O meu email foi pirateado – o que devo fazer primeiro?

Se o seu email estiver comprometido, **é a emergência máxima**: o atacante pode repor todas as suas contas (bancárias, redes sociais, compras). Primeira ação: tente recuperar o acesso através do formulário de recuperação do fornecedor (Gmail, Outlook…). Se recuperar o acesso: mude já a palavra-passe, ative a 2FA, desligue as outras sessões, verifique se foram adicionadas regras de reencaminhamento (sinal de que o atacante está a espiar os seus emails). Se já não conseguir aceder: contacte com urgência o suporte do fornecedor com prova de identidade.

Como sei se a minha palavra-passe foi divulgada?

Vá a **[haveibeenpwned.com](https://haveibeenpwned.com)** – introduza o seu endereço de email para ver em que fugas de dados conhecidas a sua conta aparece. Este serviço acompanha mais de 12 mil milhões de contas comprometidas. Se o seu email aparecer, mude as palavras-passe de todas as contas associadas a esse endereço. Bónus: o Bitwarden Premium e o Proton Pass integram esta verificação diretamente no gestor, com alertas automáticos para novas fugas.

Preciso de pagar por um gestor de palavras-passe?

**Não, não para começar.** O Bitwarden oferece um plano totalmente gratuito: cofre ilimitado, sincronização em todos os seus dispositivos (móvel, PC, navegador), gerador de palavras-passe fortes. O Proton Pass também oferece um plano gratuito sólido. A versão paga (Bitwarden Premium a 10 $/ano, Proton Pass a 12 $/ano) acrescenta alertas automáticos de fuga, 2FA por hardware (YubiKey) e auditorias ao estado do cofre. Para a maioria dos utilizadores, a versão gratuita basta para eliminar o risco de reutilização de palavras-passe.

Devo avisar alguém se a minha conta foi pirateada?

Sim, em certos casos. **O seu banco**: se estiver afetada uma conta bancária ou de um serviço financeiro, ligue de imediato para o departamento antifraude. **Os seus contactos**: se o seu email ou conta de rede social enviou mensagens fraudulentas em seu nome, avise os seus contactos para não abrirem os links. **A sua entidade patronal**: se a conta pirateada dá acesso a recursos de trabalho.

A minha conta foi pirateada mas não reutilizei a palavra-passe – como é possível?

Vários cenários sem reutilização de palavra-passe: (1) **Phishing**: introduziu a palavra-passe num site falso parecido com o verdadeiro. (2) **Fuga do lado do serviço**: a base de dados do serviço foi comprometida com palavras-passe mal protegidas. (3) **Malware/keylogger**: software malicioso no seu dispositivo regista o que escreve. (4) **SIM-swapping**: o atacante transferiu o seu número de telefone para intercetar os códigos de recuperação por SMS. Solução a longo prazo: 2FA por aplicação (não SMS) + um gestor de palavras-passe que deteta sites de phishing.

A minha conta foi pirateada: o que fazer JÁ (guia passo a passo)

A sua conta acabou de ser pirateada. Ou acha que pode ter sido. De qualquer forma, a primeira regra é simples: não entre em pânico, aja por ordem. Cada minuto conta, mas os erros cometidos sob stress podem agravar as coisas.

Este guia dá-lhe a sequência exata de ações a tomar, na ordem certa e com as prioridades certas.

01 — Respire fundo. Eis o que vai acontecer nos próximos 10 minutos

Se a sua conta foi comprometida, o atacante tem provavelmente dois objetivos: apanhar dinheiro ou conteúdos e usar a sua conta como trampolim para atacar as suas outras contas. A boa notícia: pode cortar ambos rapidamente se agir agora – os passos prioritários abaixo demoram apenas alguns minutos.

Este guia segue uma lógica de triagem: tratamos primeiro do que limita o dano imediato, depois protegemos a longo prazo.

02 — Os primeiros 5 minutos: ações imediatas

Passo 1 — Mude a palavra-passe da conta pirateada

Se ainda tiver acesso à conta, vá imediatamente a Definições → Segurança → Mudar palavra-passe.

Use uma palavra-passe forte e única: pelo menos 16 caracteres, misturando letras, números e símbolos. Não use algo que use noutro lado – é precisamente essa reutilização que permite as invasões em cadeia. Use o nosso verificador de robustez de palavras-passe para verificar a nova palavra-passe antes de a guardar, e o nosso gerador de palavras-passe para criar uma que não tenha de inventar sozinho.

Se já não tiver acesso, clique em "Esqueci-me da palavra-passe" ou "Iniciar sessão de outra forma" e desencadeie uma reposição para o seu email de recuperação.

Passo 2 — Mude a palavra-passe do seu email principal

É muitas vezes o passo que as pessoas esquecem. Se um atacante controlar a sua caixa de entrada, pode desencadear reposições de palavra-passe em todas as suas contas – bancárias, redes sociais, Netflix, Amazon – a partir desse endereço. Mude a palavra-passe do seu email agora, antes de fazer qualquer outra coisa.

A sua nova palavra-passe de email tem de ser diferente da palavra-passe da conta pirateada e de todas as suas outras palavras-passe.

Passo 3 — Desligue todas as sessões ativas

Nas definições de segurança da conta comprometida, procure "Sessões ativas", "Dispositivos ligados" ou "Gerir sessões". Desligue todos os dispositivos exceto o seu. No Gmail: Definições → Segurança → Os seus dispositivos. No Facebook: Definições → Segurança → Sessões ativas.

Esta ação remove instantaneamente o atacante, mesmo que ainda tenha sessão iniciada com um token válido.

03 — Nos primeiros 30 minutos: reforce a segurança

Ative a 2FA na conta pirateada

A autenticação de dois fatores (2FA) significa que, mesmo que alguém saiba a sua palavra-passe, não consegue iniciar sessão sem o código adicional. Ative-a primeiro na conta pirateada, depois no seu email.

Use uma aplicação de autenticação, não SMS: os ataques de SIM-swapping permitem reencaminhar as suas mensagens para o atacante. Uma aplicação como o Google Authenticator ou o Bitwarden Authenticator gera os códigos localmente, sem passar pela rede telefónica.

Verifique as definições de recuperação

Certifique-se de que o atacante não mudou o seu endereço de email ou número de telefone de recuperação. Verifique também as regras de reencaminhamento de email (um atacante pode ter configurado uma regra para receber cópias de todos os seus emails sem que se aperceba).

Mude as palavras-passe das contas associadas

Se usou a mesma palavra-passe noutros sites (bancários, redes sociais, email de trabalho), mude-as agora. É o risco número um: uma única palavra-passe roubada compromete tudo o resto.

Verifique haveibeenpwned.com para ver se o seu email aparece em fugas de dados conhecidas.

04 — A solução duradoura: um gestor de palavras-passe

As invasões de contas não acontecem por acaso. A causa número um continua a ser a reutilização de palavras-passe: um site sofre uma fuga e todas as suas outras contas que usam a mesma palavra-passe ficam vulneráveis. A causa número dois: palavras-passe demasiado simples, fáceis de adivinhar ou de forçar por brute-force.

Um gestor de palavras-passe resolve permanentemente ambos os problemas: gera uma palavra-passe forte e única para cada site, guarda-a cifrada e preenche-a automaticamente. Só precisa de se lembrar de uma palavra-passe – a palavra-passe principal.

Bitwarden: gratuito, código aberto, auditado

O Bitwarden é a nossa principal recomendação por uma razão simples: o plano gratuito é completo e ilimitado (cofre ilimitado, sincronização em todos os seus dispositivos, gerador de palavras-passe). O código é aberto e foi auditado pela Cure53 em 2022 – qualquer pessoa pode verificar que faz o que afirma.

Para utilizadores atentos à privacidade, o Bitwarden Premium (10 $/ano) acrescenta alertas automáticos de fuga – é notificado no momento em que uma das suas palavras-passe surge numa nova fuga.

Consulte a nossa análise completa do Bitwarden 2026 para os detalhes técnicos.

Experimente o Bitwarden grátis →Plano gratuito · Cofre ilimitado · Código aberto, auditado pela Cure53→

Proton Pass: para o ecossistema da privacidade

Se já usa o Proton Mail ou o Proton VPN, o Proton Pass encaixa-se naturalmente nesse ecossistema. Plano gratuito disponível, com cifragem ponta a ponta dos metadados (ao contrário da maioria dos concorrentes, que apenas cifram as palavras-passe, não os URLs ou os nomes das contas).

O Proton Pass é particularmente indicado se quiser uma solução privacy-first com um fornecedor sediado na Suíça.

A nossa comparação Proton Pass vs Bitwarden ajuda-o a escolher consoante o seu perfil.

Experimente o Proton Pass →Plano gratuito · Cifragem E2EE dos metadados · Ecossistema Proton→

05 — Lista de verificação resumida

Eis as ações por ordem, para ir assinalando:

06 — Leituras adicionais

Melhor gestor de palavras-passe 2026 — o nosso ranking completo
Melhor aplicação de autenticação 2FA — Aegis, Google Auth, Bitwarden Authenticator comparados
Passkeys vs palavras-passe — a tecnologia que poderá substituir definitivamente as palavras-passe

A PwdFortress ganha uma comissão se subscrever o Bitwarden Premium ou o Proton Pass através das ligações deste artigo. Isto não altera o preço que paga nem o conteúdo editorial – as recomendações baseiam-se em funcionalidades documentadas e auditorias publicadas.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Proteja as suas contas → NordPassPalavras-passe fortes e únicas · scanner de fugas · plano gratuito→