Um relatório da Kaspersky revela que, somente em 2024, mais de 37 milhões de registros de dados de brasileiros — incluindo informações de pessoas físicas e jurídicas — foram expostos na dark web, alimentando um mercado de compra e troca de dados entre cibercriminosos. As informações comprometidas são utilizadas em golpes de identidade, fraudes financeiras, compras ilícitas, mensagens falsas personalizadas e até ataques a empresas.
Segundo o estudo, os dados são capturados por malwares do tipo infostealer, organizados em arquivos de log e enviados a servidores controlados por criminosos. Antes de serem vendidos ou compartilhados, essas informações passam por uma triagem para identificar dados mais valiosos, como registros financeiros ou empresariais.
A pesquisa chama atenção para o fato de que agências governamentais também estão entre os alvos. Em 2024, ao menos 5,6 milhões de registros vazados pertenciam a funcionários públicos ou cidadãos que acessaram serviços do governo. Nos últimos três anos, mais de 15 milhões de registros relacionados ao setor público foram encontrados na dark web.
A exposição de dados representa riscos mesmo sem a presença ativa de malware nos dispositivos. Informações vazadas podem ser usadas em fraudes que envolvem desde clonagem de identidade até vetores de ataque direcionados a sistemas corporativos.
João Brandão, especialista da Kaspersky, alerta para o impacto dessa ameaça. “Milhões de dispositivos ao redor do mundo são infectados todos os anos por malwares que capturam informações sensíveis como histórico de navegação, senhas e dados bancários. Isso afeta tanto usuários comuns quanto grandes empresas”, explica.
Ele destaca que muitas dessas ameaças operam sob o modelo Malware as a Service, no qual os desenvolvedores do código vendem ou alugam o programa malicioso a terceiros. Brandão recomenda que empresas invistam em treinamentos de segurança personalizados, especialmente para funcionários com acesso a dados sensíveis, e monitorem continuamente a dark web em busca de vazamentos.
Outras orientações incluem evitar o uso de credenciais corporativas em dispositivos pessoais sem proteção, não armazenar senhas em navegadores e adotar gerenciadores de senhas. Além disso, medidas como autenticação por biometria, tokens físicos e sistemas de autenticação multifator são fundamentais para reforçar a segurança digital.
