Ainda antes das primeiras operações militares dos EUA e Israel contra alvos da República Islâmica do Irão que começaram a 28.02.2026 já hackers iranianos tinham iniciado operações de espionagem digital, sondagens a infraestruturas e ataques de negação de serviço (DDoS) contra alvos em Israel e nos países do Golfo Pérsico.

À medida que as operações prosseguem aumenta a probabilidade que estas operações iranianas aumentem em volume e penetração havendo inclusivamente a possibilidade que persistam mesmo depois do termo do conflito independentemente da forma como este for dado como “concluído”. 

Até agora (meados de março de 2026), a maioria das operações cibernéticas têm tido como alvo Israel e países do Golfo Pérsico, embora alguns preparativos tenham começado antes da campanha militar. No presente contexto de bombardeamentos diários é praticamente inevitável que sejam lançados, estejam a decorrer ou em fase de preparação ataques cibernéticos contra organizações americanas, israelitas e europeias (ver caso recente na Albânia).

Com efeito, a empresa de segurança de aplicações móveis https://approov.io/news identificou um aumento significativo de ataques sofisticados de reconhecimento contra APIs e aplicações móveis que suportam comunicações críticas de governos dos países do Golfo e em Israel. Segundo o CEO desta empresa britânica, os atacantes estavam a mapear vulnerabilidades em infraestruturas digitais da região numa actividade que arrancou no início de fevereiro e que teria parado a 27 de fevereiro, possivelmente relacionadas com o apagão quase total da Internet no Irão no início da guerra. Outro ponto importante é que, segundo a empresa, grupos de ameaça iranianos estavam aparentemente a posicionar malware previamente nas redes alvo, algo comum antes do início de ataques mais destrutivos.

Por seu lado, a empresa israelita Check Point admitiu que, nos meses anteriores ao conflito, ocorreram intrusões digitais envolvendo malware associado ao grupo Cotton Sandstorm (também conhecido como Haywire Kitten), um grupo que tem sido associado várias à Guarda Revolucionária Islâmica do Irão e que, como metodologia favorita, usa o WezRat: um infostealer modular desenvolvido internamente e distribuído através de campanhas de spear-phishing disfarçadas de atualizações urgentes de software. Depois da intrusão inicial, os ataques do Cotton Sandstorm evoluem para implantação de ransomware WhiteLock, algo que tem sido particularmente observado em alvos israelitas. De notar que, contudo, nada impede, porém, que esta metodologia seja usada, também, em alvos noutros países nomeadamente em países membros da OTAN como Portugal. O grupo também reativou a sua identidade pública de hacktivismo chamada Altoufan Team (https://cyble.com/blog/altoufan-team-targets-the-middle-east/), que esteve inativa nos últimos anos mas que recentemente voltou a reivindicar ataques, incluindo contra sites no Bahrain e em Israel. No que respeita a outro grupo do regime de Teerão temos de destacar o APT “IRAN” (https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/) um grupo activista conhecido por várias operações “hack-and-leak”.

Nos últimos dias vários grupos pró-Irão afirmaram ter comprometido sistemas de controlo industrial (ICS) em vários países tais como Israel, Polónia, Turquia, Jordânia, praticamente todos os Países do Golfo Bahrein, Jordânia, Iraque, Qatar, Kuwait, Emirados Árabes Unidos, Arábia Saudita, Síria e Omã). Estes foram os casos do APT IRAN que afirmou ter conduzido uma operação de sabotagem contra infraestruturas críticas da Jordânia da Cyber Islamic Resistance que declarou ter obtido acesso a routers de Internet em Israel. Mas, é importante ter em conta que é sabido que muitas destas alegações não foram verificadas de forma independente e que existe a percepção entre a maioria dos cidadãos de que os grupos iranianos muitas vezes exageram a amplitude das suas actividades e que, inclusivamente, anunciam operações que, simplesmente, não existiram. Isto não ocorre por incompetência ou para exaltar internamente a competência dos serviços perante a sua hierarquia na Guarda Revolucionária: Estas reivindicações fazem parte de uma estratégia comum em operações iranianas: misturar ataques reais com propaganda e operações psicológicas para amplificar o efeito de ambas.

Por outro lado, e para além do campo clássico da ciberguerra, o Irão tem um historial conhecido de operações de desinformação em redes sociais. Durante períodos de conflito, estas campanhas tendem a intensificar-se. O objetivo destas operações é triplo: amplificar medo, criar confusão e exagerar o impacto de ataques cibernéticos usando aqui a fabricação e exagero do impacto dos mesmos como um instrumento essencial.

Embora ainda não existam confirmações de ataques contra organizações americanas ou europeias neste momento específico do conflito, é apenas uma questão de tempo para as vermos no nosso continente e, provavelmente, também em Portugal aumentando a probabilidade à medida que as operações militares decorrem e se vão intensificando. Tudo indica que, actualmente, os alvos com maior risco são: empresas com ligação ao sector de Defesa europeu e dos EUA, fornecedores militares, organizações com parcerias com Israel, infraestruturas críticas (energia, água e comunicações) e, obviamente, empresas que usem tecnologia israelita. Um bom exemplo é a campanha de 2023 conduzida pelo grupo CyberAv3ngers, que atacou sistemas de água nos EUA explorando passwords por defeito em PLCs acessíveis pela Internet. Em 2024, o mesmo grupo utilizou malware personalizado para controlar remotamente sistemas de gestão de água e combustível nos EUA e em Israel. Apesar disso, os atacantes não causaram danos físicos significativos, limitando-se sobretudo a divulgar vídeos nas redes sociais para amplificar o impacto psicológico.

Segundo John Hultquist, do Google Threat Intelligence Group (https://cloud.google.com/security/products/threat-intelligence) as operações iranianas têm historicamente resultados mistos em que, muitas vezes exageram os efeitos reais dos ataques, mas onde podem causar impactos graves em organizações específicas.

Praticamente, desde o começo dos ataques de Israel / EUA que as autoridades iranianas decidiram tornarem a fechar os acessos do seu país à Internet com apenas 1% a 4% de conectividade nacional. Isto pode explicar porque é que vários grupos APT iranianos ficaram temporariamente silenciosos, incluindo: OilRig, MuddyWater e o APT42. Apesar disso, vários grupos hacktivistas – aparentemente a operar a partir de países europeus – mantiveram atividade limitada de DDoS, defacements e phishing. O corte do acesso à Internet a partir do Irão pode ter cortado as comunicações das unidades de comando C2 (“Command and control”) e isso pode explicar o silêncio por parte dos APTs controlados mais de perto pelo regime mas os artefactos instalados em redes e sistemas ocidentais podem ter mecanismos de ativação automática que, se poderia ativar caso o sistema deixe de receber sinais de comando durante um número específico de dias, se a infraestrutura de controlo for destruída, como um ”dead man’s switch” cibernético, podendo desencadear o apagamento de dados (wipers) ou a exfiltração massiva de dados para sistemas alojados fora do Irão ou a pura e simples sabotagem de sistemas por negação de serviço.

Depois do lançamento da campanha militar conjunta EUA-Israel entre 28 de fevereiro e 2 de março (fonte: https://thehackernews.com/2026/03/149-hacktivist-ddos-attacks-hit-110.html): 149 ataques DDoS, 110 organizações alvo e 16 países afetados. Nestas operações estiveram envolvidos doze grupos onde os três responsáveis por 74,6% das operações foram: Keymous+, DieNet e o NoName057.

Sublinhe-se que a maioria dos ataques se concentrou no Médio Oriente: Kuwait: 28%, Israel: 27,1%
Jordânia: 21,5% e os setores mais visados foram governo 47,8%,  finanças 11,9% e telecomunicações 6,7%.

A Google Flashpoint indicou que nestes ataques o braço cibernético da Guarda Revolucionária operando provavelmente a partir do estrangeiro e da rede de embaixadas, “associações” e indivíduos próximos do regime foram lançados vários a taques a infraestruturas energéticas e de cloud mais concretamente a Saudi Aramco e um datacenter da Amazon Web Services nos Emirados Árabes Unidos com o objetivo de provocar impacto económico global como resposta às perdas militares.

Paralelamente a estas ciberoperações iranianas outros atores têm estado ativos com campanhas paralelas: Grupos pró-russos também alegaram ter comprometido redes militares israelitas, incluindo sistemas associados ao Iron Dome e foi também identificada uma campanha de phishing por SMS, que distribui uma aplicação falsa do sistema de alertas israelita RedAlert que contém uma interface funcional de alerta, um componente de vigilância e exfiltração de dados tendo esta aplicação falsa o objetivo é explorar a ansiedade da população em tempo de guerra.

O conflito atual demonstra que a frente digital está a expandir-se em paralelo com a frente militar: Operações de espionagem, ataques disruptivos e campanhas de desinformação estão a ser activamente usadas de forma coordenada para pressionar adversários no Ocidente e Médio Oriente, gerar instabilidade económica e criar impacto psicológico global e à medida que o conflito evolui, é provável que os ataques cibernéticos se intensifiquem e atinjam um número maior de países e setores estratégicos.

Portugal:

Portugal passou a estar mais exposto politicamente, simbolicamente e ciberneticamente no momento em que o Governo assumiu e defendeu o uso da Base das Lajes pelos EUA no contexto da campanha contra o Irão. Isto não significa automaticamente que Portugal passe a ser um alvo prioritário de sabotagem destrutiva iraniana. Mas significa, de forma realista, que entra no mapa de risco de três tipos de operações: campanhas de propaganda e desinformação, ataques oportunistas de DDoS e intrusões de espionagem ou acesso inicial contra entidades portuguesas com valor político, militar, logístico, energético, tecnológico ou simbólico. Esta avaliação é coerente com o padrão já descrito no material que resumimos mais acima, onde os atores iranianos e pró-iranianos combinam espionagem, phishing, DDoS, malware e operações psicológicas, e com o alerta emitido pelo ncsc.gov.uk britânico a 2 de março de 2026, que recomenda às organizações rever a postura de risco, reforçar monitorização, rever a superfície externa de ataque e preparar-se para ameaça elevada na sequência do conflito no Médio Oriente.

No caso português, os riscos mais plausíveis são os seguintes.

Primeiro, há o risco de Portugal ser usado como alvo narrativo. Mesmo que o Irão ou grupos alinhados não tenham capacidade física por mísseis ou drones ou sequer interesse ou prioridade em causar dano grave em território português, podem explorar publicamente a ideia de que Portugal “participou” ou “facilitou” a operação por causa das Lajes. Isso serve para propaganda externa, mobilização de hacktivistas e pressão psicológica. Esse tipo de exploração encaixa nitidamente no padrão já identificado de operações de influência e exagero deliberado de impacto.

Em segundo lugar, há o risco de ataques DDoS e defacement contra sites portugueses. Estes são baratos, rápidos e potencialmente muito mediáticos. São exatamente o tipo de ação usada por frentes hacktivistas para produzir manchetes sem precisarem de grande sofisticação técnica. A https://www.enisa.europa.eu/ refere que os incidentes DDoS continuam a representar uma fatia dominante dos casos observados na Europa e que os grupos hacktivistas explicam grande parte dessa atividade.

Terceiro, há o risco de phishing e roubo de credenciais dirigido a organismos do Estado, defesa, transportes, energia, telecomunicações, portos, aeroportos, banca, media e fornecedores tecnológicos. Este é, francamente, o risco mais provável em Portugal: É barato, escalável e dá aos atacantes acesso inicial que depois pode ser usado para espionagem, exfiltração de dados, chantagem ou movimentos posteriores. A ENISA assinala que o phishing continua a ser o principal vetor de intrusão inicial e que a exploração de vulnerabilidades leva muitas vezes à instalação de malware. O próprio material do utilizador referia campanhas com spear-phishing, infostealers, malware móvel e preparação prévia de acessos.

Quarto, existe o risco de reconhecimento e pré-posicionamento silencioso em redes portuguesas, sobretudo nas organizações que tenham ligação aos EUA, à NATO ou a cadeias logísticas atlânticas. Aqui o perigo não é tanto um “apagão” imediato, mas sim acessos discretos para recolha de informação, persistência e eventual uso posterior. O alerta britânico fala precisamente em rever a postura de risco quando existem exposições, escritórios ou cadeias de fornecimento relacionadas com a região ou com a escalada.

Quinto, temos também o risco de pressão sobre infraestruturas críticas, sobretudo energia, combustíveis, água, telecomunicações, portos, logística e algum tecido industrial. Não estou a dizer que tal seja o cenário mais provável em Portugal nesta fase. Mas este é o cenário com consequências mais sérias se houver falhas de segmentação, sistemas expostos ou fornecedores comprometidos. A ENISA sublinha que as ameaças deste tipo já representam uma parcela relevante do panorama e que sistemas industriais e críticos estão cada vez mais ligados e expostos. O material que resumimos também menciona interesse de grupos alinhados com Teerão por sistemas industriais, energia e equipamentos israelitas ou regionais.

Sexto, encontramos o risco de cadeia de fornecimento. Em Portugal isto é particularmente importante porque muitas entidades públicas e privadas dependem de terceiros para cloud, MSSP, software de gestão, telecomunicações, integradores, manutenção industrial e serviços geridos. Um atacante não precisa entrar diretamente no alvo principal se conseguir entrar pelo fornecedor mais fraco. A ENISA assinala explicitamente o peso dos riscos de supply chain no panorama atual.

Em sétimo lugar, temos um risco menos falado mas muito sério: mistura entre ciberataque, sabotagem física, intrusão interna e pressão sobre pessoal. O alerta do NCSC britânico não fala só de medidas digitais; remete também para medidas de segurança física e contra sabotagem. Isso é relevante porque uma crise destas não se joga apenas em firewalls. Joga-se também em controlo de acessos, credenciação de fornecedores, visitas técnicas, manutenção remota e proteção de instalações sensíveis.

Para Portugal, os setores com maior exposição seriam, por inferência prudente, a Administração Pública central, Defesa, Forças Armadas, empresas ligadas à Base das Lajes, operadores de energia, combustíveis e telecomunicações, portos e aeroportos, banca, media, universidades com investigação dual-use e fornecedores TIC do Estado. Isto é uma inferência analítica baseada no padrão documentado para este conflito e noutros anteriores, não uma lista oficial de alvos confirmados.

Há ainda um precedente europeu que não convém ignorar. O Reino Unido atribuiu publicamente a atores ligados ao Estado iraniano uma série de ciberataques contra infraestruturas governamentais da Albânia. Isto prova uma coisa simples: o Irão já mostrou capacidade e disposição para atuar contra um Estado europeu quando entende que há interesse político nisso.

Na parte prática: o que podem fazer as empresas em Portugal para se prevenirem contra estas ameaças?

1. As empresas devem partir do princípio de que, durante uma crise geopolítica destas, o ataque mais provável traduz-se num misto de phishing, credenciais roubadas, MFA mal configurado, VPN desatualizada, fornecedor comprometido, consola exposta, acesso remoto mal protegido e DDoS de desgaste. A resposta séria começa por reduzir a superfície de ataque externa, inventariar tudo o que está exposto à Internet e fechar o que não é estritamente necessário. O ncsc.gov.uk recomenda explicitamente revisão/redução da superfície externa e aumento proporcional da monitorização; a ENISA  europeiua sublinha a exploração recorrente de serviços web e aplicações online.

2. Em segundo lugar, é necessário corrigir vulnerabilidades exploráveis com urgência e prioridade, sobretudo em VPN, firewalls, gateways de email, appliances de acesso remoto, plataformas cloud, M365, hipervisores, sistemas expostos e software de perimeter. Numa crise geopolítica desta escala, adiar patching é pedir problemas… A ENISA refere que a exploração de vulnerabilidades é frequentemente precursora direta de instalação de malware.

3. Em seguida, as organizações portuguesas devem endurecer os mecanismos de identidade e acesso. O MFA deve estar em tudo o que é administração e acesso remoto. Revisão imediata de contas privilegiadas. Rotação de credenciais críticas. Eliminação de contas órfãs. Restrições geográficas sempre que isso fizer algum sentido. Sessões administrativas separadas das sessões normais. Básico, mas continua a falhar em demasiadas organizações…

4. As organizações devem também assumir que o email e o telemóvel são linhas da frente. A lista de ferramentas usadas pelos atores iranianas incluem spear-phishing, infostealers e até campanhas móveis com aplicações falsas. A ENISA assinala que as ameaças móveis têm peso muito elevado no panorama recente. Logo, é preciso reforçar a proteção de email, deteção de anexos e links, gestão de dispositivos móveis, controlo de sideloading e formação orientada para campanhas de urgência, falsas atualizações, mensagens de guerra e temas políticos.

5. Outra medida indispensável é segmentar a rede a sério: Segmentação entre IT e OT (IT concentra-se na gestão de dados eletrónicos, enquanto a OT se centra no controle de processos e equipamentos físicos), Separação de ambientes de utilizador, servidores, backups, administração e fornecedores. Controlo de saltos laterais. Se uma máquina de utilizador infetada consegue falar com tudo, a empresa já perdeu a primeira metade da batalha…

6. Os backups têm de ser testados, offline ou imutáveis, e com recuperação comprovada. Não basta “ter backups”. É preciso provar tempos de recuperação, ordem de restauro e dependências e testar e torna a testar (regularmente). Em incidentes com wipers ou ransomware, aquilo que salva a operação não é o folheto da solução: É o teste anteriormente feito.

7. As organizações mais expostas (sobretudo nos sectores das comunicações e energia) devem reforçar a telemetria, deteção e threat hunting, pelo menos durante o período de maior tensão (como o actual). Também convém preparar aresposta a DDoS de forma contratual e técnica. Isto inclui CDN/WAF quando aplicável, proteção anti-DDoS a montante com o operador, runbooks, contactos de escalonamento e critérios claros para manter serviços mínimos. O DDoS é muitas vezes visto como ruído, mas em contexto político pode ser suficiente para parar serviços, gerar manchetes e erodir confiança.

8. No caso das empresas com OT, energia, água, indústria, frio, combustível, logística ou edifícios inteligentes, a regra deve ser conservadora: sem confiança em acessos remotos de fornecedores por omissão. Rever túneis, jump boxes, credenciais partilhadas, modems esquecidos, routers industriais expostos e software antigo que “nunca foi tocado porque sempre funcionou”. Foi precisamente assim que muitos incidentes sérios começaram noutros contextos.

Quanto ao Estado português, o essencial é não cair na ilusão burocrática. Não basta emitir um memorando e esperar que a crise passe. O Estado deve, antes de mais, assumir formalmente uma postura de ameaça agravada para administração pública e operadores essenciais, mesmo que não use esse nome em público. Isso permite acelerar a partilha de indicadores, reforçar monitorização, aumentar reporte e concentrar atenção em setores críticos. O NCSC britânico fez precisamente um alerta público deste tipo.

Posteriormente, deve haver coordenação reforçada entre CNCS, CSIRTs, reguladores setoriais, Defesa, operadores essenciais e principais prestadores de telecomunicações e cloud. O velho vício português de compartimentar informação é mau em tempos normais e péssimo em crise.

O Estado deve ainda reforçar a proteção das entidades com valor simbólico e político elevado, incluindo a presidência de conselhos de ministros, a presidência da República, ministérios-chave, o setor da defesa, diplomacia, infraestruturas estratégicas e serviços com exposição pública elevada.

Outra frente é a proteção da narrativa pública. O Governo e o Estado devem estar prontos para a desinformação relacionada com as Lajes, alegados ataques “devastadores”, supostos leaks ou falsos documentos. Sem uma estrutura de resposta comunicacional rápida, o dano reputacional pode ser maior do que o dano técnico.

Na componente física, faz sentido rever segurança, controlo de acessos e dependências de fornecedores em instalações críticas, incluindo energia, telecomunicações, água, combustível e logística. O alerta britânico menciona expressamente a necessidade de atenção a riscos físicos e de sabotagem.

No plano externo, Portugal deve usar canais NATO e UE para partilha de inteligência técnica e coordenação de resposta, porque este não é um problema para ser gerido isoladamente. A realidade é simples: os adversários trabalham em rede; uma defesa atomizada chega sempre tarde demais para impedir o prejuízo…

Portugal não é o alvo mais óbvio do conflito, mas também deixou de estar na periferia política do problema depois da decisão sobre as Lajes. O risco mais provável não é um ataque espetacular. É uma combinação de desinformação, DDoS, phishing, intrusão oportunista e exploração de fornecedores fracos. O risco mais grave, embora menos provável, é o de o Irão conseguir atingir infraestruturas críticas mal segmentadas ou mantidas de forma deficiente ou incompleta.