Many entrepreneurs and managers are making a fatal mistake: they believe the hype before verifying the foundations.

The case of Moltbook — a social network where “AI agents” supposedly interacted on their own — is a perfect lesson in how a lack of basic security can destroy trust in your business in the blink of an eye.

What Happened (The Short Version)

Moltbook promised the future: an internet of AI agents working independently. But behind the scenes, the door was wide open. Researchers from Wiz discovered a public database without any password protection.

Inside were millions of API keys and tokens.

The real risk: Anyone could use those keys to impersonate an AI, publish content, or manipulate data. That “autonomy” everyone admired? It could have just been someone faking it, because the house keys were left under the doormat.

Why This Destroys Businesses

If you sell technology or use AI to automate your business, your most valuable currency is trust.

• Hype vs. Reality: Moltbook grew fast because people thought the AIs were independent. When it was revealed the system was insecure, the narrative shifted from “incredible AI” to “poorly configured system.”

• Security Is Not Optional: This wasn’t a failure of artificial intelligence. It was a failure of basic hygiene. They forgot the basics: access control and credential protection.

• The Entrepreneur’s Responsibility: If you give an AI the authority to act on your behalf, your security standards must be higher, not lower.

What You Can Learn Today (Practical Actions)

Don’t let ambition run faster than your security. If you are building or using AI platforms:

1. Protect the Keys: Treat API keys like the combination to your safe. Never leave them in accessible locations or without authentication.

2. Verify Identity: Ensure that what the AI does can be traced and verified. If you can’t prove who did what, your automation is a risk, not an asset.

3. Security First, Hype Later: Before aggressive marketing about “autonomy,” ensure your backend systems are mature.

Conclusion: Intelligence Without Control Is Danger

Moltbook shows that AI only has value if we can trust those who hold the keys. In the world of cybersecurity, the focus is shifting toward Agentic Threat Intelligence (ATI) — where AI works with rules, governance, and context awareness.

The goal? To let AI investigate and respond to threats in minutes, but within controlled and secure boundaries.

Would you like us to analyze if your current AI systems are leaving your “house keys” exposed like in the Moltbook case?

A Mentira da “IA Autónoma”: O Caso Moltbook e o Teu Dinheiro

Muitos empreendedores e gestores estão a cometer um erro fatal: acreditam no hype antes de verificarem os alicerces.

O caso da Moltbook — uma rede social onde “agentes de IA” supostamente interagiam sozinhos — é a lição perfeita de como a falta de segurança básica pode destruir a confiança no teu negócio num piscar de olhos.

O Que Aconteceu (A Versão Curta)

A Moltbook prometia o futuro: uma internet de agentes de IA a trabalhar de forma independente. Mas, nos bastidores, a porta estava aberta. Investigadores da Wiz descobriram uma base de dados pública, sem qualquer password.

Lá dentro, estavam milhões de chaves API e tokens.

O risco real: Qualquer pessoa podia usar essas chaves para se fazer passar por uma IA, publicar conteúdo ou manipular dados. Aquela “autonomia” que todos admiravam? Podia ser apenas alguém a fingir, porque as chaves de casa estavam debaixo do tapete.

Por Que É Que Isto Destrói Negócios?

Se tu vendes tecnologia ou usas IA para automatizar o teu negócio, a tua moeda mais valiosa é a confiança.

1. Hype vs. Realidade: A Moltbook cresceu rápido porque as pessoas achavam que as IAs eram independentes. Quando se soube que o sistema era inseguro, a narrativa mudou de “IA incrível” para “sistema mal configurado”.

2. Segurança Não É Opcional: Não foi uma falha da inteligência artificial. Foi uma falha de higiene básica. Esqueceram-se do básico: controlo de acessos e proteção de credenciais.

3. Responsabilidade do Empreendedor: Se dás autoridade a uma IA para agir em teu nome, o teu padrão de segurança tem de ser mais alto, não mais baixo.

O Que Podes Aprender Hoje (Ações Práticas)

Não deixes que a ambição corra mais depressa do que a tua segurança. Se estás a construir ou a usar plataformas de IA:

• Protege as Chaves: Trata as chaves API como se fossem o código do teu cofre. Nunca as deixes em locais acessíveis ou sem autenticação.

• Verifica a Identidade: Garante que o que a IA faz pode ser rastreado e verificado. Se não consegues provar quem fez o quê, a tua automação é um risco, não um ativo.

• Segurança Primeiro, Hype Depois: Antes de marketing agressivo sobre “autonomia”, garante que os teus sistemas de backend são maduros.

Conclusão: Inteligência Sem Controlo É Perigo

A Moltbook mostra que a IA só tem valor se pudermos confiar em quem detém as chaves. No mundo da cibersegurança, o foco está a mudar para a Agentic Threat Intelligence (ATI) — onde a IA trabalha com regras, governança e consciência do contexto.

O objetivo? Deixar a IA investigar e responder a ameaças em minutos, mas dentro de limites controlados e seguros.

Quer que nós façamos uma analise se os seus sistemas de IA atuais estão a deixar as “chaves de casa” expostas como no caso Moltbook?

Most managers look at a crashing website and think: “It’s just a server glitch.” Wrong.

Between January 26 and February 1, 2026, the pro-Russian group NoName057(16) launched a massive campaign with nearly 6,000 coordinated attacks.

They aren’t hobbyists playing in a basement. They are using a specialized framework called DDoSia to paralyze critical infrastructure across 16 countries simultaneously.

The Digital War Zone

The UK was the primary target (55% of attacks), but Ukraine and Czechia are also in the crosshairs. The goal? Total chaos. They don’t just hit governments; they hit:

• Private Sector (49.2%): Companies like yours, business services, and financial institutions.

• Critical Infrastructure: Water utilities, energy brokers, and transportation systems.

• Secure Portals: 65.1% of attacks focused on Port 443 (HTTPS). They are going after the very services you thought were “safe” because they have the green padlock.

The “Exhaustion” Strategy

They use a lethal hybrid approach. It’s like sending a million trucks to block the highway (Volumetric Attack) while simultaneously sending a thousand fake customers to your front door just to ask for the time and tie up your staff (Application Layer Attack).

The result? Your legitimate customers can’t get in. You lose money and reputation every single second your services are down.

What You Must Do (Before the Lights Go Out)

Migrating to a defensive posture isn’t a “next quarter” project. It is a survival necessity for today.

1. Cloud-Based Shields: If you are running your own infrastructure without a shield (Cloudflare, Akamai, AWS Shield), you are asking to be run over. Filter the traffic before it hits your doorstep.

2. Rate Limiting: Configure your servers to stop “talking” to entities that aren’t actually transacting. Lock down your HTTP GET and POST request limits.

3. Incident Response: Who do you call at 3 AM when the site drops? If you don’t have a specific number and a battle plan ready, you’ve already lost.

The Bottom Line: Threats like NoName057(16) thrive on negligence. They use crowdsourced volunteers and gamification to attack. You must use technology and strategy to survive.

Don’t let your company become a “statistic” in the next SOCRadar threat report.

Would you like us to draft a technical checklist for your IT team based on these specific attack vectors?

O Teu Site Não Está Lento, Está Sob Ataque (E a Rússia não vai parar)

A maioria dos gestores olha para um site em baixo e pensa: “É o servidor.” Errado.

Entre 26 de janeiro e 1 de fevereiro de 2026, o grupo pro-Russo NoName057(16) lançou uma campanha massiva com quase 6.000 ataques coordenados.

Eles não estão a brincar aos hackers na cave. Estão a usar uma ferramenta chamada DDoSia para paralisar infraestruturas críticas em 16 países simultaneamente.

O Cenário de Guerra Digital

O Reino Unido foi o alvo principal (55% dos ataques), mas a Ucrânia e a Chéquia também estão na mira. O objetivo? Caos total. Eles não atacam apenas o governo. Eles atacam:

• Setor Privado (49%): Empresas como a tua, serviços financeiros e consultoras.

• Infraestrutura Crítica: Água, energia e transportes.

• Portas Seguras: 65% dos ataques focaram-se no Porto 443 (HTTPS). Ou seja, tentaram quebrar os serviços que tu achavas que estavam “seguros” porque tinham o cadeado verde.

A Estratégia de “Exaustão”

Eles usam uma abordagem híbrida. É como se enviassem um milhão de camiões para bloquear a autoestrada (Ataque Volumétrico) e, ao mesmo tempo, enviassem mil pessoas falsas para a porta da tua loja apenas para perguntar as horas e ocupar os teus funcionários (Ataque de Aplicação).

O resultado? O teu cliente legítimo não consegue entrar. E tu perdes dinheiro a cada segundo.

O Que Tens de Fazer (Antes que a luz se apague)

A migração para uma postura defensiva não é um “projeto para o próximo trimestre”. É uma necessidade de sobrevivência para hoje.

1. Proteção na Nuvem: Se geres a tua própria infraestrutura sem um escudo (Cloudflare, Akamai, AWS Shield), estás a pedir para ser atropelado. Filtra o tráfego antes que ele chegue à tua porta.

2. Limitação de Taxa (Rate Limiting): Configura os teus servidores para não aceitarem “conversas” infinitas de quem não está a comprar nada.

3. Plano de Resposta: Quem deves ligar às 3 da manhã quando o site cair? Se não tens um número na agenda, já perdeste.

Resumo: Ameaças como o grupo NoName057(16) prosperam na negligência. Eles usam voluntários e gamificação para atacar. Tu tens de usar tecnologia e estratégia para sobreviver.

Não sejas a empresa que serve de “estatística” no próximo relatório da SOCRadar.

Visita-nos em: https://www.resolvesec.com

A maioria dos fundadores e CEOs vive com medo de um ataque externo. Imaginam uma sala escura com código verde a cair.

Tenho más notícias: O perigo já está dentro do teu escritório. E ele usa Slack.

Um novo relatório da Fortinet acaba de revelar a verdade brutal: 77% das empresas sofreram incidentes de segurança internos nos últimos 18 meses.

Aqui está o que precisas de saber, sem “tech-speak”.

1. O problema não é malícia, é estupidez (ou conveniência)

Não tens espiões infiltrados. Tens pessoas a tentar trabalhar mais rápido.

• 62% dos incidentes vêm de erro humano puro.

• O teu melhor funcionário quer resumir uma ata, mete dados confidenciais no ChatGPT, e pronto — os teus segredos industriais agora fazem parte do treino da IA.

• Alguém envia um Excel para o email pessoal para trabalhar no fim de semana. Parabéns, acabaste de perder o controlo dos teus dados.

2. O Preço da “Rapidez”

Achas que investir em segurança é caro? Vê estes números:

• 41% das empresas perderam entre 1 a 10 milhões de dólares com estes “erros”.

• Não é só o dinheiro. É a reputação, as multas regulatórias e o tempo de paragem operacional.

• Os teus dados de clientes e propriedade intelectual são o teu maior ativo. Se não os proteges, não tens um negócio, tens um castelo de cartas.

3. O ponto cego dos gestores

72% dos líderes de segurança admitem: eles não fazem ideia de como os funcionários usam os dados. As ferramentas antigas (DLP tradicional) estão mortas. Elas bloqueiam ficheiros, mas não entendem o comportamento.

Se não sabes quem está a fazer o quê com a tua informação, estás a voar às cegas.

O teu Plano de Ação (No-Regret Moves):

Se queres parar de sangrar dados, precisas de três coisas hoje:

1. Visibilidade Total: Tens de saber que ferramentas de IA e SaaS a tua equipa está a usar. Se não consegues medir, não consegues gerir.

2. Análise Comportamental: Para de olhar para ficheiros e começa a olhar para comportamentos anormais (ex: alguém a descarregar toda a base de dados de clientes às 2h da manhã).

3. Cultura > Software: Alinha os RH, o Jurídico e o IT. A segurança não é um “problema dos tipos da informática”, é um problema de gestão de risco.

Resumo: A segurança em 2026 não é sobre construir muros mais altos. É sobre saber o que se passa dentro da casa.

Quem ignora o risco interno está a pagar para ser roubado. Não sejas essa pessoa.

--- English Version Below ---

Your Biggest Enemy Isn’t a Russian Hacker (It’s Your Favorite Employee)

Most founders and CEOs live in fear of an external attack. They imagine a dark room with green code falling down.

I have bad news: The danger is already inside your office. And it’s using Slack.

A new report from Fortinet just revealed the brutal truth: 77% of companies suffered internal security incidents in the last 18 months.

Here is what you need to know, without the “tech-speak”.

1. The Problem Isn’t Malice, It’s Stupidity (or Convenience)

You don’t have undercover spies. You have people trying to work faster.

• 62% of incidents come from pure human error.

• Your best employee wants to summarize a meeting, pastes confidential data into ChatGPT, and boom — your trade secrets are now part of the AI’s training data.

• Someone sends an Excel sheet to their personal email to work over the weekend. Congratulations, you just lost control of your data.

2. The Price of “Speed”

Think investing in security is expensive? Look at these numbers:

• 41% of companies lost between $1M and $10M due to these “mistakes”.

• It’s not just the money. It’s reputation, regulatory fines, and operational downtime.

• Your customer data and intellectual property are your biggest assets. If you don’t protect them, you don’t have a business, you have a house of cards.

3. The Management Blind Spot

72% of security leaders admit: they have no clue how employees are using data. Old tools (traditional DLP) are dead. They block files but don’t understand behavior.

If you don’t know who is doing what with your information, you’re flying blind.

Your Action Plan (No-Regret Moves):

If you want to stop bleeding data, you need three things today:

1. Full Visibility: You must know what AI and SaaS tools your team is using. If you can’t measure it, you can’t manage it.

2. Behavioral Analysis: Stop looking at files and start looking at abnormal behaviors (e.g., someone downloading your entire customer database at 2 AM).

3. Culture > Software: Align HR, Legal, and IT. Security isn’t an “IT problem,” it’s a risk management problem.

Summary: Security in 2026 isn’t about building higher walls. It’s about knowing what’s happening inside the house.

Those who ignore internal risk are paying to be robbed. Don’t be that guy.

Visit us at: https://www.resolvesec.com

A maioria dos gestores ouve falar de “Computação Quântica” e desliga.
Pensam: “Isso é coisa para daqui a 10 anos. Preocupo-me depois.”

Tenho más notícias.
Se trabalhas com dados financeiros ou sensíveis, o “depois” já começou.

A Europol acabou de lançar um relatório urgente para o setor financeiro.
A mensagem é simples: A encriptação que usas hoje vai morrer.
Os computadores quânticos vão conseguir partir as chaves de segurança atuais como se fossem palitos.

“Mas os computadores quânticos ainda não existem...”

Existem, mas ainda não são potentes o suficiente.
Mas o ataque já começou. Chama-se “Harvest Now, Decrypt Later”.

Os hackers (e governos estrangeiros) estão a roubar os teus dados encriptados hoje.
Eles guardam-nos.
E daqui a 5 anos, quando tiverem o computador quântico, desencriptam tudo.
Se os teus dados (segredos industriais, dados de clientes, registos financeiros) ainda forem valiosos daqui a 5 anos... já foste roubado e nem sabes.

O Plano da Europol (Sem “Tech-Speak”)

O relatório diz para parares de tentar “resolver tudo de uma vez”.
Em vez disso, usa uma abordagem de Risco vs. Tempo de Vida:

1. Dados de Curta Duração: (Ex: uma password de uso único). Não te preocupes.

2. Dados de Longa Duração: (Ex: Hipotecas, Segredos de Estado, Dados Genéticos). Prioridade Máxima.

O Que Podes Fazer Hoje (Ações “Sem Arrependimento”)

A Europol chama-lhe “No-Regret Moves”. Coisas que deves fazer já, independentemente de quando o computador quântico chegar:

1. Inventário de Criptografia: Sabes onde é que a tua empresa usa encriptação? A maioria não sabe. Descobre.

2. Limpeza de “Lixo”: Elimina práticas obsoletas que já são inseguras hoje (como SHA-1 ou chaves RSA curtas).

3. Encriptação Híbrida: Começa a testar algoritmos pós-quânticos em coisas não críticas (como o site público).

Resumo:
A migração para a segurança pós-quântica não é um projeto de TI para 2030.
É um projeto de gestão de risco para 2026.
Quem começar agora, vai gastar menos e sofrer menos.
Quem esperar pelo “dia Q”, vai entrar em pânico.

Não sejas o gestor que é apanhado com as calças na mão quando a matemática mudar.

Visita-nos em: https://www.resolvesec.com

Se tens programadores na tua equipa, tenho uma novidade para ti: 95% deles estão a usar IA para escrever código.
Não interessa se tu permites ou não. Eles estão a fazer.
Porque é mais rápido. Porque é mais fácil.

E isso é ótimo para a produtividade.
Mas é um pesadelo absoluto para a tua segurança.

Um estudo novo da Black Duck confirmou o que todos suspeitamos:
Enquanto 95% das empresas usam IA para gerar código, apenas 24% verificam se esse código é seguro.

O Problema da “Caixa Negra”

Quando um humano escreve código, ele (geralmente) sabe o que escreveu.
Quando a IA escreve código, ela “vomita” blocos inteiros que funcionam... mas ninguém sabe bem o que está lá dentro.

Estamos a encher o nosso software de:

1. Vulnerabilidades: A IA aprendeu com código da internet. Se o código na internet tinha bugs, o teu código novo também tem.

2. Problemas Legais: Aquele bocado de código que o Copilot sugeriu? Pode ter uma licença que te obriga a tornar todo o teu software público.

3. Dependências Fantasma: A IA adora importar bibliotecas que nem precisas, aumentando a superfície de ataque.

A Regra de Ouro: Trata a IA como um “Estagiário Bêbado”

A IA é rápida, mas não é responsável.
Tu não deixarias um estagiário publicar código na produção sem revisão, pois não?
Então porque é que deixas a IA?

Jason Soroko (da Sectigo) disse a melhor frase sobre isto:
“O código gerado por IA deve ser tratado como software de terceiros.”

Ou seja: Não confies. Verifica.

O Que Tens de Fazer (O Plano de Ação)

Não proíbas a IA. Isso é lutar contra a maré.
Em vez disso, cria barreiras de segurança:

1. Exige SBOMs (Software Bill of Materials): É a lista de ingredientes do teu software. Tens de saber exatamente o que está lá dentro.

2. Scan Automático: O volume de código vai explodir (estima-se que 95% do código será IA até 2030). Humanos não conseguem rever tudo. Precisas de ferramentas automáticas que procurem bugs antes do código entrar.

3. Política de “Copy-Paste”: Deixa claro à equipa: “Se a IA escreveu, tu és responsável por entender cada linha antes de fazer commit.”

Resumo:
A IA é um acelerador.
Se o teu processo de segurança for bom, vais andar mais rápido.
Se o teu processo de segurança for mau, vais espetar-te contra a parede a 300km/h.

A escolha é tua.

https://www.resolvesec.com

Se a tua empresa está a apostar em Automação e Inteligência Artificial, há uma grande probabilidade de estares a usar o n8n.
É a ferramenta do momento. Liga tudo a tudo. É o sistema nervoso central das operações modernas.

E é exatamente por isso que esta notícia é um pesadelo.

Foi descoberta uma falha de gravidade máxima (chamada “Ni8mare”) no n8n.
Neste momento, 60.000 empresas têm as suas automações expostas na internet, prontas a serem hackeadas.

Porque é que isto é pior do que um site em baixo?

O n8n não guarda apenas “dados”. Ele guarda as chaves mestras.
Para automatizar processos, tu dás ao n8n acesso a tudo:

• As tuas chaves da OpenAI/ChatGPT.

• As tuas credenciais da Base de Dados de Clientes.

• Os teus tokens do Slack, Google Drive e CRM.

Se um hacker entra no teu n8n, ele não precisa de partir mais portas. Tu já lhe deste as chaves de todas as divisões da casa.
Ele pode roubar a tua propriedade intelectual, ler os teus dados confidenciais e usar a tua conta de IA para gerar custos astronómicos.

O Erro Técnico (Simplificado)

A falha (CVE-2026-21858) permite que alguém de fora, sem password, engane o sistema e assuma o controlo total.
Basta teres um fluxo de trabalho (workflow) que aceite ficheiros (como um formulário) para estares em risco.

O Que Tens de Fazer (Agora, não amanhã)

Se usas n8n (ou se a tua equipa de “Growth” ou “Inovação” usa), pára de ler e faz isto:

1. Atualiza Já: A versão segura é a 1.121.0 ou superior. Se tens uma versão anterior, estás vulnerável.

2. Esconde o Servidor: Porque é que a tua ferramenta de automação interna está acessível a toda a internet? Coloca-a atrás de uma VPN ou restringe o acesso apenas ao IP do escritório.

3. Roda as Chaves: Se o teu n8n esteve exposto sem atualização, assume o pior. Regenera as chaves de API (OpenAI, Google, etc.) que estavam lá guardadas.

Resumo:
A automação dá velocidade ao negócio. Mas velocidade sem travões é apenas um acidente à espera de acontecer.
Não deixes que a ferramenta que te poupa tempo seja a que te destrói o negócio.

Verifica a versão do n8n hoje.

Se a tua empresa lançou um site novo, uma área de cliente ou uma app nos últimos 2 anos, há 90% de probabilidade de estares a usar React ou Next.js.
É a tecnologia da moda. É rápida, é bonita e os programadores adoram.

Mas o CNCS (Centro Nacional de Cibersegurança) acabou de avisar: Tem um buraco gigante.

O Problema (Sem “Tech-Speak”)

Imagina que tens uma loja com uma porta automática.
A porta devia abrir apenas para clientes.
Mas descobriram que se alguém gritar uma palavra mágica específica, a porta não só abre, como dá ao estranho as chaves do armazém.

A falha (CVE-2025-55182) está no “motor” que faz o site funcionar (React Server Components).
Um hacker pode enviar um pedido simples pela internet (HTTP) e ganhar controlo do servidor.
Sem login. Sem password. Acesso direto.

Quem Está em Risco?

Quase toda a gente que investiu em “transformação digital” recentemente.
Se usas:

• Next.js (versões 14, 15 ou 16)

• React (versão 19)

...então tens de agir.

A Conversa que Tens de Ter Hoje

Não tentes resolver isto sozinho. Chama a tua agência web ou o teu chefe de desenvolvimento e pergunta isto:

1. “O nosso site/app usa Next.js ou React Server Components?”

2. “Se sim, já atualizámos para a versão segura que saiu esta semana?”

Se eles disserem “Ah, isso é só para sites grandes”, estão a mentir.
Os hackers usam robôs que varrem a internet à procura de qualquer site com esta versão. Não interessa se és a Google ou a Padaria da Esquina. Se o software é vulnerável, o robô entra.

Resumo

A tecnologia moderna é fantástica para o negócio, mas exige manutenção.
Um site não é um cartaz que colas na parede e esqueces. É um organismo vivo.
Se não o vacinas (atualizas), ele adoece.

Confirma a versão hoje. Não deixes a porta da loja aberta.

Visita-nos em: https://www.resolvesec.com

Imagina que tens um sistema de alarme em casa que detecta ladrões.
Mas e se o ladrão entrar vestido com a farda da empresa de limpeza?
O alarme não toca. Ele tem a chave. Ele “pertence” ali.

É exatamente isto que está a acontecer agora nos servidores de muitas empresas.

Os hackers descobriram uma nova “farda de limpeza”: uma ferramenta chamada Nezha.
O Nezha não é um vírus. É um software legítimo, open-source, usado por administradores de sistemas para monitorizar servidores. É útil, é grátis e funciona bem.

E é por isso que é perigoso.

O Truque de Mestre (Zero Deteções)

Os investigadores da Ontinue descobriram que os criminosos estão a instalar o Nezha nos sistemas das vítimas.
Quando passaram o Nezha pelo VirusTotal (o motor que usa 72 antivírus diferentes), sabes quantos detectaram perigo?
Zero.

Para o teu antivírus, o Nezha é “amigo”.
Mas nas mãos do hacker, ele dá acesso total (Root/System). Permite copiar ficheiros, correr comandos e controlar tudo remotamente.
É o crime perfeito: usar as tuas próprias ferramentas contra ti.

A Era do “Living off the Land”

Isto tem um nome técnico: Living off the Land (Viver da Terra).
Os hackers deixaram de trazer as suas próprias armas (malware) porque elas são detectadas. Agora, usam as ferramentas que já existem no teu sistema (TeamViewer, AnyDesk, PowerShell, e agora Nezha).

É como ser assaltado com a tua própria faca de cozinha.

Como é que te Proteges de Algo que é “Legítimo”?

Se o antivírus está cego, tens de mudar a estratégia.
Deixas de procurar “ficheiros maus” e começas a procurar “comportamentos estranhos”.

1. Inventário Brutal: A tua equipa de TI sabe exatamente que ferramentas de acesso remoto (RMM) são permitidas? Se o Nezha não está na lista branca, é para bloquear.

2. Contexto é Rei: Porque é que o servidor de contabilidade está a comunicar com um IP na China às 3 da manhã usando uma ferramenta de monitorização nova? O software pode ser legítimo, mas o comportamento não é.

A Pergunta para o Teu Diretor de TI:

“Nós bloqueamos ferramentas de acesso remoto não autorizadas, ou confiamos apenas que o antivírus vai apanhar tudo?”

Se a resposta for “confiamos no antivírus”, tens a porta aberta.
Os hackers mudaram de tática. A tua defesa também tem de mudar.

Imagina que tens um cofre de alta segurança.
Tens uma chave (Password) e um código secreto (2FA).
Sentes-te seguro, certo?

Agora imagina que o ladrão descobre que, se escrever o teu nome com letras MAIÚSCULAS em vez de minúsculas... o cofre abre sem pedir o código.

Parece uma piada de mau gosto?
Não é. É a realidade de 10.000 empresas neste momento.

Uma falha crítica nas Firewalls da Fortinet (uma das marcas mais usadas no mundo) permite que hackers entrem na tua rede saltando o 2FA.
Basta mudar uma letra no nome de utilizador. Sim, é assim tão estúpido.

O Verdadeiro Escândalo (Não é a falha)

Bugs acontecem. O software tem falhas. É normal.
O escândalo é este: A Fortinet corrigiu isto em Julho de 2020.

Estamos em 2026.
Passaram 5 anos.
E ainda há 10.000 diretores de TI que não carregaram no botão “Atualizar”.

Isto não é um problema técnico. É um problema de negligência de gestão.
Se a tua empresa for hackeada por isto, não foi um “ciberataque sofisticado”. Foi porque deixaste a janela aberta durante 5 anos.

Porque é que isto te interessa? (O Custo da Preguiça)

Os hackers adoram estas falhas “velhas”.
Eles não querem ter trabalho. Eles usam scanners automáticos que procuram estas firewalls desatualizadas.
Se a tua firewall aparecer na lista, eles entram. Instalam Ransomware. Pedem resgate.

E tu pagas milhões porque alguém se esqueceu de fazer uma manutenção básica em 2021.

A Pergunta para Fazer Hoje (Sem falta)

Não assumas que está feito. A confiança é boa, o controlo é melhor.
Envia isto ao teu responsável de TI agora:

“Temos equipamentos Fortinet? Se sim, confirma-me por escrito que não estamos vulneráveis ao CVE-2020-12812 (aquele do bypass de 2FA).”

Se a resposta demorar mais de 5 minutos... preocupa-te.
Se a resposta for “acho que sim”... preocupa-te muito.

A segurança não é sobre comprar a ferramenta mais cara. É sobre manter a ferramenta a funcionar.
Fecha a porta.

Vamos ser honestos por um minuto.
Tu tens aquela password. Aquela que usas para o email, para o Facebook, para o LinkedIn e, se calhar, até para o banco.
Talvez mudes um número no fim. Talvez ponhas uma maiúscula.
Mas a base é a mesma.

Tenho más notícias: Os hackers já a têm.

Um estudo novo da Kaspersky analisou todas as fugas de dados de 2025 e descobriu um número assustador:
54% das passwords roubadas este ano JÁ ERAM CONHECIDAS.

Leste bem. Mais de metade das “novas” vítimas foram hackeadas com chaves velhas. Chaves que já andavam a circular na Dark Web há 3 ou 4 anos.

O Problema Não é a Tecnologia, És Tu (Somos Nós)

Nós somos criaturas de hábitos. E somos preguiçosos.
A análise mostrou que:

• 10% das passwords têm datas (1990 a 2025). Parabéns, puseste o ano de nascimento do teu filho. Um génio.

• O clássico “12345” continua vivo.

• Nomes próprios e países são mais que muitos.

O hacker não precisa de ser um génio do Matrix para entrar na tua conta. Ele só precisa de pegar numa lista antiga (que custa 5€ na net) e testar.
Se tu és parte dos 54% que recicla passwords, ele entra. Simples.

A Morte da Password (Finalmente)

A indústria da segurança cansou-se de pedir às pessoas para criarem passwords complexas. Ninguém faz isso.
Por isso, a solução mudou.

Se ainda estás a confiar na memória para a tua segurança, estás em 2010.
Em 2026, tens duas saídas:

1. Gestor de Passwords: Um cofre digital que cria senhas gigantes e aleatórias para ti. Tu só decoras uma, ele decora as outras 500.

2. Passkeys (O Futuro): Usar a tua cara (FaceID) ou o teu dedo (TouchID) como chave. Sem códigos para decorar, sem códigos para roubar.

O Desafio de Hoje

Faz um favor a ti próprio (e à tua empresa).
Vai ao site “Have I Been Pwned”. Põe lá o teu email.
Se aparecer a vermelho... para tudo o que estás a fazer.

Muda a password. Ativa o 2FA (MFA).
Não sejas a estatística dos 54%.
Não facilites o trabalho a quem te quer roubar.

Se tens um site, há 43% de hipóteses de ele ser feito em WordPress.
É a plataforma mais popular do mundo. É fácil, é flexível e, muitas vezes, é barato de fazer.

Mas há um “custo escondido” que ninguém te conta quando te vendem o site por 500€ ou 1000€.
A Manutenção.

Esta semana, mais um plugin popular (o King Addons for Elementor) abriu uma cratera de segurança.
Uma falha crítica (CVE-2025-8489) permite que qualquer estranho se torne Administrador do teu site.
Sem password. Sem hackear a NASA.
Ele simplesmente “entra” e passa a ser o dono. Pode apagar tudo, roubar dados de clientes ou redirecionar o teu tráfego para sites de burlas.

O Problema Não é o WordPress. É o “Set and Forget”.

O erro número 1 dos empresários é tratar o site como um folheto impresso.
“Já paguei, está feito, agora é só deixar estar.”

Errado.
Um site WordPress é feito de peças de Lego (Plugins).
Tu tens o plugin para o formulário, o plugin para o design (Elementor), o plugin para o SEO.
Cada um destes plugins é feito por uma empresa diferente. E cada um deles precisa de atualizações constantes.

Se tu não atualizas:

1. O plugin fica velho.

2. Os hackers descobrem uma falha (como esta).

3. Eles usam robôs para varrer a internet à procura de quem não atualizou.

4. Tu és hackeado.

Não é uma questão de “se”, é uma questão de “quando”.
Só nesta falha específica, já foram registadas 50.000 tentativas de ataque.

A Verdade Dura sobre “Sites Baratos”

Quando contratas alguém para fazer um site e não contratas um plano de manutenção mensal, estás a comprar um carro e a decidir nunca mudar o óleo.
Vai andar bem durante uns meses. Mas um dia o motor parte.

O Que Tens de Fazer Hoje:

1. Pergunta Chata: Vai ter com quem te fez o site e pergunta: “Quem é responsável por atualizar os plugins do nosso WordPress? És tu ou sou eu?”

2. Ação Imediata: Se usas Elementor ou “King Addons”, verifica se está tudo atualizado para a última versão (51.1.35 ou superior).

3. Mudança de Mentalidade: Pára de ver a manutenção do site como um “custo chato”. Vê como um seguro.

Um site desatualizado não é um ativo. É um passivo.
E neste momento, pode ser a porta de entrada para perderes o controlo do teu negócio digital.

Atualiza. Ou paga o preço.

If you have a website, there is a 43% chance it is built on WordPress.
It is the most popular platform in the world. It’s easy, flexible, and often, cheap to build.

But there is a “hidden cost” no one tells you about when they sell you a website for $500 or $1,000.
Maintenance.

This week, yet another popular plugin (King Addons for Elementor) opened a massive security crater.
A critical flaw (CVE-2025-8489) allows any stranger to become an Administrator of your site.
No password needed. No hacking the NASA mainframe.
They simply “walk in” and become the owner. They can delete everything, steal customer data, or redirect your traffic to scam sites.

The Problem Isn’t WordPress. It’s the “Set and Forget” Mindset.

The #1 mistake business owners make is treating their website like a printed brochure.
“I paid for it, it’s done, now I just leave it alone.”

Wrong.
A WordPress site is made of Lego pieces (Plugins).
You have a plugin for forms, a plugin for design (Elementor), a plugin for SEO.
Each of these is made by a different company. And each of them needs constant updates.

If you don’t update:

1. The plugin gets old.

2. Hackers discover a flaw (like this one).

3. They use bots to scan the internet for anyone who hasn’t updated.

4. You get hacked.

It’s not a matter of “if”, it’s a matter of “when”.
For this specific flaw alone, 50,000 attack attempts have already been recorded.

The Hard Truth About “Cheap Websites”

When you hire someone to build a site but don’t pay for a monthly maintenance plan, you are buying a car and deciding never to change the oil.
It will run fine for a few months. But one day, the engine will blow.

What You Need To Do Today:

1. The Annoying Question: Go to whoever built your site and ask: “Who is responsible for updating our WordPress plugins? Is it you, or is it me?”

2. Immediate Action: If you use Elementor or “King Addons”, check if everything is updated to the latest version (51.1.35 or higher).

3. Mindset Shift: Stop seeing website maintenance as an “annoying cost”. See it as insurance.

An outdated website is not an asset. It is a liability.
And right now, it could be the open door to losing control of your digital business.

Update it. Or pay the price.

Visit us htpps://www.resolvesec.com

Imagina que contratas um segurança para a tua loja.
Ele veste o uniforme, cumpre o horário e protege a porta.
Mas, sem tu saberes, ele fez uma cópia da chave da loja e deu-a a um gangue. E todas as noites, enquanto dormes, eles entram, leem o teu correio e roubam o que querem.

Foi exatamente isto que aconteceu no mundo do software esta semana.

Um pacote chamado ‘lotusbail’ estava disponível no npm (o “supermercado” de código onde os programadores vão buscar peças para construir os teus sites e apps).
Parecia uma ferramenta legítima para ligar o WhatsApp ao teu software.
Funcionava perfeitamente.

O problema?
Enquanto fazia o trabalho dele, estava a roubar TUDO.

O Golpe Perfeito (O Cavalo de Troia Digital)

Este código malicioso não se limitava a partir coisas. Era silencioso.

1. Roubava as Chaves: Capturava os tokens de sessão (basicamente, o login sem password).

2. Lia as Mensagens: Cada mensagem enviada ou recebida passava primeiro pelo hacker.

3. Acesso Eterno: O mais assustador? O código vinculava o telemóvel do hacker à conta da vítima. Mesmo que o programador apagasse o código malicioso amanhã, o hacker continuava lá dentro, como um dispositivo emparelhado.

Esteve ativo durante 6 meses.
Teve 56.000 downloads.

Isto significa que 56.000 projetos, empresas ou programadores confiaram cegamente num pedaço de código que encontraram na internet.

A Lição para Quem Gere Negócios (Não para Programadores)

Tu, CEO ou Gestor, não precisas de saber o que é um “WebSocket” ou “RSA”.
Mas precisas de saber isto:

O Software Moderno é um Lego de Peças Desconhecidas.
O teu site, a tua app, o teu CRM... são feitos de milhares de pequenas peças de código (bibliotecas) que vêm de terceiros.
Se o teu programador (ou a tua agência) não fizer a “higiene” dessas peças, estás a meter estranhos dentro de casa.

O que deves perguntar à tua equipa de TI Hoje:

Não assumas que está tudo bem. Faz estas 2 perguntas:

1. “Nós usamos bibliotecas externas para integrar com WhatsApp ou redes sociais?”

2. “Como é que validamos se esse código é seguro? Monitorizamos o comportamento ou só confiamos na fonte?”

A Koi Security (quem descobriu isto) avisou: Ler o código já não chega. Os hackers escondem-se demasiado bem. É preciso ver o que o código faz quando está a correr.

Conclusão:
O “Grátis” e “Open Source” é incrível. Construiu a internet.
Mas a confiança cega é cara.
Neste caso, custou a privacidade de milhares de contas de WhatsApp.

Verifica os teus dispositivos emparelhados no WhatsApp agora. Se vires lá um “Chrome no Linux” que não conheces... já sabes de onde veio.

Imagina que és o capitão de um navio.
Estás na ponte de comando, a olhar para os radares e mapas.
Sentes-te no controlo.
Mas, sem saberes, cada vez que tocas num botão do painel, estás a dar ordens para afundar o barco.

É isto que está a acontecer com o Ivanti Endpoint Manager.

O CNCS (Centro Nacional de Cibersegurança) acabou de lançar um alerta vermelho.
Há uma falha crítica (CVE-2025-10573) no software que usas para gerir os computadores da tua empresa.

Como Funciona o Ataque (Simples)

É uma armadilha de “espera”.

1. O hacker (que nem precisa de login) deixa um código malicioso “plantado” no sistema.

2. Ele espera.

3. Quando o teu Administrador de TI entra no painel para trabalhar... BOOM.

4. O código executa-se com os privilégios do Administrador.

Basicamente, o hacker usa a conta do teu chefe de TI para roubar a empresa.
Não precisa de partir a porta. Ele entra à boleia de quem tem a chave mestra.

O Perigo Real

O Ivanti EPM é usado para gerir todos os computadores da rede.
Se o hacker controlar isto, ele controla tudo. Pode instalar ransomware em 500 portáteis ao mesmo tempo com um clique.

O Que Tens de Fazer (Agora)

Se usas Ivanti na tua empresa, tens duas opções. Não há terceira via.

Opção A (A Correta):
Atualiza para a versão 2024 SU4 SR1. Já.
Não esperes pelo fim de semana. Não esperes pela “janela de manutenção”. Faz hoje.

Opção B (O penso rápido):
Se não consegues atualizar já, tira a consola da Internet.
Porque é que o painel de gestão da tua empresa está acessível a partir da China ou da Rússia?
Bloqueia o acesso. Só quem está no escritório (ou na VPN) é que deve ver esse login.

Resumo:
As ferramentas de gestão são o alvo favorito dos hackers porque são as “chaves do reino”.
Se não as proteges, estás a dar a arma ao inimigo.

Pergunta ao TI: “O nosso Ivanti está exposto à net? E já aplicámos o patch SR1?”

Acabou de acontecer mais um “terramoto” no mercado de tecnologia.
A ServiceNow abriu a carteira e pagou 7,75 mil milhões de dólares pela Armis.

Para quem não anda nestas lides, isto pode parecer só mais uma notícia de Wall Street.
Mas se leres nas entrelinhas, isto é um sinal gigante de para onde o mundo está a ir.

Aqui está a tradução do “corporatês” para português claro:

1. O “Velho” IT Morreu. Viva o OT.

A Armis não é uma empresa de antivírus normal. Eles são especialistas em IoT (Internet das Coisas) e OT (Tecnologia Operacional).
Estamos a falar de proteger braços robóticos em fábricas, máquinas de ressonância magnética em hospitais, sensores em oleodutos.

A ServiceNow percebeu o óbvio: O mundo digital já não vive só em computadores. Vive em tudo. E se tudo está ligado, tudo pode ser hackeado.
Se a tua empresa tem máquinas ligadas à net e achas que o “antivírus do portátil” chega, estás a jogar um jogo perigoso.

2. A Consolidação é Real (O “Winner Takes All”)

Repara na tendência de 2025:

• Google compra Wiz (32MM$).

• Palo Alto compra CyberArk (25MM$).

• ServiceNow compra Armis (7.75MM$).

As grandes plataformas estão a engolir as ferramentas especializadas.
O futuro não é teres 50 softwares de segurança diferentes que não falam uns com os outros. O futuro é teres uma plataforma central que gere tudo.
A complexidade é inimiga da segurança. A simplicidade (e integração) é o futuro.

3. “Cibersegurança Proativa” não é Buzzword, é Dinheiro

A ServiceNow diz que quer “cibersegurança proativa nativa em IA”.
Traduzindo: Eles querem resolver o problema antes de ele acontecer.
Porque resolver depois (reativo) custa 100x mais.

O Que Isto Significa Para Ti?

Se uma empresa que fatura 3.4 mil milhões por trimestre está a apostar todas as fichas em Visibilidade Total de Ativos (Asset Management) e Segurança de IoT, talvez tu devesses fazer o mesmo (numa escala menor, claro).

A lição de 7 mil milhões de dólares é esta:
Não podes proteger o que não vês.

A Armis vale tanto dinheiro porque dá visibilidade. Diz-te exatamente o que está ligado à tua rede.
Tu sabes o que está ligado à tua rede agora? Ou tens lá uma impressora Wi-Fi de 2015 que é a porta de entrada para um hacker?

Pensa nisso.

Estás numa chamada confidencial.
Talvez a negociar um contrato, a discutir um despedimento ou a partilhar dados financeiros.
Estás a usar os teus fones de cancelamento de ruído de topo (Sony, Bose, JBL).
Sentes-te seguro. Ninguém à tua volta consegue ouvir a conversa.

Errado.
Alguém pode estar a ouvir. E pior: pode estar a entrar no teu telemóvel através dos fones.

Acabaram de ser descobertas 3 vulnerabilidades críticas (CVE-2025-20700 a 20702) nos chips Bluetooth da Airoha.
Se nunca ouviste falar da Airoha, não te preocupes. Mas de certeza que conheces os clientes deles:
Sony, Bose, JBL, Marshall, Jabra.

Basicamente, as marcas que tu e a tua equipa usam todos os dias.

O “Cavalo de Troia” no teu Ouvido

A maioria das pessoas acha que hackear é “entrar no computador”.
Mas os hackers são como a água: procuram a fenda mais pequena.

Estes fones não são apenas colunas. São mini-computadores.
E esta falha permite que um atacante próximo:

1. Ouça as tuas conversas (espionagem industrial gratuita).

2. Roube dados sensíveis.

3. Controle o teu telemóvel (o “Hijack” completo).

Imagina o cenário: O teu Diretor Financeiro está no aeroporto, com os seus Bose, a falar com o banco. O hacker está sentado na cadeira ao lado, a beber um café e a copiar tudo.

O Que Tens de Fazer (Não entres em pânico, age)

Não precisas de deitar os fones ao lixo. Mas precisas de tratar os teus “gadgets” como tratas o teu computador.

1. Atualiza o Firmware: Vai à app dos teus fones (Sony Headphones, Bose Music, etc.) AGORA. Se houver um update, instala. As marcas sérias já estão a lançar correções.

2. Desliga o Bluetooth: Se não estás a usar, desliga. Andar com o Bluetooth ligado 24/7 em locais públicos é pedir para ser encontrado.

3. A Regra de Ouro: Se a conversa é mesmo secreta (segredos de estado, fusões, códigos nucleares)... usa fios. O cabo nunca é hackeado.

Resumo:
A tecnologia é incrível, mas é vulnerável.
Da próxima vez que puseres os fones para te “isolares do mundo”, lembra-te: podes estar a abrir a porta a quem te quer roubar.

Verifica os updates da tua equipa hoje.

A pergunta não é se vais ser atacado. É quando.
E quando acontecer, só há dois cenários possíveis:

1. Cenário A: O caos instala-se. Ninguém sabe o que fazer. Pagas o resgate (e financias o crime), perdes a confiança dos clientes e o teu CFO tem um ataque cardíaco a ver os prejuízos.

2. Cenário B: O sistema detecta, bloqueia e recupera. O negócio continua. Tomas um café e segues a vida.

A diferença entre o A e o B não é sorte. É Matemática.

O erro que o CEO comete (e que custa milhões)

A maioria dos CEOs delega isto: “O CIO trata da tecnologia, o CFO trata do dinheiro.”

Errado.
Na cibersegurança moderna, Tecnologia = Dinheiro.

• O CIO está preocupado com Ransomware e IA.

• O CFO está preocupado com Multas e Reputação.

Se eles não falarem a mesma língua, tens um buraco no barco. O CIO pede orçamento para “Zero Trust” e o CFO nega porque acha que é “brinquedo novo”. Resultado? O ataque entra por essa falha.

A lista de compras para sobreviver (sem tretas)

Não precisas de 50 ferramentas. Precisas de resolver 3 problemas:

1. O problema da entrada (como eles entram)

• A Solução: Higiene Básica Agressiva.

• MFA em tudo (não negociável).

• Formação anti-phishing (o elo mais fraco é a Dona Maria, não o servidor).

• EDR (antivírus com esteróides) em todas as máquinas.

2. O problema do fornecedor (o cavalo de Troia)

• Tu podes ser seguro, mas o teu fornecedor de software não é.

• A Solução: Contratos blindados. Exige certificações (ISO 27001) ou auditorias. Se eles não garantem segurança, troca.

3. O problema do dinheiro (quando tudo falha)

• Às vezes, o inimigo ganha.

• A Solução: Seguros Cibernéticos e Backups Offline.

• O seguro paga a conta. O backup devolve-te os dados. Sem isto, estás a jogar roleta russa com o teu património.

Conclusão

Deixa o Shakespeare para o teatro.
No mundo real, a cibersegurança não é uma peça, é uma guerra.

E nesta guerra, só há dois tipos de empresas:
As que se preparam.
E as que pagam o resgate.

Qual delas queres ser?

1. A NIS2 não é uma sugestão, é uma obrigação com multas de milhões.

2. A tua empresa (ou os teus clientes) provavelmente está na lista.

Agora, a pergunta de um milhão de euros: “Como é que eu resolvo isto sem parar a empresa e sem ir à falência?”

Muitos consultores cobrariam uma fortuna só para te dizer o que vou escrever nas próximas linhas. Mas na ResolveSec, acreditamos em entregar valor primeiro.

Aqui tens o roteiro prático. Não é magia, é método.

Passo 1: O Inventário (Não podes proteger o que não vês)

A maioria das empresas não sabe o que tem. Servidores antigos ligados à rede? Portáteis de ex-funcionários? Softwares que ninguém usa?
A NIS2 exige que saibas exatamente o que tens.

• Ação: Faz uma lista exaustiva de todos os ativos (hardware, software, dados).

• A Pergunta: “Se isto desaparecer amanhã, a empresa para?” Se a resposta é sim, é crítico.

Passo 2: A Análise de Risco (Onde é que dói mais?)

Não tentes proteger tudo com a mesma intensidade. Isso é caro e ineficiente.
Tens de identificar as tuas “Jóias da Coroa”.

• Ação: Identifica as ameaças reais. Ransomware? Roubo de dados de clientes? Paragem da produção?

• A Pergunta: “Qual é o pior cenário possível e quanto tempo aguentamos parados?”

Passo 3: A Higiene Básica (O “Pareto” da Segurança)

80% dos ataques resolvem-se com 20% do esforço. Antes de comprares firewalls da NASA, faz o básico que a NIS2 exige:

• MFA (Autenticação Multifator): Ativa isto em TUDO. É a vacina mais barata que existe.

• Backups: Têm de ser frequentes, testados e, idealmente, um deles deve estar “offline” (fora da rede).

• Updates: Software desatualizado é uma porta aberta. Fecha-a.

Passo 4: O Plano de Incidente (O que fazer quando a casa arder)

A NIS2 obriga-te a reportar incidentes graves em 24 horas. Se fores atacado, não vais ter tempo para pensar. Tens de ter um guião.

• Ação: Cria um documento simples: Quem ligamos? Como isolamos a rede? Como comunicamos com os clientes/autoridades?

• O Teste: Uma vez por ano, simula um ataque. Vais descobrir que o plano no papel falha na prática. Corrige.

Passo 5: A Cadeia de Fornecedores (O Efeito Dominó)

Lembras-te do artigo anterior? Tu és responsável por quem contratas.

• Ação: Revê os contratos. Exige garantias de segurança aos teus parceiros de TI, cloud e software. Se eles não garantem, o risco é teu.

A Verdade Dura (O “Catch”)

Este plano de 5 passos parece simples no papel. E é.
Mas a execução é onde a maioria falha.

Fazer um inventário dá trabalho. Configurar backups à prova de bala exige técnica. Criar um plano de resposta a incidentes que cumpra as 24h da lei exige experiência.

Se queres dormir descansado sabendo que a tua empresa está blindada e em conformidade, envia-nos uma mensagem.

Vamos resolver isto.

Muitos empresários cometem o erro clássico: “A minha empresa não é uma central nuclear nem um banco, por isso estou safo.”

Errado.

A NIS2 expandiu drasticamente o âmbito da cibersegurança. A rede foi lançada ao mar e apanhou muito mais peixe do que na versão anterior. Se tens mais de 50 trabalhadores ou faturas mais de 10 milhões de euros, é muito provável que estejas na lista.

E mesmo que sejas mais pequeno, podes ser apanhado pelo “Efeito Dominó” (já lá vamos).

Vamos dividir isto como deve ser. A NIS2 cria duas categorias de empresas. Descobre onde estás:

1. As Entidades Essenciais (A “Elite” Crítica)

Estas são as empresas que, se pararem, o país para. Se estás aqui, a supervisão é proativa (vão andar em cima de ti antes de haver problemas) e as exigências são máximas.

• Energia (Eletricidade, Gás, Petróleo, Hidrogénio)

• Transportes (Aéreo, Ferroviário, Marítimo, Rodoviário)

• Banca e Mercados Financeiros

• Saúde (Hospitais, Laboratórios, Fabricantes de Dispositivos Médicos e Farmacêuticos)

• Água (Potável e Residuais)

• Infraestrutura Digital (IXPs, DNS, Data Centers, Cloud, Telcos)

• Administração Pública

• Espaço

A Fatura: Se falhares aqui, as multas vão até 10.000.000€ ou 2% do volume de negócios global (o que for maior). Sim, leste bem. O que for maior.

2. As Entidades Importantes (O Motor da Economia)

Estas empresas têm um impacto significativo na economia e na sociedade. A supervisão aqui é reativa (vão cair-te em cima depois de haver um incidente ou denúncia), mas as regras são para cumprir na mesma.

• Serviços Postais e de Correio

• Gestão de Resíduos

• Químicos (Fabrico, produção e distribuição)

• Alimentação (Produção, processamento e distribuição em massa)

• Indústria Transformadora (Fabrico de computadores, eletrónica, máquinas, veículos)

• Fornecedores Digitais (Motores de busca, Marketplaces, Redes Sociais)

• Investigação

A Fatura: Aqui, as multas vão até 7.000.000€ ou 1,4% do volume de negócios global. Continua a ser dinheiro suficiente para fechar muitas portas.

3. A “Zona de Risco” (O Efeito Dominó)

“Frederico, a minha empresa não está em nenhuma dessas listas. Estou livre!”

Calma. Ainda não acabámos.

A NIS2 introduz uma obrigação crítica para as Entidades Essenciais e Importantes: Segurança da Cadeia de Abastecimento (Supply Chain Security).

Isto significa que as grandes empresas são agora obrigadas a garantir que os seus fornecedores são seguros.

Se tu vendes software, serviços de limpeza, contabilidade, marketing ou parafusos para uma empresa que seja “Essencial” ou “Importante”, tu passas a ser um risco para eles.

Eles vão bater-te à porta e dizer: “Ou cumpres os requisitos de segurança da NIS2, ou não podemos continuar a trabalhar contigo.”

De repente, a conformidade não é uma lei do governo. É um requisito comercial. É a diferença entre manteres o teu maior cliente ou perdê-lo para o concorrente que já tratou disto.

O Custo da Inação

Ignorar a NIS2 tem três custos:

1. O Custo Legal: As multas astronómicas que falámos acima.

2. O Custo Operacional: O prejuízo de um ataque (ransomware, paragem, recuperação de dados).

3. O Custo Comercial: Perder clientes porque não consegues provar que és seguro.

O Que Fazer Agora?

Se te identificaste em qualquer um destes grupos, parabéns: tens trabalho a fazer.

Mas não entres em pânico. A conformidade não se atinge num dia, mas começa com um passo. Não precisas de gastar milhões, precisas de gastar bem.

No próximo e último artigo desta série, vou abrir o jogo. Vou dar-te o Playbook “Do Zero à Compliance”. Um guia passo-a-passo, sem tretas, sobre como levar a tua empresa de “alvo fácil” para “fortaleza digital”.

Prepara o bloco de notas. Vamos falar de soluções.

Isso é Hollywood. Isso vende bilhetes de cinema. Mas não é isso que vai levar a tua empresa à falência.

A realidade dos ataques informáticos em 2025 é muito mais aborrecida — e muito mais perigosa.

A realidade é um bot automatizado na Rússia ou na China a enviar 10 milhões de emails de phishing.
A realidade é a Dona Maria da Contabilidade, cansada numa sexta-feira à tarde, a clicar num PDF chamado “Fatura_Vencida.pdf”.
A realidade é o teu servidor ser encriptado em 30 segundos e aparecer um ficheiro de texto a pedir 500.000€ em Bitcoin para te devolverem a tua própria empresa.

Não há música dramática. Há apenas silêncio, telefones a tocar de clientes furiosos e o teu negócio parado.

Foi para acabar com este “Velho Oeste” digital que a União Europeia criou a NIS2.

O Que é a NIS2?

A NIS2 (Network and Information Security 2) não é mais uma daquelas normas burocráticas para encher papelada e agradar a auditores.

É a resposta da Europa a um facto simples: tudo está ligado.

Se a empresa que gere a energia for atacada, o hospital para. Se o hospital parar, pessoas morrem. Se a logística parar, os supermercados ficam vazios.

A primeira versão (NIS) era um “pedido simpático”. A NIS2 é um ultimato.

A UE percebeu que a “segurança voluntária” não funciona. Por isso, decidiram falar a única língua que toda a gente entende: Dinheiro e Responsabilidade.

O Que Muda Para Ti? (O Ganho e a Dor)

A maioria dos empresários olha para a compliance (conformidade) como um imposto. “Lá tenho eu de gastar dinheiro nisto.”

Se pensares assim, já perdeste.

Deves olhar para isto através da Equação de Valor (do Alex Hormozi):

1. O Risco (A Dor): Com a NIS2, as multas podem chegar aos 10 Milhões de Euros ou 2% do teu volume de negócios global. Mas pior que a multa: os administradores (sim, tu, CEO) podem ser pessoalmente responsabilizados por negligência. Acabou-se o “ah, isso é problema do departamento de TI”. Se a casa arder, a culpa é de quem tem as chaves.

2. A Oportunidade (O Ganho): A cibersegurança deixou de ser uma questão técnica para ser uma Vantagem Competitiva.

   • Grandes empresas (as “Entidades Essenciais”) vão ser obrigadas a garantir que os seus fornecedores são seguros.

   • Se tu tiveres a conformidade NIS2 e o teu concorrente não, adivinha quem ganha o contrato?

   • A segurança passa a ser um ativo de confiança. Tu tornas-te a opção de “risco zero” para os teus clientes.

O Que o Mundo Ganha (E Tu Também)

A NIS2 vem elevar a “imunidade de grupo” do ecossistema empresarial europeu.

• Menos tempo de inatividade: Menos prejuízo.

• Mais confiança no mercado: Mais negócios.

• Regras claras: Sabes exatamente o que tens de fazer (não há adivinhação).

O Próximo Passo

Neste momento deves estar a pensar: “Ok, Frederico, já percebi que o assunto é sério. Mas será que a minha empresa está na lista? Eu vendo sapatos/faço software/tenho uma fábrica, isto aplica-se a mim?”

A resposta pode surpreender-te. A rede é mais larga do que pensas.

No próximo artigo, vou partilhar a “Lista da Verdade”. Vamos ver, preto no branco, quem são as Entidades Essenciais e as Entidades Importantes. E, mais importante, o que acontece se tentares ignorar isto.

Fica atento. A ignorância, neste caso, não é uma bênção. É uma multa.

Sabe mais em: https://www.resolvesec.com