposto e o seu próprio risco de exploração.
🏥Centro Hospitalar de Setúbal: dados à venda na dark web
Informação confidencial de doentes e profissionais do Centro Hospitalar de Setúbal foi colocada à venda num fórum da dark web: cerca de 37 GB de dados, incluindo documentos de identificação (passaportes, cartões de cidadão), credenciais profissionais, correspondência institucional, moradas e números de telefone. O hospital confirmou que a origem foi uma conta de email institucional pirateada e que foram tomadas medidas de contenção. Uma grande comunidade brasileira residente na região de Setúbal, a cerca de 50 km de Lisboa, foi particularmente afetada. O caso ilustra uma tendência mais ampla documentada por especialistas portugueses: a venda de dados de hospitais e clínicas na dark web tem vindo a aumentar, sustentada por canais que operam à margem da internet convencional, com negociações que decorrem abertamente em grupos de Telegram e WhatsApp.
Medscape Portugal · SAPO Tek · IT Insight, 2025-2026🎓Canvas: universidades portuguesas notificadas
Em maio de 2026, hackers atacaram a plataforma educativa Canvas, usada por escolas e universidades em todo o mundo — incluindo, em Portugal, a Universidade Europeia e o IPAM. Os atacantes reivindicaram ter acedido a dados de 275 milhões de utilizadores globalmente: nomes, endereços de email, números de estudante e conteúdo de mensagens trocadas na plataforma. As duas instituições portuguesas comunicaram o incidente às autoridades competentes, mas não registaram impacto confirmado nos seus próprios utilizadores — um exemplo direto de por que a reivindicação de um atacante e o número efetivamente confirmado por cada organização afetada podem divergir de forma significativa. À escala mundial, a educação foi o setor mais atacado em abril de 2026, com quase 5 000 ataques semanais por organização — universidades e escolas combinam dados pessoais em massa com orçamentos de segurança limitados.
PÚBLICO, 08/05/2026 · Malwarebytes · 4gnews, maio 2026✈️Booking.com: reservas e pedidos especiais expostos
Em abril de 2026, a Booking.com — plataforma amplamente usada por portugueses para reservar alojamento — confirmou um ciberataque que expôs nomes, endereços de email, números de telefone e detalhes de estadias e reservas de clientes, incluindo comunicações e pedidos especiais trocados diretamente com os hotéis através da plataforma. A empresa não revelou o número total de utilizadores afetados, mas garantiu que não houve acesso a dados financeiros. O incidente já alimenta campanhas de fraude por email e WhatsApp que imitam a marca — o setor do turismo e hotelaria registou, em maio de 2026, uma média de 2 291 ciberataques semanais por organização, um crescimento de 122% face a maio de 2023.
PÚBLICO · Observador · ECO, abril 2026Nota de método: quando um atacante reivindica um número de vítimas, esse número não é automaticamente um facto. O caso France Titres em França (revendicação de 19 milhões, confirmação oficial de 11,7 milhões) e o caso Canvas em Portugal acima mostram por que preferimos sempre esperar pela confirmação de uma autoridade ou da própria organização antes de tratar um número como estabelecido.
O vocabulário a conhecer
Have I Been Pwned
Serviço gratuito criado pelo investigador de segurança Troy Hunt: introduza o seu email para saber se consta de uma fuga de dados conhecida.
Credential stuffing
Um atacante testa em massa, noutros sites, credenciais roubadas numa fuga anterior — apostando que reutiliza a mesma palavra-passe noutro lado.
Password spraying
O inverso do ataque de força bruta clássico: o atacante testa uma palavra-passe muito comum contra um grande número de contas diferentes, para não acionar os sistemas de deteção.
Fadiga MFA
Um atacante que já possui a sua palavra-passe dispara uma rajada de pedidos de validação por notificação, à espera que acabe por aceitar por cansaço ou engano.
O SIM swap, outra técnica diretamente ligada à exploração de dados roubados, está detalhado no glossário.
Perguntas frequentes
Como sei se os meus dados fugiram?
Have I Been Pwned (haveibeenpwned.com) é um serviço gratuito, criado pelo investigador de segurança Troy Hunt, que permite verificar se o seu endereço de email consta de fugas de dados conhecidas. Em Portugal, entidades como o SNS ou os CTT notificam diretamente os afetados quando identificam um incidente concreto.
Portugal está particularmente exposto às fugas de dados?
Os números de 2025 são inéditos: a CNPD abriu 472 processos por violação de dados pessoais, um aumento de 42% face a 2024, o valor mais alto desde 2020. A isto somam-se incidentes de grande escala em 2026, como o acesso indevido a dados de mais de 100 mil utentes do Serviço Nacional de Saúde.
Porque é que uma fuga de dados leva a chamadas ou SMS fraudulentos?
Porque uma fuga contém frequentemente nome, contacto telefónico e, por vezes, informação sobre a sua saúde, encomendas ou banco — o suficiente para construir uma chamada ou SMS credível e personalizado, muito mais eficaz do que uma mensagem genérica enviada ao acaso.
Porque é que os dados de saúde são particularmente procurados?
Os preços exatos praticados nos mercados da dark web variam enormemente consoante a fonte e o tipo de dado, e não existe um valor de referência fiável a citar. O que torna um dado de saúde especialmente valioso é outra coisa: ao contrário de uma palavra-passe ou de um cartão bancário, que podem ser alterados ou cancelados após uma fuga, um historial clínico não pode ser "reposto" — permanece explorável de forma indefinida, o que o torna uma matéria-prima duradoura para quem constrói esquemas de burla personalizados.