Ransomware em Portugal: o que é, como funciona e como proteger a sua empresa

Ransomware é um ataque que encripta os ficheiros de uma empresa e exige pagamento para os devolver.

Ransomware em Portugal é hoje uma das principais ameaças para empresas de todas as dimensões: 48% das PME sofreram pelo menos um incidente de cibersegurança em 2024 (CNCS, 2025). O ataque encripta os ficheiros e exige pagamento para os devolver, com custos médios de recuperação entre €50.000 e €200.000.

Desde abril de 2026, a Diretiva NIS2 (DL 125/2025) obriga empresas de setores críticos a implementar proteção concreta, sob pena de coimas até 10 milhões de euros.

Este artigo explica como o ataque funciona, porque as PME são o alvo preferido, o que muda com a NIS2 e quais os passos para se proteger..

O que é ransomware e como funciona?

Ransomware é um tipo de software malicioso que, depois de entrar nos sistemas de uma empresa, encripta todos os ficheiros, tornando-os completamente inacessíveis. O nome vem do inglês ransom (resgate): os criminosos exigem um pagamento para fornecer a chave de desencriptação.

O processo acontece em três fases:

Entrada — O ataque começa quase sempre de forma silenciosa. Um email aparentemente legítimo com um anexo ou link, uma password fraca, um software desatualizado com uma falha de segurança conhecida. O criminoso entra sem disparar alarmes.

Propagação — Uma vez dentro, o malware espalha-se pela rede da empresa durante dias ou semanas, a mapear os sistemas, a identificar os ficheiros mais críticos e a garantir que consegue atingir o máximo de máquinas possível, incluindo backups se estiverem acessíveis na mesma rede.

Ativação — Quando o ataque está pronto, tudo é encriptado de uma vez. É neste momento que a empresa percebe o que aconteceu, normalmente demasiado tarde para evitar o dano.

O ransomware moderno vai ainda mais longe: antes de encriptar, copia os dados para servidores controlados pelos criminosos. Mesmo que a empresa recuse pagar, os atacantes ameaçam publicar informação confidencial. É uma dupla extorsão.

Porque é que as PME são os principais alvos?

“A minha empresa é pequena, ninguém perde tempo a atacar-me.”

A realidade é o oposto. Os criminosos atacam exatamente as PME porque têm menos proteção, menos recursos para responder e mais urgência em pagar para voltar a funcionar.

Um hacker não está a escolher manualmente qual empresa atacar. Usa ferramentas automáticas que vasculham a internet à procura de sistemas vulneráveis: servidores desatualizados, passwords fracas, acessos remotos sem proteção. O tamanho da empresa não é critério. A vulnerabilidade é.

Alguns dados sobre ransomware em Portugal:

O custo médio de recuperação de um ataque ransomware numa PME portuguesa é de €50.000 a €200.000, incluindo paragem operacional, recuperação de dados e dano reputacional.

60% das PME atacadas por ransomware encerram atividade nos 6 meses seguintes, quando não conseguem recuperar.

A maior parte dos ataques em Portugal entra por email de phishing: um colaborador que clicou num link aparentemente legítimo.

Como proteger a sua empresa do ransomware em Portugal?

Proteger uma empresa de ransomware exige várias camadas sobrepostas. Nenhuma isolada chega — mas em conjunto tornam o ataque pouco provável e a recuperação possível em horas.

1. Autenticação de dois fatores (MFA) em todas as contas

A maioria dos ataques começa por uma password comprometida. Com MFA ativo, mesmo que o atacante tenha a password, não consegue entrar sem o segundo fator. O MFA bloqueia 99,9% dos ataques baseados em passwords roubadas (Microsoft, 2025).

Aplique a todas as contas: email, acesso remoto, sistemas de gestão, cloud. Não só ao administrador.

2. Backups imutáveis e testados

Um backup que nunca foi testado é uma ilusão de segurança. O backup tem de respeitar três condições: ser imutável, ou seja, armazenado fora da rede principal para não poder ser encriptado pelo mesmo ataque; existir em localização separada dos dados originais, física ou em cloud; e ser testado pelo menos uma vez por trimestre, confirmando que é possível restaurar ficheiros reais.

Importante: se usa Microsoft 365, a Microsoft não faz backup dos seus emails. Se um email for eliminado há mais de 30 dias, a Microsoft não o recupera. Precisa de backup independente do M365.

3. Proteção avançada de endpoints (EDR)

O antivírus tradicional conhece apenas as ameaças já catalogadas. Um sistema EDR analisa o comportamento de cada programa em tempo real. Se um software começa a encriptar ficheiros, mesmo que seja uma ameaça nunca vista antes, é bloqueado e isolado automaticamente.

4. Atualização sistemática de software

A maioria dos ataques bem-sucedidos explora falhas de segurança já conhecidas, em sistemas que simplesmente não foram atualizados. Manter o sistema operativo, o software de escritório e as aplicações críticas atualizados elimina uma grande percentagem dos vetores de entrada.

5. Segmentação da rede

Se todos os computadores e servidores estiverem na mesma rede sem separação, um ransomware que entra por um computador tem acesso imediato a tudo. Segmentar a rede limita o raio de dano de um ataque.

6. Formação dos colaboradores

O elo mais fraco é humano. Formação regular, com simulações de phishing reais, reduz significativamente a taxa de incidentes e é uma das defesas mais subvalorizadas.

7. Plano de resposta a incidentes

Quando o ataque acontece, os primeiros minutos determinam a extensão do dano. Ter um plano documentado — quem contactar, como isolar os sistemas afetados, como comunicar com clientes e autoridades — faz toda a diferença.

O que muda com a NIS2 para a sua empresa?

A Diretiva NIS2, transposta para a lei portuguesa pelo Decreto-Lei 125/2025 (em vigor desde abril de 2026), obriga as empresas de setores críticos — saúde, transportes, energia, serviços digitais, fornecedores de entidades reguladas — a implementar exatamente estas medidas. Não como recomendação. Como obrigação legal.

Isso inclui: plano de resposta a incidentes documentado e testado, backups imutáveis com recuperação verificada, gestão de vulnerabilidades, MFA e proteção avançada de endpoints. Em caso de incidente grave, a notificação ao CNCS é obrigatória em 24 horas.

O incumprimento pode gerar coimas até 10 milhões de euros ou 2% do volume de negócios global. Muitas empresas são abrangidas sem saber.

Sabe se a sua empresa está abrangida pela NIS2? Faça o questionário gratuito em 5 minutos

Casos reais de ransomware em Portugal

A empresa de distribuição que pagou o resgate

Uma empresa de distribuição em Lisboa chegou ao escritório numa segunda-feira e encontrou todos os sistemas inacessíveis. Mensagem de ransomware: €45.000 em 48 horas. Pagaram e ainda assim demoraram 10 dias a recuperar parcialmente. Causa: um funcionário clicou num email de phishing. A empresa não tinha EDR, não tinha backups testados, não tinha MFA. Com proteção adequada, o ataque teria sido bloqueado antes de encriptar um único ficheiro.

A clínica que perdeu os registos clínicos

Uma clínica médica em Cascais perdeu todos os registos dos últimos 3 anos quando o servidor falhou. Os backups existiam, mas nunca tinham sido testados. Estavam corrompidos. Resultado: processo judicial de dois clientes, multa CNPD de €85.000 e reputação destruída na comunidade. Um programa de backups monitorizado e testado regularmente teria evitado tudo isto.

Perguntas frequentes sobre ransomware em Portugal

O que fazer se a minha empresa for atacada por ransomware?

Isole imediatamente os sistemas afetados da rede (desligue a ligação à internet e à rede interna). Contacte o seu parceiro de TI ou equipa de resposta a incidentes. Não pague o resgate sem aconselhamento especializado — o pagamento não garante recuperação. Reporte ao CNCS (cert.pt) e, se houver dados pessoais comprometidos, à CNPD.

Pagar o resgate resolve o problema?

Não necessariamente. Apenas 65% das empresas que pagam conseguem recuperar todos os dados. Pagar não elimina o malware dos sistemas, não impede que os dados já copiados sejam publicados, e torna a empresa um alvo preferencial para ataques futuros.

O antivírus que tenho protege contra ransomware?

Um antivírus tradicional deteta apenas 30 a 40% das ameaças modernas. O ransomware atual é desenhado para contornar os antivírus baseados em assinaturas. A proteção adequada exige um sistema EDR que analise comportamentos em tempo real.

O Microsoft 365 protege os meus dados contra ransomware?

Parcialmente. O M365 tem algumas proteções nativas, mas não faz backup dos seus emails e ficheiros. Se o ransomware sincronizar ficheiros encriptados para o OneDrive, esses ficheiros ficam encriptados na cloud também. Um backup independente do M365 é essencial.

Quanto tempo demora a recuperar de um ataque ransomware sem proteção?

A média é de 10 a 21 dias para retomar operação parcial, e vários meses para recuperação completa, se for possível. Com um plano de recuperação testado e backups imutáveis, esse tempo reduz para horas.

A minha empresa pequena é mesmo um alvo?

Sim. Os criminosos usam ferramentas automáticas que procuram vulnerabilidades na internet. Uma PME com sistemas desatualizados e sem MFA é um alvo tão atrativo como uma grande empresa, muitas vezes mais, porque tem menos defesas.

O que é a NIS2 e aplica-se à minha empresa?

A NIS2 é uma diretiva europeia de cibersegurança transposta para Portugal pelo DL 125/2025. Abrange empresas com mais de 50 colaboradores ou mais de €10M de faturação em setores críticos, mas também fornecedores de entidades reguladas, independentemente da dimensão. Se não sabe se é abrangido, o questionário gratuito da ITH Solutions avalia em 5 minutos.

Proteja a sua empresa antes que seja tarde

O ransomware não avisa. Não escolhe hora nem tamanho de empresa. Em Portugal, uma empresa sem backups testados, sem MFA e sem EDR que sofra um ataque perde em média €50.000 a €200.000 e 10 a 21 dias de operação — o equivalente a meses de proteção.

A ITH Solutions ajuda PME portuguesas a implementar proteção concreta contra ransomware: EDR, backups testados, MFA, monitorização 24 horas. Com planos a partir de €25 por utilizador por mês. O primeiro passo é perceber onde está hoje.

→  Faça o questionário de conformidade NIS2 — gratuito, em 5 minutos

Ou consulte os nossos planos de cibersegurança gerida e perceba qual se adequa à sua empresa.

Um parceiro de confiança. Sempre ao seu lado