Os especialistas da Check Point Software afirmam que senhas deixaram de ser um mecanismo confiável de proteção em um cenário em que ataques digitais são automatizados, personalizados e vendidos como serviço em mercados clandestinos. Nesse contexto, a segurança passa a depender menos de combinações de caracteres e mais da identificação de comportamentos suspeitos em tempo real.
No Dia Mundial da Senha 2026, em 7 de maio, a empresa chama atenção para o fato de que até credenciais longas e complexas podem ser capturadas por programas maliciosos ou exploradas após vazamentos em larga escala, muitas vezes sem que o usuário perceba a violação.
Segundo os especialistas da Check Point, os cibercriminosos não precisam mais quebrar senhas. Eles usam credenciais roubadas para acessar sistemas diretamente. Esse modelo é sustentado por um mercado global de crime digital como serviço (Cybercrime-as-a-Service – CaaS), com uso de inteligência artificial (IA)e atuação em canais privados, principalmente no Telegram.
Dados de mercado utilizados pela Check Point indicam variação no valor de credenciais conforme o tipo de conta. Perfis de e-mail como Gmail são vendidos por cerca de 65 dólares. Informações financeiras podem passar de 1.000 dólares em contas de maior valor. Já acessos corporativos, considerados os mais valiosos, podem superar 100 mil dólares quando permitem entrada direta em redes corporativas.
Esse ecossistema também é sustentado por softwares maliciosos vendidos por assinatura mensal, com valores entre 100 dólares e pouco mais de 1.000 dólares, o que reduz a barreira de entrada e amplia o volume de roubo automatizado de credenciais.
Mudança de comportamento dos usuários
O problema é agravado pelo comportamento dos usuários. Levantamentos do setor apontam que 94% das senhas são reutilizadas em mais de uma conta. Em paralelo, estudos indicam que uma parcela mínima das senhas segue padrões de segurança recomendados. Na prática, isso permite que um único vazamento seja usado em ataques automatizados para acessar diferentes serviços.
No ambiente corporativo, o risco se amplia com o uso de ferramentas de IA. Pesquisas indicam que quase metade dos profissionais já utiliza essas plataformas no trabalho e que a maioria copia e cola informações diretamente em prompts, incluindo dados sensíveis. Em testes conduzidos pela Check Point, uma em cada 28 interações com ferramentas de IA em ambientes corporativos apresentou risco elevado de vazamento de dados, com impacto em grande parte das organizações que utilizam essas soluções.
Os especialistas também apontam aumento de ataques de phishing com apoio de IA. Kits de fraude são vendidos em canais clandestinos por valores baixos e permitem a criação de mensagens sem erros e com alto grau de personalização. Esse fator elevou a taxa de sucesso desses ataques em comparação com campanhas tradicionais.
O uso de deepfakes também cresceu. Relatórios do setor indicam aumento superior a 3.000% no uso de imagens e vozes sintéticas nos últimos anos. Em muitos casos, esse tipo de tecnologia é usado para simular comunicações de executivos ou equipes internas. Há registros de fraudes em que reuniões por vídeo foram usadas como parte do golpe, com perdas financeiras relevantes.
Ransomware acelerado
A Check Point também ressalta que o intervalo entre o vazamento de uma senha e a implantação de um ataque de ransomware está diminuindo rapidamente. Segundo a Beazley Security, no terceiro trimestre de 2025, 48% dos ataques de ransomware utilizaram credenciais de VPN roubadas como vetor inicial de acesso. Já o relatório Cost of a Data Breach 2025, da IBM, aponta que violações baseadas em credenciais levam, em média, 246 dias para serem identificadas e contidas.
Em contraste, operadores de ransomware atuam em ritmo muito mais acelerado. Nesse cenário, quando uma empresa leva semanas para identificar o uso indevido de uma credencial, o ataque já pode estar em estágio avançado.
Diante dessa situação, a Check Point defende mudanças na forma de autenticação e proteção de identidade, com adoção de métodos sem senha, modelos de segurança baseados em comportamento, controle do uso de inteligência artificial em ambientes corporativos e monitoramento contínuo de mercados clandestinos de credenciais.
A avaliação dos especialistas é que a segurança digital passou a depender menos de senhas e mais da capacidade de identificar e responder a padrões de comportamento em tempo real em um ambiente de ataques contínuos e automatizados.