O interesse dos cibercriminosos por dados pessoais é evidente. Mas o que acontece depois que essas informações caem em suas mãos? A resposta é ampla e preocupante. O processo envolve desde a classificação e a chamada "limpeza" dos dados até sua venda, troca e uso indevido. As informações pessoais roubadas são, ao mesmo tempo, um objetivo em si e um meio para a prática de outros crimes.

A seguir, analisamos quais tipos de dados pessoais despertam maior interesse do cibercrime e como funciona cada etapa do ciclo de vida das informações roubadas.

Que dados são roubados pelos cibercriminosos?

Não é novidade que, para o ecossistema do cibercrime, as informações pessoais estão entre os ativos mais valiosos. Mas por que isso acontece? Porque esses dados não são apenas um objetivo em si, mas também um meio para a prática de outros crimes. Nesse contexto, é fundamental que nós, como usuários, saibamos quais tipos de informações os cibercriminosos costumam buscar:

  • Dados de login (nome de usuário e senha), tanto de contas pessoais quanto corporativas.
  • Sessões ativas, cookies ou tokens, que permitem o sequestro de logins e o acesso direto a serviços, mesmo quando a autenticação em dois fatores está habilitada.
  • Dados de contato (e-mail e telefone), amplamente utilizados em golpes direcionados, como phishing, vishing, smishing e outras campanhas personalizadas que aumentam a taxa de sucesso das fraudes.
  • Informações pessoais sensíveis, como nome completo, documento de identidade, data de nascimento e endereço. Combinados, esses dados facilitam fraudes de identidade e ataques muito mais convincentes.
  • Dados financeiros, como informações de cartões de crédito ou carteiras digitais, que podem resultar em fraudes, compras não autorizadas e perdas financeiras diretas.
  • Acessos corporativos, que podem servir como porta de entrada para organizações, viabilizando roubo de informações, espionagem ou ataques de ransomware.

O ciclo de vida dos dados roubados

Quando um cibercriminoso obtém dados pessoais de suas vítimas, seja por meio de roubo direto ou de vazamentos, inicia-se um ciclo de vida bem definido que transforma essas informações em uma mercadoria altamente valorizada no submundo digital.

1. Roubo ou coleta

No caso do roubo de credenciais, um relatório recente da Verizon destaca a exploração de vulnerabilidades como uma das principais técnicas utilizadas. Ao mesmo tempo, a engenharia social segue desempenhando um papel central. Segundo o levantamento, 60% dos vazamentos envolvem algum elemento humano, como funcionários que caem em golpes de phishing.

Outro método recorrente é o uso de malware especializado, como os chamados infostealers, amplamente empregados para extrair credenciais, cookies de sessão e outras informações sensíveis de dispositivos comprometidos. De acordo com a Europol, apenas o malware Lumma foi responsável pela infecção de quase 400 mil computadores com Windows em todo o mundo.

Vale ressaltar que o roubo de dados nem sempre ocorre em tempo real. Uma parte significativa das informações pessoais em circulação tem origem em vazamentos antigos, que continuam a ser compartilhados por anos em fóruns clandestinos e mercados do cibercrime, onde são comprados, vendidos e reutilizados repetidamente.

2. Classificação e "limpeza" dos dados

Essa é uma etapa fundamental do processo, pois é nela que informações brutas e desorganizadas são transformadas em uma mercadoria valiosa, pronta para exploração. Os dados roubados passam por um processamento que busca extrair credenciais específicas e outras informações críticas. Em seguida, são organizados em arquivos estruturados, facilitando sua distribuição e comercialização.

Para aumentar o valor comercial, os dados são classificados de acordo com o tipo de serviço ao qual permitem acesso, como contas bancárias, redes sociais ou serviços de streaming. Já na fase de "limpeza", os cibercriminosos identificam alvos de maior valor, separando vítimas individuais de acessos corporativos ou organizacionais, que tendem a ser mais lucrativos.

3. Enriquecimento

Essa etapa envolve a combinação de diferentes fontes de dados para criar perfis muito mais detalhados das vítimas. O objetivo é construir "narrativas de fraude" mais convincentes e eficazes. Para isso, os cibercriminosos buscam coletar e correlacionar informações como interesses pessoais, conexões sociais, endereços residenciais ou escolares, além de dados de familiares e amigos.

Segundo a Verizon, 54% das vítimas de ransomware analisadas em 2024 tinham seus domínios associados a registros de infostealers ou a mercados de credenciais. Esse dado reforça que os atacantes não se limitam ao roubo isolado de informações, mas realizam a correlação desses dados com bancos de dados corporativos, ampliando o potencial de exploração e impacto dos ataques.

4. Venda, revenda e troca

Nesta fase, os dados deixam de ser um saque bruto e passam a ser tratados como uma mercadoria pronta para circulação em mercados da dark web e fóruns clandestinos.

Nesse ecossistema, atuam corretores especializados que empacotam e comercializam diferentes tipos de ativos, desde registros brutos provenientes de infostealers até listas validadas de cartões de crédito e acessos iniciais a redes corporativas. Como será abordado a seguir, o valor dessas informações varia conforme o setor afetado, o porte da organização, sua receita e o grau de exclusividade da oferta.

5. Exploração e uso criminoso

Esta é a etapa final do processo, na qual as informações roubadas se transformam em uma arma concreta.

No contexto de ataques de ransomware, os dados são utilizados como instrumento de pressão para a exigência de resgates, sob a ameaça de divulgação de informações confidenciais. Além disso, essas informações podem ser exploradas para fins de espionagem, criação de identidades falsas usadas em esquemas de recrutamento fraudulento e práticas de doxxing, ou seja, a exposição pública de dados privados com o objetivo de coagir ou humilhar as vítimas em tentativas de extorsão.

Em ambientes corporativos, os dados também viabilizam a movimentação lateral dentro das redes, permitindo que os atacantes ampliem o comprometimento de sistemas e atinjam infraestruturas críticas.

Um ecossistema com especialistas e preços de mercado

Todas essas etapas dão forma a um ecossistema complexo e bem estruturado, com plataformas dedicadas a transações ilícitas, especialistas em diferentes funções e preços definidos de acordo com a oferta e a demanda.

Plataformas

Entre os principais ambientes utilizados para a compra e venda de dados roubados estão os mercados da dark web e os fóruns clandestinos. Enquanto alguns sites funcionam como vitrines para a divulgação de vazamentos, outros são especializados na comercialização de identidades roubadas e dados de login.

Além disso, cibercriminosos recorrem a aplicativos de mensagens com criptografia de ponta a ponta, como o Telegram, para negociar transações, distribuir registros de informações roubadas e compartilhar dados obtidos por meio de infostealers.

Há ainda plataformas automatizadas voltadas à venda em larga escala de dados de cartões de crédito comprometidos. Nesses ambientes, os compradores podem pesquisar listas disponíveis e realizar aquisições de forma imediata, sem a necessidade de interação direta com um vendedor humano.

Catálogos

As informações roubadas não são apenas coletadas e classificadas, mas também comercializadas de forma organizada, por meio de catálogos estruturados de acordo com o tipo de dado e sua utilidade criminosa.

Entre os produtos mais comuns e dinâmicos estão os registros provenientes de infostealers, geralmente oferecidos em pacotes contendo dados extraídos de dispositivos infectados. Esses conjuntos podem incluir credenciais de aplicativos, cookies de navegador, histórico de navegação e outras informações sensíveis. Para facilitar a comercialização, os dados costumam ser categorizados por serviço, como redes sociais, plataformas de jogos ou serviços de streaming.

Também existem catálogos voltados ao chamado acesso inicial a redes corporativas ou governamentais. Esses pacotes oferecem credenciais válidas para VPNs, dispositivos de rede, firewalls e ambientes em nuvem, normalmente acompanhados de detalhes como o setor da organização comprometida, seu porte, receita estimada e localização geográfica.

Por fim, há bancos de dados dedicados exclusivamente a informações financeiras e dados pessoais utilizados em campanhas de phishing, que servem como matéria-prima para golpes cada vez mais direcionados e convincentes.

Perfis especializados

Esse cenário levou à profissionalização de diferentes perfis, que hoje desempenham papéis específicos e essenciais dentro do ecossistema do cibercrime.

  • Agentes de acesso inicial: especializados em obter e comercializar acessos a redes corporativas ou governamentais, muitas vezes explorando credenciais comprometidas ou vulnerabilidades conhecidas.
  • Corretores de dados: responsáveis pela venda de bancos de dados vazados ou roubados, com foco na exclusividade, no volume e no valor estratégico das informações.
  • Especialistas em extração e análise: segundo a Europol, há indícios da atuação de profissionais dedicados a processar registros provenientes de infostealers para extrair credenciais específicas e informações críticas, oferecendo esse serviço a outros cibercriminosos.
  • Operadores de infostealers: desenvolvem, mantêm e distribuem softwares maliciosos voltados à coleta de dados. Nesse grupo também estão os chamados droppers, responsáveis por entregar a carga maliciosa ao dispositivo da vítima, frequentemente burlando mecanismos de segurança.
  • Grupos e afiliados de ransomware: utilizam acessos previamente adquiridos para implantar malware que criptografa dados ou para extorquir organizações, ameaçando divulgar informações confidenciais.

Preço das informações roubadas

Mas quanto valem essas informações nos mercados clandestinos? O preço varia conforme diferentes fatores. De um lado, a qualidade dos dados: informações atualizadas, válidas e verificadas tendem a valer mais do que dados desatualizados ou incorretos. De outro, como em qualquer mercado, o valor também é determinado pela oferta e pela demanda.

Ainda assim, estudos e análises de segurança permitem estimar faixas de preço praticadas para dados de pessoas físicas comuns. Entre os exemplos mais recorrentes estão:

  • Informações financeiras: números de cartões de crédito, contas bancárias e dados de PayPal, com valores que variam aproximadamente entre R$ 31 e R$ 520.
  • Credenciais de acesso: senhas de redes sociais, serviços de streaming e e-mail, geralmente vendidas por cerca de R$ 5 a R$ 390.
  • Documentos de identidade: carteiras de identidade, passaportes e carteiras de motorista, com preços que costumam variar de R$ 26 a R$ 130.
  • Histórico médico: registros de saúde e informações de seguros, comercializados por valores que vão de R$ 5 a R$ 156.

O que os cibercriminosos fazem com as informações roubadas

Nesse ecossistema, as informações cumprem uma função dupla: podem servir como uma chave direta para a execução de ataques ou como uma ponte para dados ainda mais sensíveis e de alto impacto.

A seguir, apresentamos um detalhamento de como os cibercriminosos utilizam as informações roubadas:

Venda e troca de pacotes de dados

Os dados roubados raramente são usados de forma isolada. Em geral, eles são agrupados em pacotes e vendidos ou trocados em fóruns clandestinos. Endereços de e-mail, senhas, dados de cartões e outras informações se tornam a "matéria-prima" adquirida por diferentes agentes mal-intencionados, conforme seus objetivos, como fraude, phishing ou acesso a ambientes corporativos.

Comprometimento de contas pessoais

Com uma única credencial válida, os criminosos podem escalar rapidamente para outros serviços, explorando o hábito comum de reutilização de senhas. Assim, conseguem assumir o controle de redes sociais, realizar compras indevidas ou usar esses perfis como ponto de partida para novos golpes.

Fraude e roubo de identidade

Os dados roubados possibilitam compras não autorizadas, assinaturas fraudulentas e outros tipos de golpes, inclusive direcionados aos contatos da vítima, com os criminosos se passando por ela.

Phishing e engenharia social altamente personalizados

Com informações reais em mãos, os e-mails de phishing deixam de ser genéricos e passam a ser altamente personalizados. Esse nível de detalhamento e criação de perfil aumenta significativamente a taxa de sucesso dos ataques.

Acesso a organizações e ambientes corporativos

Quando as credenciais comprometidas pertencem a contas de trabalho, o impacto ultrapassa o âmbito individual e atinge a organização. Um único acesso pode permitir o movimento lateral na rede, o roubo de informações confidenciais, a espionagem ou ataques mais sofisticados contra a empresa.

Extorsão e ransomware

Ao obter informações sensíveis, os invasores podem avançar para a fase de extorsão, exigindo pagamentos para não divulgar os dados ou para restaurar sistemas. Em muitos casos, o roubo de dados é o ponto de partida para ataques de ransomware, cujos prejuízos vão além do aspecto técnico, afetando também a reputação, os aspectos legais e a saúde financeira da organização.

Atenção: os dados roubados ou vazados nem sempre são usados imediatamente

Além de todas as ações que os cibercriminosos podem realizar quando têm dados em mãos, o FBI alerta para outro cenário preocupante: os efeitos do roubo de dados podem ser duradouros. Isso porque os criminosos podem esperar meses ou até anos antes de explorar essas informações.

Esse risco se agrava pelo fato de que os dados comprometidos costumam incluir elementos que não mudam com o tempo, como nomes completos, números de identificação pessoal e datas de nascimento. Dessa forma, as informações mantêm seu valor por longos períodos.

Um exemplo concreto disso é um alerta emitido pelo escritório do FBI em Baltimore, que notificou, em 2025, mais de 700 mil entidades cujas informações foram potencialmente comprometidas desde 2021. O caso evidencia que a exploração dos dados pode ocorrer muito tempo após o vazamento inicial.

A prevenção é necessária

O ciclo que começa com o roubo de dados pessoais e culmina em fraudes deixa claro que essas informações se tornaram uma mercadoria de alto valor. Elas integram um ecossistema criminoso altamente organizado, no qual são processadas, enriquecidas e comercializadas como qualquer outro ativo. Compreender esse ciclo permite reconhecer que o vazamento de dados não é um evento isolado, mas o ponto de partida para uma série de possíveis abusos.

Diante dessa realidade, a prevenção deixa de ser uma recomendação abstrata e passa a ser uma necessidade concreta. Para os usuários, isso significa adotar hábitos básicos, porém consistentes; para as organizações, implica reconhecer que a proteção de dados vai além de um requisito técnico e se consolida como um pilar fundamental de confiança.

Em um cenário no qual informações pessoais podem ser facilmente convertidas em fraude, reduzir a exposição e antecipar o abuso é a única forma eficaz de interromper esse ciclo antes que ele se reinicie.