Portugal pode já ter sido alvo de uma operação de ciberespionagem russa sem sequer o saber. O alerta do SIS confirma uma ofensiva global do GRU para aceder a informação sensível, enquanto especialistas ouvidos pela CNN Portugal apontam fragilidades estruturais no país, desde a falta de capacidade de resposta do Estado até à vulnerabilidade das empresas e dos cidadãos que vivem num "faroeste digital" cada vez mais sofisticado
O serviço de informações militar russo GRU “executou uma operação de ciberespionagem de escala global” e Portugal não ficou de fora. A confirmação foi dada pelo SIS, o Serviço de Informações de Segurança, que esta quarta-feira alertou que os russos tentaram aceder a informação sensível de natureza governamental, militar e de infraestruturas críticas, incluíndo no nosso país.
“Portugal tem acesso à informação da NATO. Se a NATO decide enviar uma embarcação para um ponto, Portugal, como membro, recebe estes documentos, que poderão ser relevantes para certos países como a Rússia”, começa por explicar Nuno Mateus-Coelho, professor universitário e doutorado em Cibersegurança, ao justificar a operação. "O nosso país é pequeno, mas estratégico, sobretudo porque tem a base das Lajes”, acrescenta, falando de um local que tem sido um dos centros nevrálgicos da operação dos Estados Unidos contra o Irão.
“Caso um país queira saber o que se passa nas Lajes, vai atacar o provedor de comida, o provedor das bebidas, a empresa que vende gasóleo, a empresa da fruta automóvel, toda a cadeia de abastecimento desta entidade, para compreender o movimento no local. Só depois age em conformidade com a informação que recolheu”, alerta.
No comunicado emitido pelo Serviço de Informações de Segurança lê-se que o GRU “executou uma operação de ciberespionagem de escala global, destinada ao comprometimento de ‘routers’, com o objetivo de intercetar e exfiltrar informação sensível de natureza governamental, militar e relativa a infraestruturas críticas”.
O serviço destaca ainda que se juntou a parceiros da Alemanha, Canadá, Chéquia, Dinamarca, Eslováquia, Estados Unidos da América, Estónia, Finlândia, Itália, Letónia, Lituânia, Noruega, Polónia, Roménia e Ucrânia para “a difusão de um alerta coordenado, destinado a alertar o público e encorajar os defensores das redes a tomarem ações necessárias para reduzir a vulnerabilidade a estes ataques”.
À CNN Portugal, Jorge Silva Carvalho explica que a atuação do GRU se insere numa lógica mais ampla de guerra híbrida, que tem vindo a intensificar-se nos últimos anos. “As ações do GRU aumentaram significativamente neste quadro, sobretudo em dois planos: os ciberataques e as ações diretas, nomeadamente contra indústrias de defesa, em particular aquelas que exportam para a Ucrânia”, explica, destacando a crescente pressão russa sobre setores estratégicos.
No domínio cibernético, o especialista aponta uma estratégia recorrente: explorar fragilidades. “Os serviços de informações russos procuram as chamadas ‘soft bellies’, ou seja, países que, apesar de terem acesso a informação da NATO ou da União Europeia, apresentam vulnerabilidades naturais. São países menos preparados ou menos atentos, muitas vezes por não se considerarem alvos prioritários”, refere. Esta abordagem, sublinha, não é exclusivamente dirigida a Portugal, abrangendo outros Estados europeus que não estão na linha da frente da confrontação com Moscovo.
Ainda assim, o posicionamento nacional está a mudar. “Portugal pode não ser um alvo permanente, como Alemanha ou França, mas tem hoje áreas de interesse crescente”, alerta, destacando, em particular, o desenvolvimento da indústria de defesa, sobretudo no setor dos drones. “Existem empresas portuguesas que já exportam diretamente para a Ucrânia, como a Tekever, a UAVision ou a Beyond Vision. Isso coloca-as, inevitavelmente, no radar russo, e faz destas empresas, garantidamente, alvos".
Mas, ao contrário do que se possa pensar, estas empresas estão longe de estar vulneráveis. Ao que a CNN conseguiu apurar, o SIS mantém há longos anos uma tradição de acompanhamento de empresas estratégicas, incluindo aquelas que possam ser alvo de espionagem económica ou militar. Este acompanhamento inclui monitorização e orientação constante, garantindo que as empresas estejam preparadas para lidar com ameaças externas de natureza diversa.
Além do acompanhamento direto, o SIS promove ações de sensibilização e aconselhamento, estando permanentemente disponível para esclarecer dúvidas de empresas, especialmente no que diz respeito a práticas de segurança e procedimentos internos. Entre as empresas acompanhadas pelo SIS estão a Tekever, a UAVision ou a Beyond Vision.
Phishing: a técnica que pode estar por trás da operação
À CNN Portugal, Jorge Silva Carvalho explica que este tipo de operações em que agora Portugal se vê envolvido assenta, na maioria dos casos, em estratégias complexas e cuidadosamente desenhadas. “Normalmente são estratégias difíceis de elaborar, mas continuam a ser a forma mais frequente de recolha de informação relevante”, sublinha, acrescentando que a componente tecnológica raramente atua isolada.
Na prática, muitos destes ataques combinam meios digitais com intervenção humana. “Muitas vezes, há uma conjugação com ações físicas, que têm mais a ver com segurança da informação do que propriamente com cibersegurança”, explica.
O objetivo passa, frequentemente, pelo comprometimento de pessoas com acesso privilegiado a sistemas críticos. “Pode ser através de alguém que facilita uma palavra-passe, que permite um acesso ou que, de alguma forma, abre uma porta. Isso acontece com muita frequência”, alerta.
No plano estritamente tecnológico, os métodos continuam a ser relativamente conhecidos, mas eficazes. “No domínio da cibersegurança, os ataques recorrem, sobretudo, a técnicas como o phishing tradicional ou a utilização de ‘cavalos de Troia’”, refere, sublinhando que, apesar da sua aparente simplicidade, continuam a ser ferramentas centrais nas operações de espionagem moderna.
A "sofisticação e o alcance" russo ao lado de um Estado "incapaz"
A operação russa foi conhecida em Portugal graças a um comunicado emitido pelo SIS que, ao início da tarde desta quarta-feira, confirmou a tentativa de intervenção russa em vários países. Mas o processo não é novo.
“Com base na exploração hostil destes equipamentos, a unidade cibernética do GRU - popularmente conhecida por ‘APT28’, ‘Fancy Bear’ e ‘Forest Blizzard’ - conseguiu, desde 2024, comprometer não apenas credenciais e ‘tokens’ de autenticação, mas também comunicações por email e dados de navegação na Internet protegidos por protocolos SSL e TLS, redirecionando o tráfego online que transita pelos routers das vítimas para infraestrutura informática remota e sob o controlo do agente de ameaça”, explicou o SIS.
Segundo o serviço, esta operação enfatiza “a sofisticação, a clandestinidade e o alcance global de agentes de ameaça que regularmente atuam no ciberespaço para a prossecução encoberta de objetivos táticos e estratégicos de estados hostis”. O resultado é “o comprometimento de informação sensível e da privacidade digital de cidadãos e de instituições dispersas à escala internacional”.
Para Nuno Mateus-Coelho, a estratégia destes Estados inimigos é simples. “Os países inimigos não atacam diretamente as estações nucleares ou barragens. Aqui em Portugal, não visam a REN ou a Galp, por exemplo. O que fazem é explorar os fornecedores dessas entidades: empresas de limpeza, trabalho temporário, outsourcing ou cadeias de fornecimento”, explica, acrescentando que “é através destes pontos que conseguem infiltrar-se".
“Entram nestas empresas, roubam informação e deduzem o que está a ser feito nas entidades principais, avaliando o nível de segurança”, revela o especialista.
Mas os recados não se ficaram por aí. O SIS alertou ainda a população para que contacte o serviço ou qualquer uma das entidades nacionais competentes em cibersegurança caso exista a suspeita de que tenha sido visado ou comprometido por esta operação de ciberespionagem do GRU.
E é aqui que surge um problema agravante para Portugal. Nuno Mateus-Coelho alerta que o nosso país não tem capacidade para se proteger sozinho, nem de analisar "o que nos foi roubado".
“O Estado não tem capacidade, o país não tem capacidade, através das autoridades, de saber quem foi atacado, o que foi comprometido ou o que nos foi roubado. E nós, que já não nos sabemos proteger, teremos de descobrir que fomos alvo apenas depois do facto”, afirma, descrevendo como “ridículo” o facto de o Estado “não saber se os hospitais foram atacados, o SNS foi atacado, ou outras instituições públicas”.
O país continua, segundo o especialista, “bastante débil do ponto de vista da segurança informática”, por duas razões: o tecido empresarial é composto maioritariamente por micro, pequenas e médias empresas que não priorizam a segurança, e o Estado não fornece apoio suficiente para formar profissionais ou modernizar infraestruturas. “Dependemos de fornecedores como a Vodafone ou a NOS, que oferecem serviços geridos, mas não conseguem entregar proteção efetiva. As empresas carecem de profissionais internos, especializados, para gerir a cibersegurança de forma consistente”, defende.
Lei NIS 2
Com o objetivo de fazer frente a ataques externos e reforçar a resiliência digital, a União Europeia preparou a Diretiva NIS 2 (Diretiva UE 2022/2555), agora transposta em Portugal pelo Decreto-Lei n.º 125/2025. Esta norma europeia de cibersegurança, que entrou em vigor 120 dias após a sua publicação, ou seja, a 3 de abril, estabelece obrigações rigorosas para entidades que operam em setores críticos e importantes.
“Esta lei vem prevenir este tipo de situação de que estamos a ser alvo por parte da Rússia”, sublinha Nuno Mateus-Coelho, lamentando “que a implementação desta diretiva esteja atrasada”.
“A NIS 2 foi aprovada a 4 de dezembro do ano passado e entrou em vigor no dia 3 de abril deste ano. Tecnicamente, as empresas já deveriam começar a autoidentificar-se. No entanto, o Estado ainda não disponibilizou o portal de autoidentificação das organizações, que permitiria às empresas perceber se são essenciais, que tipo de entidade representam e quais medidas de segurança precisam implementar.”
Segundo o documento, em Portugal a diretiva amplia a abrangência dos setores visados, incluindo energia, saúde, banca, administração pública, serviços digitais e fabricantes de produtos críticos. No que toca às medidas de segurança, impõe uma gestão de riscos mais exigente, reforça a proteção da cadeia de abastecimento, obriga à segurança na aquisição de sistemas e define planos de resposta a incidentes.
Além disso, prevê coimas significativas, podendo chegar até 10 milhões de euros ou 2% do volume de negócios mundial, caso as obrigações não sejam cumpridas.
Como podemos (e devemos) proteger-nos destes ataques
Outro dos problemas que se impõe perante este cenário é a segurança dos dados pessoais. Numa realidade cada vez mais digital, a exposição deixou de ser exceção e passou a ser regra. E, neste ponto, há um consenso geral: ninguém está verdadeiramente imune.
“Pretensões de privacidade no espaço virtual, neste momento, são uma ilusão. Não existem estruturas legais, autoridades de fiscalização ou sistemas judiciais capazes de garantir uma segurança mínima a cidadãos e empresas. Estamos no ‘faroeste’ digital. É certo que há zonas com algum controlo, mas no meio proliferam ameaças de todos os lados. É o estado natural de um território ainda em construção”, sublinha o especialista em cibersegurança José Tribolet.
Ainda assim, há medidas simples que podem, e devem, ser adotadas por todos nós. “A proteção começa no básico. Não se podem guardar palavras-passe em documentos simples, como ficheiros Word. Isso é suicida", começa por alertar. "As pessoas devem utilizar cofres digitais que, embora não sejam à prova de bala, são muito mais eficazes". Para além disso, "as passwords não devem ser as mesmas para aplicações diferentes, nem representarem algo básico da nossa vida". "Recomendo sempre que se use o verso de um poema ou algo fora do comum", acrescenta o especialista.
