Ao contrário da crença popular, grande parte da dark web não é o antro de iniquidade digital que alguns comentaristas descrevem. De fato, há muitos sites e fóruns legítimos que oferecem conteúdo e serviços com maior privacidade, ajudando as pessoas a evitar censura e opressão. No entanto, ela também é um ímã para cibercriminosos, que podem frequentar fóruns, mercados clandestinos e outros sites sem medo de serem rastreados ou desmascarados.

Muitos desses sites existem para facilitar o comércio de informações pessoais e financeiras roubadas. Com frequência, esses dados são comprados e vendidos junto com outros itens ilegais, como narcóticos, ferramentas de hacking e exploits. Diante disso, o que fazer se você descobrir que seus dados estão à venda em um desses sites?

figure 1 (1)
Imagem 1. Informações à venda na Dark Web.

Como seus dados foram parar na dark web?

Existem várias maneiras pelas quais informações de identificação pessoal, credenciais de acesso e dados financeiros podem acabar nas mãos de cibercriminosos:

  • Vazamentos de dados envolvem o roubo em larga escala de informações de clientes e funcionários, que frequentemente acabam à venda na dark web. Os Estados Unidos caminhavam para um ano recorde nesse tipo de incidente, com 1.732 vazamentos registrados apenas no primeiro semestre de 2025, resultando em mais de 165,7 milhões de notificações de incidentes deste tipo. Hoje, fazemos negócios on-line com tantas organizações que o risco de sermos afetados por um vazamento cresce constantemente. A maioria das pessoas já recebeu pelo menos um e-mail desse tipo ao longo da vida. Esse cenário se agrava com a proliferação de ataques de ransomware de dupla extorsão, nos quais os dados são roubados para pressionar a organização vítima a pagar o resgate.
  • O malware infostealer faz jus ao nome. Ele se tornou extremamente popular com a disseminação de kits as a service, como RedLine e Lumma Stealer. Esse tipo de malware pode ser ocultado em aplicativos para dispositivos móveis que parecem legítimos, em páginas da web, anúncios maliciosos e links ou anexos de phishing, entre outros vetores. As informações coletadas são então agregadas por cibercriminosos e vendidas na dark web. Em muitos casos, são roubadas tanto as credenciais quanto os cookies de login, o que permite aos criminosos contornar até mesmo a autenticação multifator (MFA).
  • Phishing sempre foi uma forma popular de roubar informações das vítimas. No entanto, o avanço das ferramentas de inteligência artificial generativa (GenAI) facilitou a escalabilidade desses ataques, permitindo maior personalização e o uso de idiomas locais com alto nível de precisão, o que aumenta significativamente as chances de sucesso. Se você clicar inadvertidamente e inserir seus dados em um site de phishing, essas informações podem acabar sendo vendidas na dark web.
  • Vazamentos acidentais são ocorrências comuns na internet, muitas vezes causadas por configurações incorretas de sistemas em nuvem, como a ausência de exigência de senha para acessar bancos de dados on-line. Isso pode deixar informações expostas a qualquer pessoa que saiba onde procurar ou que esteja ativamente buscando instâncias mal configuradas. Se permanecer aberto por tempo suficiente, um banco de dados pode ser copiado, roubado e vendido na dark web. Além disso, cibercriminosos podem excluir o banco de dados original como forma de extorquir a organização vítima.
  • Ataques à cadeia de suprimentos são semelhantes aos vazamentos de dados tradicionais, mas, nesse caso, não é a empresa com a qual você compartilhou suas informações que é comprometida, e sim um fornecedor ou parceiro comercial. Essas organizações têm permissão para acessar e usar os dados, mas, em geral, não adotam uma postura de segurança tão robusta. Por isso, tornam-se alvos interessantes para cibercriminosos, já que um único ataque pode dar acesso a informações de diversos clientes corporativos. Em alguns casos, esses fornecedores são provedores de tecnologia, como a Progress Software. Em 2023, a exploração de uma vulnerabilidade de zero-day no popular software de transferência de arquivos MOVEit comprometeu milhares de organizações e mais de 90 milhões de clientes indiretos. Corretores de dados representam outro ponto fraco potencial: embora coletem informações de forma legal, por meio de raspagem e rastreamento da web, nem sempre conseguem protegê-las adequadamente.
Picture2 (1)
Imagem 2. Contas do PayPal e de cartões de crédito à venda, identificadas pela equipe de pesquisa da ESET.

O que cibercriminosos querem?

O principal objetivo dos cibercriminosos é obter suas informações financeiras como números de contas bancárias, dados de cartões e credenciais de acesso, além de informações de identificação pessoal. Com esses dados, eles podem sequestrar contas para desviar fundos e informações ou acessar cartões já armazenados. Também podem reutilizar as informações pessoas em novas campanhas de phishing, voltadas à obtenção de mais dados financeiros. Outra possibilidade é o uso dessas informações em fraudes de identidade, como a abertura de novas linhas de crédito, a obtenção de atendimento médico ou o acesso indevido a benefícios sociais.

Dados biométricos são especialmente sensíveis, pois não podem ser "reemitidos" nem redefinidos como uma senha. Já tokens e cookies de login também são altamente valiosos para cibercriminosos, pois podem permitir o contorno da autenticação multifator (MFA).

As consequências financeiras podem ser severas. Segundo um relatório recente do Identity Theft Resource Center, 20% das vítimas de fraude nos Estados Unidos em um único ano relataram perdas superiores a US$ 100 mil, enquanto mais de 10% afirmaram ter perdido pelo menos US$ 1 milhão.

O que fazer se você encontrar suas informações na dark web?

Se você for alertado sobre o aparecimento de informações pessoais e/ou financeiras na dark web, adote as seguintes medidas, conforme o tipo de dado exposto:

  • Altere imediatamente todas as senhas comprometidas e utilize apenas credenciais fortes e exclusivas, preferencialmente armazenadas em um gerenciador de senhas.
  • Ative a autenticação multifator (MFA) em todas as contas e dê preferência a aplicativos autenticadores ou chaves de segurança físicas, em vez de SMS, que pode ser interceptado.
  • Faça logout de todos os dispositivos para impedir que criminosos utilizem cookies de login roubados.
  • Entre em contato com seu banco, solicite o bloqueio dos cartões e peça a reemissão.
  • Congele seu crédito junto às principais agências de proteção ao crédito, impedindo a abertura de novas linhas de crédito em seu nome.
  • Realize uma varredura completa em seus computadores e dispositivos em busca de malware do tipo infostealer.
  • Denuncie o vazamento às autoridades competentes. No Brasil, envie uma denúncia ou petição como titular dos dados diretamente pelo sistema de requerimentos da Autoridade Nacional de Proteção de Dados (ANPD), usando sua conta GOV.BR.

Medidas de longo prazo para manter suas informações de identificação pessoal seguras

Depois que a situação se estabilizar, há várias ações que você pode adotar para reduzir o risco de que informações confidenciais acabem na dark web. Considere o uso de serviços como o "Ocultar Meu Email" (no caso do Iphone) para diminuir a quantidade de dados pessoais armazenados por empresas. Também é importante monitorar regularmente atividades suspeitas em suas contas bancárias. Sempre que possível, finalize compras como convidado e evite salvar dados de cartões ao comprar em sites de terceiros.

Além disso, utilizar um software de segurança confiável em todos os seus dispositivos e computadores ajuda significativamente a reduzir o risco de infecções por malware do tipo infostealer e ataques de phishing. Faça download apenas de aplicativos em lojas oficiais e desconfie de e-mails, mensagens de texto ou contatos em redes sociais não solicitados que contenham links ou anexos.

Reduza a quantidade de informações acessíveis a corretores de dados (empresas que coletam, agregam, analisam e comercializam informações pessoais de indivíduos) configurando suas contas em redes sociais como "privadas". Dê preferência a serviços de comunicação criptografados, bem como a navegadores e mecanismos de busca com foco em privacidade. Também é recomendável solicitar a exclusão de seus dados com base no "direito ao esquecimento" junto a corretores de dados, seja diretamente ou com o apoio de serviços especializados nesse tipo de solicitação.

Por fim, alguns produtos e serviços de proteção de identidade, como o Have I Been Pwned, podem monitorar a dark web em busca de seus dados, verificando se eles já foram comprometidos ou alertando quando alguma informação pessoal aparecer à venda. Caso haja uma correspondência, você ganha tempo para cancelar cartões, alterar senhas e adotar outras medidas preventivas.

O vazamento de informações pessoais e dados de login pode ser emocionalmente desgastante e financeiramente prejudicial. Além disso, a reutilização de senhas em contas pessoais e profissionais pode afetar negativamente sua carreira, caso criminosos consigam acessar recursos corporativos. No fim das contas, todos precisamos adotar uma postura proativa para tornar nossa vida digital mais segura.