A maioria das pessoas já ouviu falar da dark web, mas poucas compreendem como ela é realmente ou o que lá se passa. Para distinguir a realidade da ficção, a nossa equipa de investigação passou 48 horas a explorá-la em primeira mão e a documentar o que descobrimos.
A dark web não é, por si só, má. Também serve a fins legítimos, proporcionando uma camada de privacidade a jornalistas, denunciantes, ativistas e outras pessoas que precisam de comunicar de forma anónima. O acesso à dark web requer normalmente o navegador Tor, e várias organizações de renome gerem sites oficiais na dark web. Por exemplo, o site de notícias da BBC está disponível através do seguinte endereço Tor: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Mas, a par destas utilizações legítimas, existe um ecossistema criminoso em plena expansão.
O que descobrimos foi uma economia subterrânea organizada e ativa, que funciona de formas que a maioria das pessoas nem imagina. Os cibercriminosos não trabalham sozinhos. Reúnem-se em fóruns clandestinos de cibercriminalidade, onde discutem métodos de ataque emergentes, partilham técnicas e colaboram na procura de formas de atacar pessoas em todo o mundo.
Pense nisso menos como um beco escuro e mais como uma rede profissional de cibercriminosos.
Para além destes fóruns, deparámo-nos com mercados dedicados ao cibercrime. Estes funcionam como lojas online onde hackers fraudadores podem comprar e vender uma variedade de bens digitais comprometidos, desde credenciais de contas roubadas até ferramentas de pirataria informática, sendo todas as transações realizadas de forma anónima através de criptomoedas.
Curiosidade: muitos destes mercados têm nomes inspirados em figuras públicas conhecidas, incluindo o presidente dos EUA, Donald Trump.
A bússola da dark web
Os cibercriminosos vêm de todos os cantos do mundo e, tal como qualquer comunidade global, precisam de uma forma de se encontrarem uns aos outros. É aí que entram os fóruns de partilha de links.
Os «link boards» são diretórios que reúnem centenas de fóruns e mercados clandestinos. Estão organizados por idioma e funcionam como uma bússola na dark web.
Um cibercriminoso pode atuar no seio de uma comunidade que fale a sua língua materna ou participar em fóruns de língua inglesa de maior dimensão que atraiam um público internacional.
No entanto, nem todos os fóruns têm o mesmo peso. Em 2026, a comunidade concentra-se, em grande parte, em torno de plataformas dominantes como o BreachForums e o DarkForums. Fóruns mais exclusivos em língua russa, como o Exploit e o XSS, tendem a atrair alguns dos cibercriminosos mais sofisticados do submundo.
Dados comprometidos: as suas informações podem já estar a circular
A maioria das pessoas não faz ideia da quantidade de informação pessoal que já está a circular na dark web. Em muitos casos, o primeiro desafio é simplesmente saber se a sua informação foi ou não exposta. Pode verificar a sua aqui.
Para compreender a dimensão do problema, é útil comparar o que é do conhecimento público com o que descobrimos por baixo da superfície.
As violações divulgadas publicamente são apenas uma parte da história. Desde o início de 2026, Malwarebytes identificaram mais de 7 500 conjuntos de dados comprometidos, contendo mais de 8,4 mil milhões de registos. Estes incluem dados roubados em violações, recolhidos através de campanhas de phishing, extraídos de serviços online e expostos devido a sistemas mal configurados.
Entre as organizações afetadas encontram-se nomes bem conhecidos, como a SoundCloud, a ADT, a Hallmark, a Amtrak, a Vimeo e Instagram.
Mas, por mais significativos que esses números sejam, eles revelam apenas uma parte da história.
Ao analisarmos a secção de bases de dados do DarkForums, uma das plataformas mais ativas do mundo subterrâneo, encontrámos 63 páginas de anúncios publicados desde o início de 2026. Com 20 anúncios por página, isso equivale a mais de 1 200 violações de dados de pequena e média dimensão, a maioria das quais nunca chegou às manchetes da imprensa.
O panorama no BreachForums era semelhante. Desde o início do ano, a plataforma acumulou 37 páginas de listas de bases de dados, cada uma com 20 registos, acrescentando mais de 700 bases de dados comprometidas ao já enorme conjunto de dados roubados.
Se somarmos tudo isto, as violações divulgadas publicamente são apenas a ponta do iceberg. Grande parte dos dados pessoais roubados que são comercializados online muda de mãos discretamente e fora do alcance do público.
Identidades norte-americanas à venda
Um dos bens mais procurados no mercado negro do cibercrime é algo hackers «fullz»: um pacote completo de informações de identidade de uma pessoa real. Em 2026, as identidades dos EUA continuam a ser especialmente valiosas devido à infraestrutura financeira do país, aos elevados limites de crédito e à vasta gama de serviços que podem ser explorados para fins de fraude.
Um pacote típico de «fullz» inclui o nome completo, o número de segurança social (SSN), a data de nascimento, a morada e outros dados pessoais. Nas mãos erradas, esta informação constitui um conjunto de ferramentas pronto a usar para a fraude de identidade. Permite aos cibercriminosos abrir contas de crédito fraudulentas, apresentar declarações fiscais falsas, aceder a contas financeiras ou até mesmo obter serviços médicos em nome de outra pessoa.
O que torna os «fullz» particularmente perigosos é o facto de as vítimas muitas vezes não terem a menor ideia de que a sua identidade foi comprometida até muito depois de o dano já ter sido causado. Por vezes, isso acontece meses ou até anos mais tarde, quando os cobradores de dívidas entram em contacto com elas ou um pedido de crédito é inesperadamente recusado.
Não é surpresa que os EUA continuem a ser um dos países mais visados pelos ladrões de identidade. Só nos primeiros três trimestres de 2025, foram comunicados à Comissão Federal do Comércio (FTC) mais de 1,15 milhões de casos de roubo de identidade, ultrapassando já o número total registado durante todo o ano de 2024.
Durante a nossa investigação, deparámo-nos com o 9-Digits Market, um dos muitos mercados da dark web especializados na venda de dados de identidade roubados. O que mais nos chamou a atenção foi o preço. Um perfil de identidade completo dos EUA estava à venda por apenas 0,95 dólares.
Por menos do que o preço de um café, um cibercriminoso pode comprar informações suficientes para arruinar a vida financeira de alguém.
Como os cibercriminosos utilizam malware para atacar o seu computador
As violações de dados não são a única forma de as suas informações pessoais acabarem na dark web. Por vezes, a fonte está muito mais perto de si: o seu próprio computador. Durante a nossa incursão na dark web, deparámo-nos com os programadores responsáveis por uma categoria particularmente perigosa de malware conhecida como «infostealers», ou simplesmente «stealers». O conceito é simples, o que, em parte, explica a sua eficácia.
Uma vez instalado, um programa de roubo de informações procura silenciosamente no dispositivo qualquer informação valiosa. Isso pode incluir nomes de utilizador e palavras-passe guardados, dados de preenchimento automático, detalhes de pagamento armazenados, carteiras de criptomoedas e outras informações confidenciais. Esses dados roubados são depois enviados ao atacante.
Segue-se uma antevisão do painel do programa de roubo de dados STORM, que comprometeu um computador localizado nos EUA e roubou 87 combinações de nome de utilizador e palavra-passe do dispositivo.
Talvez o aspeto mais alarmante seja o facto de este tipo de malware se ter tornado tão acessível. Em 2026, qualquer aspirante a cibercriminoso poderá alugar um infostealer através de uma subscrição, o que requer poucos conhecimentos técnicos e nenhum investimento financeiro significativo. O cibercrime como serviço reduziu drasticamente as barreiras à entrada.
Os dados roubados são depois vendidos ou divulgados em fóruns e mercados clandestinos. Ficámos chocados com o enorme volume em causa.
Todos os dias, milhões de credenciais roubadas são partilhadas nestas plataformas. Por trás de cada uma dessas linhas está uma pessoa real, que desconhece completamente que a sua vida digital está a ser desmembrada e comercializada como se fosse uma mercadoria.
Investimentos falsos e esquemas fraudulentos relacionados com criptomoedas
Nem todos os crimes cibernéticos se prendem com palavras-passe roubadas ou bases de dados que vazaram. Alguns criminosos procuram ganhos muito mais lucrativos através de esquemas de engenharia social cuidadosamente planeados. Um dos exemplos mais sofisticados e prejudiciais com que nos deparámos foram os esquemas de investimento em criptomoedas, também conhecidos como pig butchering».
A tática subjacente a isto é extremamente eficaz. Os criminosos investem tempo e esforço consideráveis na construção do que parece ser uma relação genuína com o seu alvo através de aplicações de encontros, redes sociais ou plataformas de mensagens.
São pacientes, simpáticos e convincentes, conquistando gradualmente a confiança da vítima ao longo de dias ou mesmo semanas. Só depois de estabelecerem essa confiança é que apresentam o que parece ser uma oportunidade de investimento aliciante. Quando a vítima se apercebe de que algo está errado, o seu dinheiro já desapareceu e a pessoa em quem confiou desapareceu sem deixar rasto.
Durante a nossa investigação, observámos uma operação de fraude no setor das criptomoedas em grande escala, já em pleno funcionamento, que visava novas vítimas através de plataformas de investimento falsas, sofisticadas e de alta qualidade, concebidas especificamente para manter as vítimas presas ao sistema durante longos períodos.
A operação oferecia:
- Documentação completa, scripts e elementos que reforçam a credibilidade. Tudo o que é necessário para parecer legítimo desde o primeiro dia.
- Guias de comunicação cuidadosamente elaborados e manuais de engenharia social concebidos para exercer pressão psicológica sobre as vítimas, levando-as a esgotar o limite dos cartões de crédito, a contrair empréstimos e a investir repetidamente mais dinheiro.
- Equipas de desenvolvimento internas que criam plataformas de negociação falsas que imitam de perto os serviços de investimento legítimos.
Os nossos investigadores também conseguiram aceder a uma dessas plataformas fraudulentas e ficámos preocupados com o nível de sofisticação.
Não se trata de operações amadoras. São organizações criminosas bem financiadas e geridas de forma profissional, que encaram o fraude como um negócio.
Em apenas 48 horas, descobrimos identidades roubadas, malware à venda, palavras-passe divulgadas e operações de fraude em escala industrial. A maioria das pessoas nunca visitará a dark web, mas os seus efeitos podem, mesmo assim, afetá-las através de fugas de dados, infeções por malware e esquemas fraudulentos.
Malwarebytes proteger-te contra cada uma dessas ameaças. O nosso serviço de monitorização de fugas de dados alerta-te caso as tuas informações pessoais apareçam numa fuga de dados conhecida. Theft Identity monitoriza informações sensíveis, incluindo o teu número de Segurança Social, enquanto o Scam Guard utiliza deteção baseada em IA para ajudar a identificar mensagens de texto, e-mails, links e números de telefone suspeitos antes que possam causar danos.
A dark web prospera graças à informação roubada. Saber quando os seus dados estão expostos é o primeiro passo para se antecipar a essa situação.
