A empresa de cibersegurança NordVPN, em colaboração com a plataforma de gestão de exposição a ameaças NordStellar, analisou quase 75 000 anúncios de mercados da dark web e constatou que os dados pessoais portugueses tendem a situar-se na faixa intermédia dos preços. Um cartão de pagamento português roubado é vendido por cerca de 11 dólares, um pacote de identidade completo custa 90 dólares, enquanto uma conta Netflix pode ser adquirida por menos de 5 dólares.
Para ilustrar em que medida os dados roubados se tornaram acessíveis, a NordVPN criou uma calculadora interativa que permite aos utilizadores ver o preço que as suas contas e documentos teriam na dark web.
Os Estados Unidos dominam a economia de dados roubados na dark web, mas não da forma que a maioria das pessoas esperaria. Os dados americanos estão tão amplamente disponíveis que se tornaram uma mercadoria relativamente barata. Mais de 70% de todas as listas de cartões de pagamento roubados provinham da América do Norte, e o volume elevado fez os preços descerem para uma pequena parcela do que custam os mesmos dados de outros países.
Portugal ocupa o décimo quarto lugar a nível mundial e, globalmente, os cartões de pagamento europeus representam quase 20% de todas as listas de cartões de pagamento roubados.
“Todas as suas contas online têm um preço na dark web”, afirma Marijus Briedis, diretor de tecnologia (CTO) da NordVPN. “As suas subscrições de streaming, o seu e-mail, as suas informações de acesso bancário, os seus perfis nas redes sociais. A maioria das pessoas ficaria chocada com o pouco que custa comprar a sua identidade digital completa.”
Uma identidade portuguesa vale menos do que encher um depósito de combustível
Um cartão de pagamento português roubado é vendido por um preço médio de 11 dólares, , o que sugere que os cartões portugueses são relativamente acessíveis nas plataformas do mercado negro. Em países onde os dados roubados são menos comuns, como o Japão ou Singapura, os cartões de pagamento são vendidos por um preço superior.
Este padrão vai além dos cartões de pagamento. Um “fullz” português completo, ou seja, um pacote que contém dados pessoais suficientes para roubar a identidade de alguém (incluindo número da Segurança Social, data de nascimento e morada), é vendido por apenas 90 dólares. As leituras digitais de passaportes portugueses custam cerca de 35 dólares, enquanto as cartas de condução e os documentos de identificação nacionais são vendidos por cerca de 34 dólares cada.
“Por menos do que custa encher um depósito de combustível, um criminoso pode comprar informações pessoais suficientes para apresentar declarações fiscais fraudulentas ou começar a criar uma identidade falsa em nome de outra pessoa”, afirma Briedis.
O seu e-mail profissional vale mais do que o seu número de Segurança Social
Enquanto as contas de e-mail pessoais são vendidas em grandes quantidades por apenas 1 dólar cada, as credenciais de e-mails corporativos são um caso à parte. As contas portuguesas do Office 365 roubadas são vendidas por um preço médio de 26,50 dólares. Estas contas são valiosas porque servem de pontos de acesso a redes empresariais inteiras.
Na sua grande maioria, os intermediários de acesso inicial, que são criminosos especializados em penetrar as defesas das empresas e vender esse acesso a outros hackers, visam as infraestruturas empresariais dos EUA e da Europa Ocidental.
Redes sociais, streaming e tudo o resto
As contas do Facebook roubadas são vendidas por cerca de 38 dólares, sendo que o Facebook representa 40% de todos os anúncios de contas de redes sociais. Um único início de sessão no Facebook pode desbloquear contas do Instagram associadas, páginas de empresas e ferramentas de publicidade. As contas do TikTok são vendidas por 60 dólares, enquanto as contas do Snapchat têm um valor aproximado de 34,50 dólares.
Os serviços de streaming são ainda mais baratos. Uma conta Netflix custa apenas 4,55 dólares, enquanto o Spotify custa 28 dólares. Os vendedores gerem estes serviços como negócios legítimos, oferecendo acesso “vitalício” e substituindo contas suspensas ao abrigo da garantia.
As contas de plataformas de criptomoedas estão entre os artigos mais caros na dark web. Uma conta Coinbase roubada é vendida por um preço médio de 107,50 dólares, enquanto as contas Binance são vendidas por 160 dólares. Ao contrário dos cartões de crédito roubados, que exigem operações de branqueamento de capitais complexas, uma carteira de criptomoedas comprometida pode proporcionar acesso direto a fundos líquidos.
Até as contas em lojas online têm valor. Uma conta Amazon roubada é vendida por 50 dólares, e os criminosos utilizam cartões de oferta e créditos da loja para branquear capitais, adquirindo artigos que podem ser facilmente revendidos.
O que podem os portugueses fazer
“A maior parte das pessoas pensa que o furto de identidade é algo que não lhes vai acontecer ou que poderão identificar se acontecer”, afirma Briedis. “A verdade é que os seus dados podem já estar à venda e não teria forma de o saber, a menos que fizesse uma verificação ativa.”
Passos para reduzir a exposição ao risco:
● Ferramentas como o Dark Web Monitor da NordVPN não impedem que os seus dados apareçam em mercados criminosos, mas alertam-no quando isso acontece, dando-lhe a oportunidade de agir antes que seja prejudicado. Estar ciente da sua exposição é o primeiro passo para reduzir o risco.
● Utilize palavras-passe únicas para cada conta, recorra a um gestor de palavras-passe de confiança e, sempre que possível, ative a autenticação multifator.
● Limite as informações pessoais que partilha online, desative cookies e localizadores desnecessários e evite fornecer dados sensíveis que não sejam estritamente necessários.
● Analise os extratos bancários e ative as notificações de transações. Um pequeno pagamento inesperada pode ser um sinal de alerta precoce de um ataque de maiores dimensões.
Metodologia
A NordVPN, em colaboração com a plataforma de gestão de exposição a ameaças NordStellar, analisou anúncios de mercados da dark web entre janeiro de 2025 e fevereiro de 2026. Os dados foram recolhidos nos mercados indexados da NordStellar (incluindo BidenCash, Russian Market, Exodus Market e Styx Market), em quatro mercados emergentes não indexados e no xLeet, um mercado especializado em credenciais de e-mail de empresas. Após a desduplicação e filtragem, o conjunto de dados final incluiu mais de 28 000 anúncios únicos, classificados em 16 categorias e várias geografias, com os preços normalizados em dólares americanos.
Foto de Jefferson Santos na Unsplash