Família e parentalidade, Inteligência sobre ameaças

Quão seguro é para as crianças usarem as redes sociais? Fizemos o trabalho preliminar.

por Malwarebytes Labs | 10 de fevereiro de 2026
Pesquisa sobre contas infantis online

Quando os pesquisadores criaram uma conta para uma criança menor de 13 anos no Roblox, esperavam encontrar proteções rigorosas. Em vez disso, descobriram que os recursos de pesquisa da plataforma ainda permitiam que as crianças descobrissem comunidades ligadas a fraudes e outras atividades ilícitas.

As descobertas destacam a questão que os legisladores em todo o mundo estão discutindo: como manter as crianças seguras online?

A Austrália já agiu, enquanto o Reino Unido, a França e o Canadá estão debatendo ativamente regras mais rígidas sobre o uso das redes sociais por crianças. Este mês, o senador norte-americano Ted Cruz reapresentou um projeto de lei para fazer isso, ao mesmo tempo em que presidiu uma audiência no Congresso sobre a segurança infantil online.

Os legisladores afirmam que essas medidas visam garantir a segurança das crianças na internet. Mas, à medida que a regulamentação se torna mais rigorosa, queríamos entender como é, na prática, a segurança digital para crianças.

Por isso, solicitamos a uma equipe de pesquisa especializada que analisasse o nível de proteção oferecido por uma dúzia de grandes fornecedores de tecnologia a crianças menores de 13 anos na internet.

Descobrimos que a maioria dos serviços funciona bem quando as crianças utilizam as contas e configurações projetadas para elas. No entanto, quando as crianças são curiosas, utilizam o tipo de conta errado ou ultrapassam esses limites, as coisas podem dar errado rapidamente.

Durante várias semanas em dezembro, a equipe de pesquisa explorou como plataformas do Discord ao YouTube o uso online por crianças. Eles se basearam no comportamento padrão dos usuários, em vez de exploits ou truques técnicos, para refletir o que uma criança poderia encontrar realisticamente.

Os pesquisadores se concentraram em como as plataformas atendiam às crianças por meio de tipos específicos de contas, como as restrições de idade eram aplicadas na prática e se conteúdos sensíveis eram encontrados por meio da navegação ou pesquisa normal.

O que surgiu foi um padrão consistente: crianças curiosas que bisbilhotam um pouco ou que acabam usando o tipo de conta errado podem se deparar com conteúdo impróprio com surpreendentemente pouco esforço.

Uma descrição detalhada das plataformas testadas, dos tipos de contas utilizadas e dos locais onde foram encontrados conteúdos sensíveis aparece na seção sobre o escopo e a metodologia da pesquisa, no final deste artigo.

Quando as contas das crianças são opt-in

Uma coisa que a equipe tentou foi simplesmente acessar a versão pública genérica de um site, em vez da área protegida para crianças.

Este foi um problema específico com YouTube. A empresa opera um serviço específico para crianças chamado YouTube , que, segundo os pesquisadores, é efetivamente livre de conteúdo impróprio (parece que as coisas mudaram desde 2022).

A questão é que o site público normal YouTubenão é filtrado e, embora a empresa afirme que é necessário ter pelo menos 13 anos para usar o serviço, a menos que seja “autorizado” pelos pais, na realidade qualquer pessoa pode acessá-lo. Segundo o relatório:

“Parte do conteúdo exigirá o login (para verificação de idade) antes da visualização, mas o menor poderá acessar o serviço de streaming como usuário “Convidado” sem fazer login, contornando qualquer filtragem que seria aplicada a uma conta infantil registrada.”

Isso abre espaço para uma série de materiais inadequados, desde canais com instruções sobre como cometer fraudes até cenas de seminuidade e materiais sexualmente sugestivos, afirmaram os pesquisadores. De forma horrível, eles até encontraram cenas de execuções humanas no site público. Os pesquisadores concluíram:

“A ausência de uma barreira de registro na plataforma pública torna a proteçãoYouTube opcional, em vez de obrigatória.”

Quando as contas de adultos são fáceis de falsificar

Outra preocupação é que, mesmo quando as contas têm restrição de idade, menores empreendedores podem facilmente contorná-las. Embora a maioria das plataformas exija que os usuários tenham mais de 13 anos, muitas vezes basta uma autodeclaração. Basta que a criança registre um endereço de e-mail em um serviço que não exija verificação de idade.

Essa vulnerabilidade “duplamente oculta” é um grande problema. As crianças são boas em criar contas. A indústria da tecnologia as ensinou a fazer isso, porque elas precisam delas para a maioria das coisas que fazem online, desde streaming até a escola.

Quando conseguem passar pelos controles de idade, crianças curiosas podem rapidamente acessar materiais inadequados. Pesquisadores encontraram nudez e materiais explícitos sem moderação na rede social Discord, além de conteúdos no TikTok com tutoriais sobre fraudes com cartões de crédito e roubo de identidade. Uma breve pesquisa no site de streaming Twitch revelou anúncios de serviços de acompanhantes.

Isso aponta para um compromisso entre privacidade e verificação de idade. Embora uma verificação de idade mais rigorosa possa eliminar algumas dessas lacunas, ela exige a coleta de mais dados pessoais, incluindo documentos de identidade ou informações biométricas. Isso cria riscos à privacidade, especialmente para crianças. É por isso que a maioria das plataformas confia na idade autodeclarada, mas a pesquisa mostra como isso pode ser facilmente contornado.

Quando as contas infantis permitem a passagem de conteúdo tóxico

Falhas na moderação permitem conteúdo arriscado: o Roblox, site e aplicativo onde os usuários criam seu próprio conteúdo, filtra as conversas das contas infantis. No entanto, ele também possui “Comunidades”, que são grupos criados para socialização e descobertas.

Esses grupos são facilmente pesquisáveis, e alguns usam nomes e terminologia comumente associados a atividades criminosas, incluindo fraude e roubo de identidade. Um deles, chamado “Fullz”, usa um termo amplamente conhecido para se referir a informações pessoais roubadas, e “roupas novas” é frequentemente usado para se referir a um novo lote de dados de cartões de pagamento roubados. A comunidade visível pode servir como uma porta de entrada, enquanto a coordenação real das atividades ilícitas ou o comércio de dados ocorre por meio de “conversas internas” entre os membros da comunidade.

Esse tipo de pesquisa não era um problema exclusivo do Roblox, alertou a equipe. Ela descobriu Instagram que promoviam fraudes financeiras e esquemas de criptomoedas, mesmo a partir de uma conta restrita para adolescentes.

No entanto, alguns sites passaram nos testes da equipe com louvor. Os pesquisadores simularam usuários menores de idade que contornaram a verificação de idade, mas não conseguiram encontrar nenhum conteúdo prejudicial no Minecraft, Snapchat, Spotify ou Fortnite. A abordagem do Fortnite é especialmente rigorosa, desativando o chat e as compras em contas de crianças menores de 13 anos até que um dos pais faça a verificação por e-mail. Ele também usa etapas de verificação adicionais, como número de Seguro Social ou cartão de crédito. As crianças ainda podem jogar, mas ficam sem poder usar o chat.

O que os pais podem fazer

Não existe nenhuma plataforma capaz de detectar tudo, especialmente quando as crianças são curiosas. Isso torna o envolvimento dos pais a camada de proteção mais importante.

Uma razão pela qual isso é importante é um risco relacionado que vale a pena reconhecer: adultos tentando se aproximar de crianças por meio de plataformas sociais. Mesmo depois de Instagram ter tomado medidas para limitar o contato entre contas de adultos e crianças, os pais ainda descobriram brechas. Isso não é uma falha de uma plataforma, mas sim um lembrete de que nenhum conjunto de controles pode substituir a conscientização e o envolvimento.

Mark Beare, diretor geral de Consumidores da Malwarebytes :

Os pais estão navegando em um mundo digital em rápida evolução, onde as consequências offline são rapidamente sentidas, sejam elas contas falsas, deepfake ou perda de fundos. Existem medidas de proteção e elas são incentivadas, mas as crianças ainda podem ser expostas a conteúdos prejudiciais.”

Isso não significa proibir as crianças de acessarem a internet. Como aponta a EFF , muitos menores usam serviços online de forma produtiva, com o apoio e a supervisão dos pais. Mas significa ser intencional sobre como as contas são configuradas, como as crianças interagem com outras pessoas online e como elas se sentem à vontade para pedir ajuda.

Contas e configurações

  • Use contas infantis ou adolescentes, quando disponíveis, e evite usar contas adultas por padrão.
  • Mantenha as listas de amigos e seguidores definidas como privadas.
  • Evite usar nomes reais, datas de nascimento ou outros detalhes identificáveis, a menos que sejam estritamente necessários.
  • Evite recursos de reconhecimento facial para contas de crianças.
  • Para os adolescentes, esteja ciente das contas “spam” ou secundárias que eles criaram e que podem ter configurações mais flexíveis.

Comportamento social

  • Converse com seu filho sobre com quem ele interage online e que tipos de conversas são apropriadas.
  • Alerte-os sobre estranhos em comentários, conversas em grupo e mensagens diretas.
  • Incentive-os a sair de espaços que os deixem desconfortáveis, mesmo que não tenham feito nada de errado.
  • Lembre-os de que nem todas as pessoas online são quem dizem ser.

Confiança e comunicação

  • Mantenha conversas sobre atividades online abertas e contínuas, não apenas avisos pontuais.
  • Deixe claro que seu filho pode procurá-lo se algo der errado, sem medo de punição ou culpa.
  • Envolva outros adultos de confiança, como pais, professores ou cuidadores, para que as crianças não naveguem sozinhas nos espaços online.

Esse tipo de envolvimento de longo prazo ajuda as crianças a tomarem melhores decisões ao longo do tempo. Também reduz o risco de que os erros cometidos hoje possam acompanhá-las no futuro, quando informações pessoais, imagens ou conversas possam ser reutilizadas de maneiras que elas nunca imaginaram.

Resultados da pesquisa, escopo e metodologia 

Esta pesquisa analisou como crianças menores de 13 anos podem ser expostas a conteúdo sensível ao navegar em mídias tradicionais e serviços de jogos. 

Para este estudo, uma “criança” foi definida como um indivíduo com menos de 13 anos, em conformidade com a Lei Privacy Online das Crianças (COPPA). A pesquisa foi realizada entre 1º e 17 de dezembro de 2025, utilizando contas sediadas nos Estados Unidos. 

A pesquisa baseou-se exclusivamente no comportamento padrão dos usuários e na observação passiva. Não foram utilizadas explorações, invasões ou técnicas manipulativas para forçar o acesso a dados ou conteúdos. 

Os pesquisadores testaram uma variedade de tipos de contas, dependendo do que cada plataforma oferecia, incluindo contas dedicadas para crianças, contas para adolescentes ou restritas, contas para adultos criadas por meio de autodeclaração de idade e, quando aplicável, acesso público ou para convidados sem registro. 

O estudo avaliou como as plataformas aplicavam os requisitos de idade, quão fácil era falsificar a idade durante o cadastro e se conteúdos sensíveis ou ilícitos podiam ser encontrados através da navegação, pesquisa ou exploração normais. 

Em todas as plataformas testadas, o conteúdo algorítmico padrão e os anúncios eram inicialmente benignos e em conformidade com as políticas. Quando conteúdo sensível foi encontrado, ele foi acessado por meio de um comportamento intencional, motivado pela curiosidade, e não por recomendações passivas. Nenhuma abordagem proativa por parte de outros usuários foi observada durante o período de pesquisa. 

A tabela abaixo resume as plataformas testadas, os tipos de conta utilizados e se o conteúdo confidencial foi detectável durante os testes. 

Plataforma Tipo de conta testado Conta dedicada para crianças/adolescentes Fácil de contornar a restrição de idade Conteúdo ilícito descoberto Notas
YouTube público) Sem registro (convidado) Sim (YouTube ) N/A Sim YouTube público YouTube o acesso a conteúdo fraudulento e imagens violentas sem necessidade de login. Vídeos com restrição de idade exigiam login, mas grande parte do conteúdo não. 
YouTube  Conta infantil Sim N/A Não Aplicativo separado com seu próprio algoritmo de bloqueio. Nenhum conteúdo prejudicial foi exibido. 
Roblox Conta para todas as idades (13+) Não Não é necessário Sim As contas infantis podiam pesquisar e encontrar comunidades ligadas a palavras-chave relacionadas com cibercrime e fraude. 
Instagram Conta para adolescentes (13–17) Não Não é necessário Sim Contas restritas ainda exibiam perfis que promoviam fraudes e esquemas de criptomoedas por meio da pesquisa. 
TikTok Conta de usuário mais jovem (13+) Sim Não é necessário Não Experiência somente para visualização, sem pesquisa livre. Nenhum conteúdo prejudicial foi encontrado. 
TikTok Conta para adultos Não Sim Sim Pesquisou perfis e tutoriais relacionados a fraudes com cartões de crédito após contornar a restrição de idade. 
Discord Conta para adultos Não Sim Sim Os servidores públicos exibiram conteúdo adulto explícito quando pesquisados diretamente. Não foi observado nenhum contato proativo. 
Twitch Conta para adultos Não Sim Sim Descobri promoções de serviços de acompanhantes e conteúdo adulto, alguns deles protegidos por paywalls. 
Fortnite Conta restrita (13+) Sim Difícil de contornar Não Bate-papo e compras desativados até a verificação dos pais. Nenhum conteúdo prejudicial encontrado. 
Snapchat Conta para adultos Não Sim Não Nenhum conteúdo sensível foi encontrado durante os testes. 
Spotify Conta para adultos Sim Sim Não Letras explícitas identificadas. Nenhum conteúdo prejudicial encontrado. 
Messenger Kids Conta infantil Sim Não é necessário Não Ambiente totalmente controlado pelos pais. Sem pesquisa ou contatos externos

Capturas de tela da pesquisa

  • Lista de comunidades Roblox com palavras-chave relacionadas a crimes cibernéticos
    Lista de comunidades Roblox com palavras-chave relacionadas a crimes cibernéticos
  • Comunidade Roblox que oferece bate-papo sem verificação
    Comunidade Roblox que oferece bate-papo sem verificação
  • Comunidade Roblox com palavras-chave relacionadas a crimes cibernéticos
    Comunidade Roblox com palavras-chave relacionadas a crimes cibernéticos
  • Conteúdo gráfico no YouTube acessível ao público
    Conteúdo gráfico no YouTube acessível ao público
  • Conteúdo sobre fraude com cartões de crédito no YouTube, acessível ao público
    Conteúdo sobre fraude com cartões de crédito no YouTube, acessível ao público
  • Página de acompanhantes ativa no Twitch
    Página de acompanhantes ativa no Twitch
  • Cartões de crédito roubados à venda em uma conta Instagram
    Cartões de crédito roubados à venda em uma conta Instagram
  • Conteúdo sobre carding para iniciantes em uma conta Instagram
    Esquema de investimento em criptomoedas em uma conta Instagram
  • Conteúdo para iniciantes em uma conta adulta do TikTok, acessado por crianças com uma data de nascimento falsa.
    Conteúdo para iniciantes em uma conta adulta do TikTok, acessado por crianças com uma data de nascimento falsa.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTIGOS

IA
Uma mão se abaixa para pegar um asterisco de uma senha escrita.

As senhas geradas por IA são um risco à segurança

Fevereiro 19, 2026

As senhas geradas por IA são “altamente previsíveis” e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem quebradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

Fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logotipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

Fevereiro 18, 2026

Essa violação agora parece muito mais grave. Os dados vazados incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes