Muitos proprietários de pequenas empresas ainda pensam que os ataques de ransomware só acontecem a hospitais, marcas globais ou infraestruturas públicas. Na realidade, o risco de ransomware em pequenas empresas é um dos exemplos mais claros de como os atacantes visam consistentemente organizações com dados valiosos, tempo limitado e defesas mais fracas.

Descobertas recentes do Data Breach Observatory da Proton mostram que as PME são frequentemente vítimas de incidentes. Elas estão também desproporcionalmente representadas nos incidentes mais prejudiciais, incluindo incidentes que envolvem dados de alto risco e exposições de grandes volumes de registos.

O ransomware é um problema de continuidade de negócio, segurança de credenciais e proteção de dados. O inquérito Cyber Security Breaches Survey do governo do Reino Unido concluiu que 1% das empresas do Reino Unido identificaram incidentes de ransomware nos últimos 12 meses, face a menos de 0,5% em 2024. À escala nacional, isso equivale a cerca de 19 000 empresas.

Apesar do aumento do ransomware, o phishing continua a ser o tipo de ciberataque mais comum. Os atacantes conseguem aceder às redes empresariais mais frequentemente através de pessoas, credenciais e fluxos de trabalho rotineiros do que através de ciberataques de grande escala. Podem essencialmente utilizar um ataque de phishing para depois lançarem um ataque de ransomware maior se pressentirem um pagamento mais elevado.

Para uma pequena empresa, os danos causados por ransomware podem causar interrupções significativas na continuidade do negócio. Os membros da equipa perdem o acesso a ficheiros e não conseguem continuar o seu trabalho, as operações abrandam ou param, e os clientes não recebem os serviços adequados. Se dados pessoais forem comprometidos, seguir-se-ão obrigações de reporte. Uma estratégia prática de ransomware para as PME tem de cobrir ambos os aspetos de um ataque: prevenção e recuperação.

Como funciona o ransomware?

Ransomware é um tipo de malware que o impede de aceder a dispositivos ou dados, geralmente através da encriptação de ficheiros, e depois exige um pagamento em troca da desencriptação. Em muitos casos, os atacantes agora fazem mais do que bloquear ficheiros. Eles também roubam dados e ameaçam divulgá-los numa fuga se o resgate não for pago, o que transforma o evento tanto numa crise de disponibilidade como num potencial incidente de dados.

As vítimas são frequentemente instruídas a comunicar através de e-mail ou páginas web anónimas e a pagar em criptomoeda. Para as pequenas empresas, essa distinção é importante porque a criptomoeda é anónima, descentralizada e não regulamentada por instituições financeiras tradicionais: é quase impossível rastrear os pagamentos.

Um evento de ransomware nem sempre se limita a perder o acesso a ficheiros. Pode também significar que informações de clientes, dados de funcionários, registos financeiros, contratos ou credenciais de início de sessão já foram exfiltrados. O ransomware pode levar à perda de acesso atempado a dados pessoais e, nos casos em que as cópias de segurança não são adequadas ou não estão disponíveis, até à perda permanente.

A cadeia de ataque é normalmente mais comum do que poderia esperar. Os incidentes fáceis de ignorar que podem levar a um ataque de ransomware incluem:

  • Seguir ligações de phishing.
  • Palavras-passe reutilizadas serem expostas num incidente de dados.
  • Serviço de acesso remoto deixado exposto.
  • Vulnerabilidades conhecidas que não foram corrigidas.

Assim que um atacante consegue aceder a uma rede empresarial, move-se lateralmente, escala privilégios, desativa caminhos de recuperação onde possível e implementa a encriptação ou extorsão onde causar mais dano. Nenhuma ferramenta ou solução isolada pode prevenir ataques de ransomware. Em vez disso, as organizações devem focar-se em reduzir o número de caminhos fáceis para a sua rede.

Por que as pequenas empresas são visadas de forma desproporcional

As pequenas empresas são alvos de ransomware atraentes por uma razão simples: detêm dados valiosos que não estão tão bem protegidos como deveriam estar. As últimas descobertas do observatório da Proton mostram que as PME representam 63% dos incidentes monitorizados desde janeiro de 2025 e mais de 352 milhões de registos expostos em fugas.

Também representam 61% dos incidentes que envolvem dados de alto risco, sendo que as pequenas empresas sozinhas representam 48% desses incidentes críticos. Entre os incidentes que expõem mais de 100 000 registos, as PME representam 60%, e as pequenas empresas representam 42%.

As pequenas empresas não são descuidadas. De facto, o SMB Cybersecurity Report 2026 da Proton prova que as pequenas empresas estão a tentar melhorar a sua cibersegurança. O problema é que as suas defesas estão a falhar em condições do mundo real. A aplicação inconsistente de regras, o erro humano, hábitos de acesso partilhado e a capacidade limitada de segurança interna são o que torna as pequenas empresas alvos tentadores.

No inquérito da Proton a 3000 líderes em empresas com menos de 250 funcionários, 39% afirmaram que os incidentes resultaram de erro humano e 48% disseram não ter um gestor de palavras-passe implementado.

As empresas maiores podem ter equipas de resposta dedicadas, ambientes segmentados, planos de cópia de segurança testados e apoio externo para incidentes já implementados. As mais pequenas têm frequentemente uma função de TI reduzida, apoio subcontratado ou nenhum especialista de segurança dedicado. Quando o ataque ocorre, a empresa é forçada a tomar decisões de alto risco sob pressão operacional. Essa pressão é exatamente aquilo com que os operadores de ransomware contam.

Os pontos de entrada mais comuns para ransomware em PME

Após analisar os estudos realizados no Reino Unido, sabemos que o phishing continua a ser o principal vetor de cibercrime para as empresas. Mas porquê? É porque o phishing é frequentemente o primeiro passo para o roubo de credenciais, comprometimento de contas, entrega de malware ou abuso de acesso remoto.

Credenciais fracas ou reutilizadas são outro grande problema. As pequenas empresas têm frequentemente inícios de sessão partilhados, palavras-passe reutilizadas em vários serviços ou contas antigas que permanecem ativas depois de alguém mudar de cargo ou sair. Assim que os atacantes obtêm um início de sessão funcional, não precisam de piratear contas. Podem simplesmente iniciar sessão.

A partir daí, uma conta de administrador mal protegida, uma consola na nuvem exposta ou um ponto de acesso remoto sem autenticação de dois fatores (2FA) podem tornar-se a ponte para um incidente de ransomware mais amplo. Realisticamente, as organizações precisam de implementar 2FA, o acesso com privilégios mínimos e revisões regulares de permissões para reduzir a facilidade com que credenciais roubadas podem ser reutilizadas e a distância a que o malware se pode propagar.

Software não atualizado é outro ponto de entrada recorrente. O NCSC observa que o ransomware é cada vez mais implementado através de serviços expostos, como o RDP ou dispositivos de acesso remoto não atualizados, e recomenda a correção de vulnerabilidades em sistemas de aceder remotamente e virados para a Internet logo que estas fiquem disponíveis. Para as PME, é aqui que um incidente ignorado se torna silenciosamente numa superfície de ataque.

Como se proteger contra o ransomware: uma abordagem por camadas

Não existe um controlo único que possa impedir o ransomware. A abordagem mais eficaz é por camadas e prática.

Comece pela gestão de identidade

Os dados nas contas dos membros da equipa precisam de uma proteção minuciosa para repelir ataques de ransomware. Torne a autenticação de dois fatores obrigatória sempre que possível em contas críticas para o negócio, especialmente e-mail, ferramentas de administrador, armazenamento na nuvem, plataformas financeiras, pontos de aceder remotamente e quaisquer sistemas que armazenem dados pessoais de clientes ou outras informações de identificação pessoal (PII).

Melhore a higiene das palavras-passe

Os atacantes nem sempre invadem as contas. Muitas vezes, eles iniciam sessão com credenciais roubadas ou reutilizadas. Cada conta empresarial deve ter uma palavra-passe forte e única, e o aceder partilhado deve ser substituído pela partilha de credenciais segura e gerida através de um gestor de palavras-passe empresarial, em vez de folhas de cálculo, chats ou e-mail.

O próprio relatório da Proton para PME destaca que mesmo as empresas com ferramentas instaladas ainda recaem frequentemente em hábitos inseguros de partilha de palavras-passe. É exatamente aqui que um gestor de palavras-passe empresarial seguro como o Proton Pass for Business pode reduzir o risco: ajuda as equipas a criar credenciais fortes e únicas, a armazená-las de forma segura e a partilhar o aceder de forma controlada e segura.

A gestão de atualizações tem de ser disciplinada

As atualizações de segurança para sistemas operativos, aplicações, VPNs, ferramentas de aceder remotamente e dispositivos de fronteira devem ser tratadas como essenciais operacionais, e não como manutenção opcional. Instalar atualizações de segurança o mais rapidamente possível e ativar as atualizações automáticas sempre que for viável.

Proteção robusta de correio e web

A filtragem de correio, o controlo de anexos, o bloqueio de sites maliciosos conhecidos e as proteções de navegação segura reduzem a probabilidade de o ransomware ser entregue em primeiro lugar. Como o phishing é tão comum, estes controlos são essenciais.

Abordar o erro humano

Mesmo depois de ter implementado medidas de segurança e uma política de palavras-passe, a formação para a sensibilização em segurança continua a ser necessária. A formação ajuda o pessoal a detetar e-mails suspeitos e tentativas de engenharia social, mas as pessoas continuarão a cometer erros.

Ferramentas ou funcionalidades mais fortes e controlos de aceder devem partir desse princípio. O NCSC recomenda explicitamente a formação para a sensibilização, mas a investigação da Proton também indica que a formação por si só não deteta todos os deslizes. Um bom design de segurança reduz os danos quando alguém clica, tornando menos provável que um erro se torne num incidente em grande escala, seja através de 2FA, aceder com privilégios mínimos, proteções de e-mail mais fortes, aceder segmentado ou cópias de segurança testadas que ajudem a recuperar.

Proteja a sua capacidade de recuperar antes de precisar dela

As cópias de segurança devem ser regulares, isoladas e testadas. O ICO recomenda a abordagem 3-2-1: três cópias, em dois dispositivos diferentes, com uma armazenada fora do local. O NCSC acrescenta um aviso operacional importante: o ransomware pode ter-se infiltrado no seu ambiente antes da descoberta, pelo que as cópias de segurança devem ser verificadas antes da restauração, e os próprios sistemas de cópia de segurança devem ser protegidos.

A ligação das credenciais: por que razão as palavras-passe ainda são importantes na defesa contra o ransomware

É fácil pensar no ransomware como malware e esquecer que as palavras-passe desempenham um papel num ataque bem-sucedido. No entanto, muitos incidentes de ransomware começam com o roubo, reutilização ou abuso de inícios de sessão.

Isso pode significar um membro da equipa a reutilizar uma palavra-passe de outro serviço, uma conta de um antigo colaborador externo a permanecer ativa, uma credencial de administrador a ser partilhada por várias pessoas ou um ponto de acesso remoto exposto a ser protegido apenas por uma palavra-passe. Cada um destes atalhos expande a superfície de ataque.

Esta é uma das razões pelas quais a gestão robusta de credenciais deve fazer parte de qualquer plano de recuperação e estrutura de prevenção contra ransomware. Palavras-passe únicas por serviço reduzem o raio de ação de um início de sessão roubado. O MFA torna essa palavra-passe roubada menos útil por si só, enquanto o armazenamento centralizado de credenciais remove a necessidade de soluções alternativas inseguras.

A partilha segura significa que os colaboradores obtêm o aceder de que necessitam através de métodos controlados e monitorizáveis, em vez da partilha informal de palavras-passe. A revisão regular de quem tem aceder a quê também apoia o princípio do privilégio mínimo, que o NCSC recomenda como parte da limitação do movimento lateral e da propagação.

Temos escrito extensivamente sobre as ameaças de ransomware que as PME enfrentam. Vez após vez, vemos o mesmo: os atacantes procuram cada vez mais as empresas que são mais fáceis de invadir, e não apenas as empresas com os nomes mais sonantes.

O que fazer se a sua pequena empresa for atingida

1. Conter o incidente

Se a sua empresa for atingida, a sua primeira prioridade é o confinamento. Desligue os dispositivos infetados da rede, desative as contas comprometidas, se as conseguir identificar, isole os caminhos de acesso remoto, preserve provas e evite limpar os sistemas demasiado depressa se puder vir a precisar de apoio ao cliente forense mais tarde.

2. Reporte o incidente

O NCSC aconselha as organizações do Reino Unido a reportarem incidentes e fornece orientações dedicadas de ransomware para resposta e recuperação. O guia da Proton sobre resposta a incidentes é também uma referência útil para estruturar o processo mais alargado de tomada de decisões sobre confinamento, investigação, comunicações e recuperação.

3. Não pague o resgate

O NCSC e as autoridades policiais do Reino Unido não incentivam, endossam ou permitem o pagamento de pedidos de resgate. Notam que não há garantia de que voltará a aceder aos mesmos, os seus sistemas podem continuar infetados, estará a financiar grupos criminosos e poderá ter maior probabilidade de ser alvo novamente.

O ICO é igualmente claro ao afirmar que o pagamento de um resgate não reduz o risco para as pessoas e não salvaguarda a informação. Mesmo que seja oferecida uma chave de desencriptação, não há garantia de que funcionará ou de que não haverá uma fuga dos dados roubados.

4. Inicie a recuperação

A recuperação deve focar-se numa restauração lenta e segura. Isso significa reconstruir a partir de cópias de segurança limpas, validar que o caminho de ataque foi fechado, renovar as credenciais afetadas, reativar o acesso com cuidado e documentar o que aconteceu. Se as cópias de segurança estiverem ligadas a sistemas ativos ou não tiverem sido testadas, é aqui que as empresas descobrem frequentemente uma segunda falha após a primeira. Um bom plano de recuperação de ransomware começa, na verdade, muito antes de um incidente ocorrer.

Obrigações de reporte no Reino Unido: quando o ICO pode ter de intervir

Se um incidente de ransomware afetar dados pessoais, tal pode constituir um incidente de dados ao abrigo do GDPR do Reino Unido. O ICO explica que a perda de acesso a dados pessoais pode, por si só, ser um incidente quando cria riscos para os indivíduos, e que deve notificar o ICO sem demora injustificada e, sempre que possível, no prazo de 72 horas se for provável que o incidente resulte num risco para os direitos e liberdades das pessoas. Se o risco for elevado, os indivíduos afetados também podem ter de ser informados sem demora injustificada.

Algumas organizações ainda assumem que, se restaurarem os sistemas rapidamente ou se não houver uma fuga pública óbvia, o reporte é desnecessário. Esse não é um pressuposto seguro. As orientações de ransomware do ICO abordam explicitamente cenários de notificação de incidentes e deixam claro que a avaliação se baseia no risco para os indivíduos, e não apenas no facto de os ficheiros roubados já terem aparecido online.

O ransomware é agora um problema das PME

As pequenas empresas estão a ser atingidas por ataques de resgate com cada vez mais frequência e, quando o são, o impacto pode ser grave porque os atacantes exploram as suas fraquezas. Os dados de incidentes mais recentes da Proton tornam isso visível: a ameaça é mensurável, crescente e operacionalmente disruptiva.

A boa notícia é que os aspetos fundamentais podem tratar de grande parte do trabalho pesado para qualquer PME. Medidas como a utilização de um gestor de palavras-passe empresarial para implementar 2FA e criar credenciais únicas, aplicação de patches, filtragem de correio, sensibilização do pessoal, revisão de permissões, cópias de segurança testadas e planeamento de resposta a incidentes podem não parecer vistosas por si só, mas juntas fazem uma diferença significativa. Reduzem as hipóteses de uma única palavra-passe roubada, um e-mail de phishing ou um serviço remoto exposto escalarem para uma interrupção em toda a empresa.