Família e parentalidade, Informações sobre ameaças

Quão seguro é para as crianças usarem as redes sociais? Fizemos o trabalho de base.

por Malwarebytes Labs | 10 de fevereiro de 2026
Investigação sobre contas infantis online

Quando os investigadores criaram uma conta para uma criança com menos de 13 anos no Roblox, esperavam encontrar fortes barreiras de proteção. Em vez disso, descobriram que as funcionalidades de pesquisa da plataforma ainda permitiam às crianças descobrir comunidades ligadas a fraudes e outras atividades ilícitas.

As descobertas destacam a questão que os legisladores em todo o mundo estão a debater: como manter as crianças seguras online?

A Austrália já agiu, enquanto o Reino Unido, a França e o Canadá estão a debater ativamente regras mais rígidas sobre o uso das redes sociais por crianças. Este mês, o senador norte-americano Ted Cruz reapresentou um projeto de lei para fazer isso, ao mesmo tempo em que presidiu uma audiência no Congresso sobre segurança infantil online.

Os legisladores afirmam que esses esforços têm como objetivo manter as crianças seguras online. Mas, à medida que a onda regulatória cresce, queríamos entender como é, na prática, a segurança digital para crianças.

Por isso, pedimos a uma equipa de investigação especializada para explorar o nível de proteção que uma dúzia de fornecedores de tecnologia tradicionais oferecem às crianças com menos de 13 anos online.

Descobrimos que a maioria dos serviços funciona bem quando as crianças usam as contas e configurações projetadas para elas. Mas quando as crianças são curiosas, usam o tipo de conta errado ou ultrapassam esses limites, as coisas podem dar errado rapidamente.

Durante várias semanas em dezembro, a equipa de investigação explorou como plataformas desde o Discord até YouTube o uso online por crianças. Eles basearam-se no comportamento padrão dos utilizadores, em vez de exploits ou truques técnicos, para refletir o que uma criança poderia realmente encontrar.

Os investigadores concentraram-se na forma como as plataformas atendiam às crianças por meio de tipos específicos de contas, como as restrições de idade eram aplicadas na prática e se conteúdos sensíveis eram encontrados por meio da navegação ou pesquisa normal.

O que surgiu foi um padrão consistente: crianças curiosas que bisbilhotam um pouco ou que acabam por usar o tipo de conta errado podem se deparar com conteúdo impróprio com surpreendentemente pouco esforço.

Uma descrição detalhada das plataformas testadas, dos tipos de conta utilizados e dos locais onde foram encontrados conteúdos sensíveis aparece na secção sobre o âmbito e a metodologia da investigação, no final deste artigo.

Quando as contas das crianças são opt-in

Uma coisa que a equipa tentou foi simplesmente aceder à versão pública genérica de um site, em vez da área protegida para crianças.

Este foi um problema específico com YouTube. A empresa opera um serviço específico para crianças chamado YouTube , que, segundo os investigadores, é efetivamente livre de conteúdo impróprio (parece que as coisas mudaram desde 2022).

O problema é que o site público normal YouTubenão é filtrado e, embora a empresa afirme que é necessário ter pelo menos 13 anos para usar o serviço, a menos que seja «autorizado» pelos pais, na realidade qualquer pessoa pode aceder a ele. Segundo o relatório:

“Parte do conteúdo exigirá o login (para verificação de idade) antes da visualização, mas o menor poderá aceder ao serviço de streaming como um utilizador “Convidado” sem fazer login, contornando qualquer filtragem que, de outra forma, seria aplicada a uma conta infantil registada.”

Isso abre espaço para uma série de conteúdos inadequados, desde canais de instruções para cometer fraudes até cenas de seminuidade e material sexualmente sugestivo, afirmaram os investigadores. De forma assustadora, eles até encontraram cenas de execuções humanas no site público. Os investigadores concluíram:

“A ausência de uma barreira de registo na plataforma pública torna a proteçãoYouTube opcional, em vez de obrigatória.”

Quando as contas de adultos são fáceis de falsificar

Outra preocupação é que, mesmo quando as contas têm restrição de idade, menores empreendedores podem facilmente contorná-las. Embora a maioria das plataformas exija que os utilizadores tenham mais de 13 anos, muitas vezes basta uma autodeclaração. Basta que a criança registe um endereço de e-mail num serviço que não exija verificação de idade.

Essa vulnerabilidade «duplamente cega» é um grande problema. As crianças são boas a criar contas. A indústria tecnológica ensinou-as a fazê-lo, porque precisam delas para a maioria das coisas que fazem online, desde streaming até à escola.

Quando conseguem passar pelas barreiras de idade, crianças curiosas podem rapidamente aceder a materiais inadequados. Investigadores encontraram nudez não moderada e material explícito na rede social Discord, juntamente com conteúdos no TikTok que fornecem tutoriais sobre fraude de cartão de crédito e roubo de identidade. Uma pequena pesquisa no site de streaming Twitch revelou anúncios de serviços de acompanhantes.

Isso aponta para um compromisso entre privacidade e verificação de idade. Embora uma verificação de idade mais rigorosa possa colmatar algumas dessas lacunas, ela exige a recolha de mais dados pessoais, incluindo identidades ou informações biométricas. Isso cria riscos de privacidade, especialmente para crianças. É por isso que a maioria das plataformas confia na idade autodeclarada, mas a pesquisa mostra como isso pode ser facilmente contornado.

Quando as contas infantis permitem a passagem de conteúdo tóxico

Falhas nas bases de moderação permitem conteúdos arriscados: o Roblox, site e aplicativo onde os utilizadores criam os seus próprios conteúdos, filtra as conversas das contas infantis. No entanto, também possui «Comunidades», que são grupos criados para socialização e descoberta.

Esses grupos são facilmente pesquisáveis, e alguns usam nomes e terminologia comumente associados a atividades criminosas, incluindo fraude e roubo de identidade. Um deles, chamado «Fullz», usa um termo amplamente conhecido para se referir a informações pessoais roubadas, e «roupas novas» é frequentemente usado para se referir a um novo lote de dados de cartões de pagamento roubados. A comunidade visível pode servir como uma porta de entrada, enquanto a coordenação real da atividade ilícita ou do comércio de dados ocorre por meio de «conversas internas» entre os membros da comunidade.

Esse tipo de pesquisa não era um problema exclusivo do Roblox, alertou a equipa. Ela descobriu Instagram que promoviam fraudes financeiras e esquemas de criptomoedas, mesmo a partir de uma conta restrita para adolescentes.

No entanto, alguns sites passaram nos testes da equipa com distinção. Os investigadores simularam utilizadores menores de idade que tinham contornado a verificação de idade, mas não conseguiram encontrar qualquer conteúdo prejudicial no Minecraft, Snapchat, Spotify ou Fortnite. A abordagem do Fortnite é especialmente rigorosa, desativando o chat e as compras em contas de crianças menores de 13 anos até que um dos pais verifique por e-mail. Também utiliza etapas de verificação adicionais, utilizando um número de segurança social ou cartão de crédito. As crianças ainda podem jogar, mas ficam sem poder de voz.

O que os pais podem fazer

Não existe nenhuma plataforma capaz de capturar tudo, especialmente quando as crianças são curiosas. Isso torna o envolvimento dos pais a camada de proteção mais importante.

Uma razão pela qual isso é importante é um risco relacionado que vale a pena reconhecer: adultos a tentar contactar crianças através de plataformas sociais. Mesmo depois de Instagram ter tomado medidas para limitar o contacto entre contas de adultos e crianças, os pais ainda descobriram brechas. Isso não é uma falha de uma plataforma, mas sim um lembrete de que nenhum conjunto de controlos pode substituir a conscientização e o envolvimento.

Mark Beare, diretor geral da área de Consumidores da Malwarebytes :

«Os pais estão a navegar num mundo digital em rápida evolução, onde as consequências offline são rapidamente sentidas, sejam elas contas falsas, deepfake ou perda de fundos. Existem medidas de proteção e elas são incentivadas, mas as crianças ainda podem ser expostas a conteúdos prejudiciais.”

Isso não significa proibir as crianças de usar a Internet. Como a EFF aponta, muitos menores usam serviços online de forma produtiva, com o apoio e a supervisão dos pais. Mas significa ser intencional sobre como as contas são configuradas, como as crianças interagem com outras pessoas online e como elas se sentem à vontade para pedir ajuda.

Contas e configurações

  • Use contas infantis ou para adolescentes, quando disponíveis, e evite usar contas para adultos por padrão.
  • Mantenha as listas de amigos e seguidores definidas como privadas.
  • Evite usar nomes reais, datas de nascimento ou outros detalhes identificáveis, a menos que sejam estritamente necessários.
  • Evite funcionalidades de reconhecimento facial para contas de crianças.
  • Para os adolescentes, esteja atento ao «spam» ou às contas secundárias que eles criaram e que podem ter configurações menos restritas.

Comportamento social

  • Converse com o seu filho sobre com quem ele interage online e que tipo de conversas são apropriadas.
  • Alerte-os sobre estranhos em comentários, conversas em grupo e mensagens diretas.
  • Incentive-os a sair de espaços que os deixem desconfortáveis, mesmo que não tenham feito nada de errado.
  • Lembre-os de que nem todos na Internet são quem dizem ser.

Confiança e comunicação

  • Mantenha conversas abertas e contínuas sobre atividades online, em vez de advertências pontuais.
  • Deixe claro que o seu filho pode recorrer a si se algo der errado, sem medo de punição ou culpa.
  • Envolva outros adultos de confiança, como pais, professores ou cuidadores, para que as crianças não naveguem sozinhas nos espaços online.

Esse tipo de envolvimento de longo prazo ajuda as crianças a tomarem melhores decisões ao longo do tempo. Também reduz o risco de que os erros cometidos hoje possam acompanhá-las no futuro, quando informações pessoais, imagens ou conversas podem ser reutilizadas de maneiras que elas nunca imaginaram.

Resultados da investigação, âmbito e metodologia 

Esta pesquisa analisou como crianças com menos de 13 anos podem ser expostas a conteúdos sensíveis ao navegar em meios de comunicação tradicionais e serviços de jogos. 

Para este estudo, uma «criança» foi definida como um indivíduo com menos de 13 anos, em conformidade com a Lei Privacy Online das Crianças (COPPA). A pesquisa foi realizada entre 1 e 17 de dezembro de 2025, utilizando contas sediadas nos Estados Unidos. 

A pesquisa baseou-se exclusivamente no comportamento padrão dos utilizadores e na observação passiva. Não foram utilizadas explorações, hacks ou técnicas manipulativas para forçar o acesso a dados ou conteúdos. 

Os investigadores testaram vários tipos de contas, dependendo do que cada plataforma oferecia, incluindo contas dedicadas para crianças, contas para adolescentes ou restritas, contas para adultos criadas através da autodeclaração de idade e, quando aplicável, acesso público ou para convidados sem registo. 

O estudo avaliou como as plataformas aplicavam os requisitos de idade, quão fácil era falsificar a idade durante o registo e se conteúdos sensíveis ou ilícitos podiam ser descobertos através da navegação, pesquisa ou exploração normais. 

Em todas as plataformas testadas, o conteúdo algorítmico padrão e os anúncios eram inicialmente benignos e em conformidade com as políticas. Quando conteúdo sensível foi encontrado, ele foi acessado por meio de um comportamento intencional, motivado pela curiosidade, e não por recomendações passivas. Nenhuma abordagem proativa por parte de outros utilizadores foi observada durante o período de pesquisa. 

A tabela abaixo resume as plataformas testadas, os tipos de conta utilizados e se o conteúdo confidencial foi detectável durante os testes. 

Plataforma Tipo de conta testado Conta dedicada para crianças/adolescentes Fácil de contornar a restrição de idade Conteúdo ilícito descoberto Notas
YouTube público) Sem registo (convidado) Sim (YouTube ) N/A Sim YouTube público YouTube o acesso a conteúdos fraudulentos e imagens violentas sem necessidade de login. Os vídeos com restrição de idade exigiam login, mas grande parte do conteúdo não. 
YouTube  Conta infantil Sim N/A Não Aplicação separada com o seu próprio algoritmo. Nenhum conteúdo prejudicial foi encontrado. 
Roblox Conta para todas as idades (13+) Não Não é necessário Sim As contas infantis podiam pesquisar e encontrar comunidades ligadas a palavras-chave relacionadas com cibercrime e fraude. 
Instagram Conta para adolescentes (13–17) Não Não é necessário Sim As contas restritas ainda exibiam perfis que promoviam fraudes e esquemas de criptomoedas através da pesquisa. 
TikTok Conta de utilizador mais jovem (13+) Sim Não é necessário Não Experiência apenas para visualização, sem pesquisa livre. Nenhum conteúdo prejudicial foi encontrado. 
TikTok Conta para adultos Não Sim Sim Pesquisa revelou perfis e tutoriais relacionados a fraudes com cartões de crédito após a violação da restrição de idade. 
Discord Conta para adultos Não Sim Sim Os servidores públicos apresentaram conteúdo adulto explícito quando pesquisados diretamente. Não foi observado qualquer contacto proativo. 
Twitch Conta para adultos Não Sim Sim Descobri promoções de serviços de acompanhantes e conteúdo adulto, alguns atrás de paywalls. 
Fortnite Conta restrita (13+) Sim Difícil de contornar Não Chat e compras desativados até a verificação dos pais. Nenhum conteúdo prejudicial encontrado. 
Snapchat Conta para adultos Não Sim Não Nenhum conteúdo sensível surgiu durante os testes. 
Spotify Conta para adultos Sim Sim Não Letras explícitas identificadas. Nenhum conteúdo prejudicial encontrado. 
Messenger Kids Conta infantil Sim Não é necessário Não Ambiente totalmente controlado pelos pais. Sem pesquisa ou contactos externos

Capturas de ecrã da pesquisa

  • Lista de comunidades Roblox com palavras-chave relacionadas a crimes cibernéticos
    Lista de comunidades Roblox com palavras-chave relacionadas a crimes cibernéticos
  • Comunidade Roblox que oferece chat sem verificação
    Comunidade Roblox que oferece chat sem verificação
  • Comunidade Roblox com palavras-chave relacionadas a crimes cibernéticos
    Comunidade Roblox com palavras-chave relacionadas a crimes cibernéticos
  • Conteúdo gráfico acessível ao público no YouTube
    Conteúdo gráfico acessível ao público no YouTube
  • Conteúdo sobre fraude com cartões de crédito no YouTube, acessível ao público
    Conteúdo sobre fraude com cartões de crédito no YouTube, acessível ao público
  • Página de acompanhantes ativa no Twitch
    Página de acompanhantes ativa no Twitch
  • Cartões de crédito roubados à venda numa conta Instagram
    Cartões de crédito roubados à venda numa conta Instagram
  • Conteúdo sobre carding para iniciantes numa conta Instagram
    Esquema de investimento em criptomoedas numa conta Instagram
  • Conteúdo para iniciantes em cartões de crédito numa conta TikTok para adultos, acessada por crianças com uma data de nascimento falsa.
    Conteúdo para iniciantes em cartões de crédito numa conta TikTok para adultos, acessada por crianças com uma data de nascimento falsa.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Malwarebytes Labs

Malwarebytes Labs

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes