Esta tendência de exploração de vulnerabilidades de terceiros é corroborada por dados do Fórum Económico Mundial, que indicam que 65% das grandes empresas identificam precisamente os fornecedores como o principal calcanhar de Aquiles para a sua resiliência digital num ecossistema cada vez mais interligado.

As grandes corporações revelam-se as vítimas mais apetecíveis e frequentes destes ciberataques, registando uma taxa de incidência de 36%, um valor superior ao observado em empresas de menor dimensão. Esta vulnerabilidade acentuada explica-se pela enorme complexidade das suas infraestruturas tecnológicas, uma vez que estas entidades gerem, em média, cerca de cem fornecedores de software e hardware, e concedem acesso direto aos seus sistemas a mais de cento e trinta prestadores de serviços externos. Esta vasta rede de acessos legitimos cria uma enorme superfície potencial de ataque, impulsionando também o crescimento dos chamados ataques a relações de confiança, que afetaram 25% das empresas globais e que exploram precisamente estas pontes de comunicação estabelecidas entre parceiros comerciais.

Apesar da elevada frequência e do impacto severo destas intrusões - que resultam frequentemente na interrupção total das operações do negócio -, o estudo da Kaspersky detetou um alarmante desfasamento na perceção de risco por parte das lideranças corporativas. A grande maioria dos líderes continua a subestimar as ameaças provenientes da cadeia de abastecimento, focando a sua atenção em perigos mais mediáticos, como o Ransomware ou as Ameaças Persistentes Avançadas (APTs). De facto, apenas 9% das organizações a nível global classificaram as vulnerabilidades de terceiros como a sua principal preocupação de segurança, demonstrando que o risco, embora reconhecido na teoria, é frequentemente ignorado no planeamento estratégico e prático.

O panorama nacional não escapa a esta nova realidade, especialmente num contexto onde o tecido empresarial português depende cada vez mais de fornecedores tecnológicos externos e da rápida adoção de serviços na cloud. Em setores críticos como a banca, telecomunicações, energia e administração pública, um simples incidente num pequeno prestador de serviços pode desencadear um efeito dominó com consequências devastadoras, comprometendo a continuidade do negócio e o estrito cumprimento de regulamentações europeias, como é o caso da exigente diretiva NIS2. Sergey Soldatov, responsável pelo Security Operations Center da Kaspersky, alerta que proteger uma empresa moderna exige hoje uma abordagem abrangente que transcenda os limites da própria organização, defendendo toda a rede de parcerias que a sustenta.

Para combater esta vaga de ataques indiretos, os especialistas em cibersegurança recomendam uma mudança drástica na forma como as empresas gerem as suas relações comerciais. Torna-se imperativo avaliar rigorosamente as políticas de segurança dos fornecedores antes de assinar qualquer contrato, exigindo auditorias regulares e o cumprimento de normas de proteção estabelecidas. A nível tecnológico, a Kaspersky aconselha a adoção incondicional da arquitetura Zero Trust, do princípio do menor privilégio, e a implementação de sistemas avançados de monitorização contínua (como XDR), garantindo ainda que os planos de resposta a incidentes contemplem o isolamento imediato e o corte rápido de ligações a qualquer fornecedor que seja alvo de um comprometimento informático.