Quase metade dos emails mundiais é spam: o custo oculto da caixa de entrada

A sua caixa de entrada pode parecer apenas inconveniente, mas os números contam uma história diferente. Em 2025, quase metade de todos os emails enviados mundialmente foi classificado como spam, 44,99% do tráfego global, segundo dados da Kaspersky. Isto significa que, de cada 10 emails que circulam pela internet, cerca de 4 ou 5 são indesejados, potencialmente perigosos, ou ambos.

O spam custou às empresas americanas cerca de 20,5 mil milhões de dólares anuais em perda de produtividade, com cada trabalhador a perder o equivalente a dois dias de trabalho por ano só a filtrar mensagens indesejadas. E com a inteligência artificial a tornar os ataques de phishing cada vez mais sofisticados, o problema está longe de diminuir.

O que dizem os números: 376 mil milhões de emails por dia

Em 2025, estima-se que 376,4 mil milhões de emails circulam diariamente pela internet, número que deve chegar aos 392,5 mil milhões em 2026. Deste volume colossal, a Kaspersky identificou que 144 milhões de anexos maliciosos ou potencialmente indesejados foram detetados ao longo de 2025, representando um aumento de 15% face ao ano anterior.

Esta tendência ascendente é fruto da profissionalização do cibercrime, que transformou o spam numa indústria com cadeias de fornecimento, modelos de negócio e infraestruturas que rivalizam com setores empresariais legítimos. O custo anual global do cibercrime deve atingir os 10,5 biliões de dólares em 2025, e o email continua a ser o principal vetor de ataque.

Geografia do spam: onde nascem as ameaças

A região Ásia-Pacífico liderou as deteções de antivírus de email em 2025, com 30% do total, seguida pela Europa (21%) e América Latina (16%). A China registou a maior taxa de anexos maliciosos (14% das deteções), seguida da Rússia (11%), México, Espanha (ambos com 8%) e Turquia (5%).

Curiosamente, os Estados Unidos e a China empatam como os maiores emissores de spam, cada um gerando aproximadamente 7,8 mil milhões de emails indesejados diariamente. Este facto sublinha que mesmo países com legislação forte de proteção de dados continuam a ser fontes massivas de spam, evidenciando que a legislação sozinha não resolve o problema.

A anatomia moderna do spam: muito além do príncipe nigeriano

Os dias dos emails mal escritos com pedidos absurdos já lá vão. O spam de 2026 é sofisticado, personalizado e perigosamente credível.

Tipos de spam mais comuns

Os dados revelam que marketing e publicidade dominam com 36% de todo o spam, frequentemente promovendo produtos falsos ou serviços fraudulentos. Seguem-se conteúdo adulto (31,7%), assuntos financeiros (26,5%)como alertas bancários falsos ou ofertas de empréstimo fraudulentas e fraudes diretas (2,5%). Apesar de representarem apenas uma pequena fatia, 73% destes 2,5% envolvem phishing ou roubo de identidade, onde basta um único clique para perder dinheiro, dados críticos ou a própria identidade.

Táticas emergentes identificadas pela Kaspersky

O relatório da Kaspersky identifica várias tendências persistentes que se prevê mantenham-se em 2026. Uma das mais preocupantes é a combinação de múltiplos canais de comunicação. Os atacantes já não se limitam ao email, incentivando vítimas a mudarem para aplicações de mensagens ou a telefonarem para números fraudulentos, dificultando o rastreamento e aumentando a eficácia dos golpes.

Outra tática em ascensão envolve técnicas de evasão sofisticadas. Os atacantes recorrem a códigos QR incorporados no corpo do email ou em anexos PDF, ocultando links de phishing e encorajando os utilizadores a escaneá-los em dispositivos móveis, onde as medidas de segurança são frequentemente mais fracas que em computadores corporativos.

Particularmente insidioso é o envio fraudulento através de plataformas legítimas. Especialistas da Kaspersky detetaram táticas que exploram funcionalidades de criação de organizações e convites de equipas da OpenAI para enviar emails de spam a partir de endereços legítimos da OpenAI, enganando utilizadores a clicarem em links fraudulentos. Além disso, esquemas de phishing baseados em calendários, originados no final de 2010, ressurgiram em 2025 com foco em utilizadores corporativos.

Inteligência artificial: a nova arma do phishing

Se há um fator que mudou fundamentalmente o panorama do spam, é a inteligência artificial generativa. O FBI emitiu avisos formais de que criminosos estão a usar IA para orquestrar campanhas de phishing altamente direcionadas, produzindo mensagens personalizadas para cada destinatário com gramática e estilo perfeitos.

Os números são alarmantes. Entre setembro de 2024 e fevereiro de 2025, 82,6% dos emails de phishing analisados continham conteúdo gerado por IA, segundo o relatório da KnowBe4. Investigadores de segurança reportam um aumento de 1.265% nos ataques de phishing ligados a tendências de IA generativa desde 2023.

A massificação da IA generativa amplificou significativamente esta ameaça, permitindo aos atacantes criar mensagens de phishing convincentes e personalizadas em larga escala com mínimo esforço, adaptando automaticamente o tom, a linguagem e o contexto aos alvos específicos – Roman Dedenok, especialista anti-spam da Kaspersky

Como nos protegemos: defesas em evolução

Perante esta escalada de sofisticação, as defesas tradicionais como filtros de spam estáticos e deteção baseada em assinaturas, mostram-se cada vez mais inadequadas. A Kaspersky recomenda uma abordagem em camadas:

Para utilizadores individuais

Tratar com desconfiança convites não solicitados de qualquer plataforma, mesmo que pareçam provenientes de fontes confiáveis. Verificar cuidadosamente os URLs antes de clicar, especialmente após escanear códigos QR, sempre confirmar o URL apresentado após o scan.

Nunca ligar para números de telefone indicados em emails suspeitos. Se for necessário contactar o apoio de um serviço, procurar o número na página oficial desse serviço, não no email recebido.

Para organizações

Implementar soluções de segurança robustas, com mecanismos de defesa em múltiplas camadas potenciados por algoritmos de aprendizagem automática. Garantir que todos os dispositivos dos colaboradores, incluindo smartphones, estão equipados com software de segurança eficaz. Dispositivos móveis são frequentemente o elo mais fraco na cadeia de segurança.

Realizar formações regulares e contínuas sobre as técnicas mais recentes de phishing. A investigação mostra que organizações com formação contínua veem taxas de clique em phishing caírem para apenas 1,5%, enquanto aquelas que dependem de formação anual não veem melhorias significativas sobre populações não treinadas.

O futuro: a caixa de entrada como campo de batalha

As projeções para 2026 não são tranquilizadoras. Espera-se que o volume de spam aumente, potencialmente atingindo 58 mil milhões de emails indesejados por dia dentro de quatro anos. A IA continuará a ser a força motriz desta escalada, por exemplo com fraudes por voz deepfake que se tornaram operacionais. Os ataques multi-canal (email, SMS, chamadas de voz e até vídeos deepfake) tornar-se-ão a norma, enganando até funcionários treinados.

A sua caixa de entrada é agora um campo de batalha digital onde quase metade das mensagens não são o que parecem. Com 44,99% do tráfego global classificado como spam e custos económicos, esta não é uma ameaça que possa ser ignorada. Organizações e indivíduos que não adaptarem as suas defesas encontrar-se-ão cada vez mais vulneráveis. A pergunta não é se será atacado; é quando e se estará preparado.