Ransomware em Portugal é hoje uma das principais ameaças para empresas de todas as dimensões: 48% das PME sofreram pelo menos um incidente de cibersegurança em 2024 (CNCS, 2025). O ataque encripta os ficheiros e exige pagamento para os devolver, com custos médios de recuperação entre €50.000 e €200.000.
Desde abril de 2026, a Diretiva NIS2 (DL 125/2025) obriga empresas de setores críticos a implementar proteção concreta, sob pena de coimas até 10 milhões de euros.
Este artigo explica como o ataque funciona, porque as PME são o alvo preferido, o que muda com a NIS2 e quais os passos para se proteger..
O que é ransomware e como funciona?
Ransomware é um tipo de software malicioso que, depois de entrar nos sistemas de uma empresa, encripta todos os ficheiros, tornando-os completamente inacessíveis. O nome vem do inglês ransom (resgate): os criminosos exigem um pagamento para fornecer a chave de desencriptação.
O processo acontece em três fases:
Entrada — O ataque começa quase sempre de forma silenciosa. Um email aparentemente legítimo com um anexo ou link, uma password fraca, um software desatualizado com uma falha de segurança conhecida. O criminoso entra sem disparar alarmes.
Propagação — Uma vez dentro, o malware espalha-se pela rede da empresa durante dias ou semanas, a mapear os sistemas, a identificar os ficheiros mais críticos e a garantir que consegue atingir o máximo de máquinas possível, incluindo backups se estiverem acessíveis na mesma rede.
Ativação — Quando o ataque está pronto, tudo é encriptado de uma vez. É neste momento que a empresa percebe o que aconteceu, normalmente demasiado tarde para evitar o dano.
O ransomware moderno vai ainda mais longe: antes de encriptar, copia os dados para servidores controlados pelos criminosos. Mesmo que a empresa recuse pagar, os atacantes ameaçam publicar informação confidencial. É uma dupla extorsão.
Porque é que as PME são os principais alvos?
“A minha empresa é pequena, ninguém perde tempo a atacar-me.”
A realidade é o oposto. Os criminosos atacam exatamente as PME porque têm menos proteção, menos recursos para responder e mais urgência em pagar para voltar a funcionar.
Um hacker não está a escolher manualmente qual empresa atacar. Usa ferramentas automáticas que vasculham a internet à procura de sistemas vulneráveis: servidores desatualizados, passwords fracas, acessos remotos sem proteção. O tamanho da empresa não é critério. A vulnerabilidade é.
Alguns dados sobre ransomware em Portugal:
O custo médio de recuperação de um ataque ransomware numa PME portuguesa é de €50.000 a €200.000, incluindo paragem operacional, recuperação de dados e dano reputacional.
60% das PME atacadas por ransomware encerram atividade nos 6 meses seguintes, quando não conseguem recuperar.
A maior parte dos ataques em Portugal entra por email de phishing: um colaborador que clicou num link aparentemente legítimo.
Como proteger a sua empresa do ransomware em Portugal?
Proteger uma empresa de ransomware exige várias camadas sobrepostas. Nenhuma isolada chega — mas em conjunto tornam o ataque pouco provável e a recuperação possível em horas.
1. Autenticação de dois fatores (MFA) em todas as contas
A maioria dos ataques começa por uma password comprometida. Com MFA ativo, mesmo que o atacante tenha a password, não consegue entrar sem o segundo fator. O MFA bloqueia 99,9% dos ataques baseados em passwords roubadas (Microsoft, 2025).
Aplique a todas as contas: email, acesso remoto, sistemas de gestão, cloud. Não só ao administrador.
2. Backups imutáveis e testados
Um backup que nunca foi testado é uma ilusão de segurança. O backup tem de respeitar três condições: ser imutável, ou seja, armazenado fora da rede principal para não poder ser encriptado pelo mesmo ataque; existir em localização separada dos dados originais, física ou em cloud; e ser testado pelo menos uma vez por trimestre, confirmando que é possível restaurar ficheiros reais.
Importante: se usa Microsoft 365, a Microsoft não faz backup dos seus emails. Se um email for eliminado há mais de 30 dias, a Microsoft não o recupera. Precisa de backup independente do M365.
3. Proteção avançada de endpoints (EDR)
O antivírus tradicional conhece apenas as ameaças já catalogadas. Um sistema EDR analisa o comportamento de cada programa em tempo real. Se um software começa a encriptar ficheiros, mesmo que seja uma ameaça nunca vista antes, é bloqueado e isolado automaticamente.
4. Atualização sistemática de software
A maioria dos ataques bem-sucedidos explora falhas de segurança já conhecidas, em sistemas que simplesmente não foram atualizados. Manter o sistema operativo, o software de escritório e as aplicações críticas atualizados elimina uma grande percentagem dos vetores de entrada.
5. Segmentação da rede
Se todos os computadores e servidores estiverem na mesma rede sem separação, um ransomware que entra por um computador tem acesso imediato a tudo. Segmentar a rede limita o raio de dano de um ataque.
6. Formação dos colaboradores
O elo mais fraco é humano. Formação regular, com simulações de phishing reais, reduz significativamente a taxa de incidentes e é uma das defesas mais subvalorizadas.
7. Plano de resposta a incidentes
Quando o ataque acontece, os primeiros minutos determinam a extensão do dano. Ter um plano documentado — quem contactar, como isolar os sistemas afetados, como comunicar com clientes e autoridades — faz toda a diferença.
O que muda com a NIS2 para a sua empresa?
A Diretiva NIS2, transposta para a lei portuguesa pelo Decreto-Lei 125/2025 (em vigor desde abril de 2026), obriga as empresas de setores críticos — saúde, transportes, energia, serviços digitais, fornecedores de entidades reguladas — a implementar exatamente estas medidas. Não como recomendação. Como obrigação legal.
Isso inclui: plano de resposta a incidentes documentado e testado, backups imutáveis com recuperação verificada, gestão de vulnerabilidades, MFA e proteção avançada de endpoints. Em caso de incidente grave, a notificação ao CNCS é obrigatória em 24 horas.
O incumprimento pode gerar coimas até 10 milhões de euros ou 2% do volume de negócios global. Muitas empresas são abrangidas sem saber.
Sabe se a sua empresa está abrangida pela NIS2? Faça o questionário gratuito em 5 minutos
Casos reais de ransomware em Portugal
A empresa de distribuição que pagou o resgate
Uma empresa de distribuição em Lisboa chegou ao escritório numa segunda-feira e encontrou todos os sistemas inacessíveis. Mensagem de ransomware: €45.000 em 48 horas. Pagaram e ainda assim demoraram 10 dias a recuperar parcialmente. Causa: um funcionário clicou num email de phishing. A empresa não tinha EDR, não tinha backups testados, não tinha MFA. Com proteção adequada, o ataque teria sido bloqueado antes de encriptar um único ficheiro.
A clínica que perdeu os registos clínicos
Uma clínica médica em Cascais perdeu todos os registos dos últimos 3 anos quando o servidor falhou. Os backups existiam, mas nunca tinham sido testados. Estavam corrompidos. Resultado: processo judicial de dois clientes, multa CNPD de €85.000 e reputação destruída na comunidade. Um programa de backups monitorizado e testado regularmente teria evitado tudo isto.
Perguntas frequentes sobre ransomware em Portugal
Isole imediatamente os sistemas afetados da rede (desligue a ligação à internet e à rede interna). Contacte o seu parceiro de TI ou equipa de resposta a incidentes. Não pague o resgate sem aconselhamento especializado — o pagamento não garante recuperação. Reporte ao CNCS (cert.pt) e, se houver dados pessoais comprometidos, à CNPD.
Não necessariamente. Apenas 65% das empresas que pagam conseguem recuperar todos os dados. Pagar não elimina o malware dos sistemas, não impede que os dados já copiados sejam publicados, e torna a empresa um alvo preferencial para ataques futuros.
Um antivírus tradicional deteta apenas 30 a 40% das ameaças modernas. O ransomware atual é desenhado para contornar os antivírus baseados em assinaturas. A proteção adequada exige um sistema EDR que analise comportamentos em tempo real.
Parcialmente. O M365 tem algumas proteções nativas, mas não faz backup dos seus emails e ficheiros. Se o ransomware sincronizar ficheiros encriptados para o OneDrive, esses ficheiros ficam encriptados na cloud também. Um backup independente do M365 é essencial.
A média é de 10 a 21 dias para retomar operação parcial, e vários meses para recuperação completa, se for possível. Com um plano de recuperação testado e backups imutáveis, esse tempo reduz para horas.
Sim. Os criminosos usam ferramentas automáticas que procuram vulnerabilidades na internet. Uma PME com sistemas desatualizados e sem MFA é um alvo tão atrativo como uma grande empresa, muitas vezes mais, porque tem menos defesas.
A NIS2 é uma diretiva europeia de cibersegurança transposta para Portugal pelo DL 125/2025. Abrange empresas com mais de 50 colaboradores ou mais de €10M de faturação em setores críticos, mas também fornecedores de entidades reguladas, independentemente da dimensão. Se não sabe se é abrangido, o questionário gratuito da ITH Solutions avalia em 5 minutos.
Proteja a sua empresa antes que seja tarde
O ransomware não avisa. Não escolhe hora nem tamanho de empresa. Em Portugal, uma empresa sem backups testados, sem MFA e sem EDR que sofra um ataque perde em média €50.000 a €200.000 e 10 a 21 dias de operação — o equivalente a meses de proteção.
A ITH Solutions ajuda PME portuguesas a implementar proteção concreta contra ransomware: EDR, backups testados, MFA, monitorização 24 horas. Com planos a partir de €25 por utilizador por mês. O primeiro passo é perceber onde está hoje.
→ Faça o questionário de conformidade NIS2 — gratuito, em 5 minutos
Ou consulte os nossos planos de cibersegurança gerida e perceba qual se adequa à sua empresa.
