Dark Web: O Que É, Como Funciona e Por Que Seus Dados Aparecem Lá
Entenda as diferenças entre surface, deep e dark web. Saiba como dados vazados são vendidos, quanto custam e como monitorar se suas informações estão expostas.
Você já ouviu falar que dados pessoais são vendidos na dark web, mas provavelmente não sabe exatamente o que isso significa, como funciona ou como verificar se suas informações estão lá. A verdade é que, com 315 bilhões de tentativas de ataque cibernético no Brasil em apenas seis meses de 2025, a chance de seus dados terem sido expostos em algum momento é bastante real.
Em janeiro de 2026, o Google encerrou sua ferramenta gratuita de monitoramento da dark web, deixando milhões de usuários sem uma forma simples de verificar exposições. Isso tornou serviços independentes como o PassMonitor ainda mais relevantes para quem quer saber se seus dados estão circulando.
Surface web, deep web e dark web: entenda as diferenças
A internet que você usa no dia a dia é apenas uma pequena parte do que existe. Para entender onde seus dados podem parar, é importante conhecer as três camadas.
Surface web (web de superfície)
É a parte da internet acessível por buscadores como Google e Bing. Sites de notícias, redes sociais, lojas online, blogs. Representa apenas cerca de 5% a 10% de todo o conteúdo disponível na internet.
Deep web (web profunda)
São páginas que existem mas não são indexadas por buscadores. Exemplos: seu e-mail, extratos bancários, documentos em nuvem, sistemas internos de empresas. Você acessa essas páginas diariamente, mas elas não aparecem em buscas do Google. A deep web representa a maior parte da internet e não tem nada de ilegal.
Dark web (web escura)
É uma parte da deep web que só pode ser acessada com software específico, como o navegador Tor. A dark web oferece anonimato tanto para quem publica quanto para quem acessa. Isso atrai usos legítimos (comunicação segura para jornalistas e ativistas em países autoritários), mas também atividades ilegais, incluindo a venda de dados pessoais roubados.
| Camada | Acesso | Exemplos | Tamanho estimado |
|---|---|---|---|
| Surface web | Navegador comum + Google | Sites, redes sociais, lojas | 5-10% |
| Deep web | Login ou URL direta | E-mail, banco, nuvem | ~90% |
| Dark web | Navegador Tor | Fóruns, mercados anônimos | < 1% |
💡 Dica: deep web e dark web não são a mesma coisa. A deep web é inofensiva e você a usa todos os dias. A dark web é uma parcela muito pequena que exige ferramentas específicas de acesso.
Como seus dados vão parar na dark web
Existem vários caminhos pelos quais suas informações pessoais podem acabar em mercados da dark web.
Vazamentos de dados em empresas
Quando uma empresa sofre um ataque e seus bancos de dados são roubados, essas informações frequentemente são vendidas ou distribuídas gratuitamente em fóruns da dark web. O custo médio de um vazamento no Brasil em 2025 foi de R$ 7,19 milhões para as empresas, mas o impacto para os usuários cujos dados foram expostos pode durar anos.
Phishing e engenharia social
Credenciais roubadas por golpes de phishing são compiladas e revendidas. Em 2025, 80% dos e-mails de phishing já usavam IA, tornando os golpes mais convincentes. Para saber como identificar esses golpes, leia nosso guia sobre como identificar e-mails falsos e golpes de phishing.
Malware e infostealers
Programas maliciosos instalados em computadores e celulares capturam senhas, cookies de sessão, dados de cartão e outras informações armazenadas. Esses dados são enviados automaticamente para servidores controlados por criminosos.
Compra e venda entre criminosos
Dados vazados são reempacotados e revendidos diversas vezes. Um banco de dados roubado de uma empresa pode ser combinado com dados de outras fontes para criar pacotes mais completos e valiosos.
O que é vendido e quanto custa
Na dark web, dados pessoais são tratados como mercadorias com preços definidos pela oferta e demanda.
Tabela de preços estimados (2025-2026)
| Tipo de dado | Preço estimado |
|---|---|
| E-mail + senha | R$ 5 - R$ 25 |
| CPF + nome completo | R$ 15 - R$ 50 |
| Dados completos (fullz) | R$ 50 - R$ 300 |
| Cartão de crédito válido | R$ 30 - R$ 200 |
| Conta bancária com saldo | 10-30% do saldo |
| Selfie com documento | R$ 100 - R$ 500 |
| Prontuário médico | R$ 200 - R$ 1.000 |
| Acesso a e-mail corporativo | R$ 500 - R$ 5.000 |
⚠️ Atenção: "fullz" é o termo usado para um pacote completo de dados de uma pessoa, incluindo nome, CPF, data de nascimento, endereço, telefone, e-mail e, às vezes, dados financeiros. Com um fullz, um criminoso pode assumir sua identidade completamente.
Para entender como se proteger contra o roubo de identidade, veja nosso artigo sobre roubo de identidade digital.
Como verificar se seus dados estão na dark web
Você não precisa acessar a dark web para saber se seus dados estão lá. Existem serviços que fazem essa verificação de forma segura.
PassMonitor
O PassMonitor verifica gratuitamente se seu e-mail apareceu em vazamentos de dados conhecidos. O serviço consulta bases de dados de milhões de vazamentos e informa quais serviços foram comprometidos e que tipo de informação foi exposta.
Google acabou com o monitoramento gratuito
Até janeiro de 2026, o Google oferecia monitoramento básico da dark web integrado às contas Google. A empresa encerrou esse recurso, informando que a funcionalidade estaria disponível apenas para assinantes do Google One. Essa mudança deixou milhões de usuários sem uma ferramenta que muitos sequer sabiam que existia.
Isso reforça a importância de usar serviços independentes e especializados para monitorar suas exposições.
Have I Been Pwned
O serviço internacional Have I Been Pwned (HIBP) também permite verificar e-mails em vazamentos. O PassMonitor utiliza dados do HIBP como uma de suas fontes, adicionando contexto e orientações em português.
Mitos e verdades sobre a dark web
Existem muitos equívocos sobre a dark web. Vamos separar fato de ficção.
Mito: acessar a dark web é crime
Verdade: acessar a dark web não é ilegal no Brasil. O que é ilegal são atividades criminosas realizadas nela, como comprar dados roubados, contratar serviços ilegais ou distribuir conteúdo ilícito.
Mito: só hackers têm dados na dark web
Verdade: qualquer pessoa que tenha conta em serviços online pode ter dados expostos. Basta que uma das empresas onde você tem cadastro sofra um vazamento. Considerando que 40% dos brasileiros já foram alvo de tentativas de fraude, a probabilidade é alta.
Mito: é possível remover seus dados da dark web
Verdade: uma vez que dados são publicados na dark web, não há como removê-los. Eles podem ser copiados e redistribuídos infinitamente. O foco deve ser em mitigar os danos: trocar senhas, ativar 2FA e monitorar uso indevido.
Mito: a dark web é enorme e sofisticada
Verdade: a dark web é relativamente pequena comparada à internet convencional. Muitos sites lá são instáveis, lentos e saem do ar frequentemente. Não é a superestrutura que filmes e séries retratam.
Mito: VPN protege seus dados de aparecer na dark web
Verdade: uma VPN protege sua conexão, mas não impede que seus dados vazem quando uma empresa onde você tem conta é atacada. A proteção real vem de senhas únicas, 2FA e monitoramento.
O que fazer se seus dados estão na dark web
Se você descobriu que suas informações foram expostas, siga estas etapas:
Ações imediatas
✅ Troque a senha do serviço comprometido
✅ Troque senhas iguais em outros serviços
✅ Ative verificação em dois fatores em todas as contas (veja nosso guia completo de autenticação em dois fatores)
✅ Monitore extratos bancários e cartões de crédito
✅ Consulte o Registrato do Banco Central para verificar aberturas de conta
✅ Considere congelar seu crédito nos birôs
Para um passo a passo completo, leia nosso guia sobre o que fazer quando seus dados vazam.
Monitoramento contínuo
Não basta verificar uma única vez. Novos vazamentos acontecem constantemente. Crie o hábito de:
- Verificar seu e-mail no PassMonitor periodicamente
- Manter alertas ativos nos serviços que você usa
- Revisar suas contas e senhas a cada três meses
- Ficar atento a notícias sobre vazamentos em serviços que você utiliza
O papel das empresas na proteção dos seus dados
Você pode tomar todas as precauções possíveis, mas se uma empresa onde você tem cadastro não protege seus dados adequadamente, eles podem acabar na dark web por falha dela.
O que a LGPD exige das empresas
A Lei Geral de Proteção de Dados obriga empresas a adotar medidas técnicas e administrativas para proteger dados pessoais. Quando ocorre um vazamento, a empresa deve comunicar a ANPD e os titulares afetados. Multas podem chegar a R$ 50 milhões por infração, com percentual de 2% a 10% do faturamento.
O STJ já decidiu que o vazamento de dados, mesmo não sensíveis, não isenta a empresa de responsabilidade. Isso significa que você tem direito a reparação mesmo que os dados vazados sejam "apenas" nome e e-mail. Para entender seus direitos em detalhes, leia nosso artigo sobre a LGPD e seus direitos como consumidor.
Como cobrar transparência
Você pode exercer seus direitos como titular de dados:
✅ Solicitar quais dados a empresa tem sobre você
✅ Pedir a exclusão de dados desnecessários
✅ Exigir informações sobre incidentes de segurança que envolvam seus dados
✅ Registrar reclamação na ANPD se a empresa não cooperar
Grandes vazamentos recentes no Brasil
O Brasil viveu uma sequência de megavazamentos que expuseram dados de praticamente toda a população adulta. CPFs, scores de crédito, fotos de documentos e dados financeiros foram distribuídos gratuitamente ou vendidos em fóruns da dark web. Esses dados continuam circulando e sendo usados para fraudes anos depois das exposições originais.
Isso reforça a necessidade de monitoramento contínuo, já que dados como CPF e data de nascimento não podem ser alterados como uma senha.
Como reduzir sua exposição
Você não pode controlar a segurança das empresas onde tem cadastro, mas pode reduzir o impacto de possíveis vazamentos.
Use informações diferentes para serviços diferentes
- Mantenha um e-mail exclusivo para serviços financeiros
- Use outro e-mail para cadastros em lojas e serviços menos críticos
- Nunca use seu e-mail profissional para cadastros pessoais
Minimize dados compartilhados
- Preencha apenas campos obrigatórios em cadastros
- Não forneça CPF quando não for exigido por lei
- Revise e delete contas em serviços que você não usa mais
Proteja suas credenciais
- Use senhas únicas para cada serviço
- Adote um gerenciador de senhas para organizar todas as suas credenciais
- Ative 2FA em todas as contas que oferecem essa opção
Para aprender a criar senhas realmente seguras, leia nosso guia definitivo de proteção de senhas.
Perguntas frequentes
Quanto tempo meus dados ficam na dark web?
Indefinidamente. Uma vez publicados, dados podem ser copiados e redistribuídos por anos. Vazamentos de 2015 ainda circulam em 2026.
A polícia consegue rastrear criminosos na dark web?
Sim, embora seja mais difícil. Operações internacionais já derrubaram grandes mercados ilegais, como Silk Road, AlphaBay e Hydra. A Polícia Federal brasileira também realiza operações contra crimes cibernéticos.
Devo acessar a dark web para verificar meus dados?
Não. Além de desnecessário (serviços como o PassMonitor fazem essa verificação de forma segura), acessar a dark web sem conhecimento técnico pode expor você a riscos adicionais como malware.
Quanto custa monitorar a dark web?
Existem opções gratuitas, como o PassMonitor, que verificam se seu e-mail apareceu em vazamentos conhecidos. Serviços premium de monitoramento contínuo e alertas em tempo real costumam custar entre R$ 10 e R$ 50 por mês.
🔒 Descubra se seus dados já estão expostos. Com o fim do monitoramento gratuito do Google, é ainda mais importante verificar por conta própria. Consulte gratuitamente no PassMonitor.
Conclusão
A dark web não é um monstro misterioso, mas um ambiente real onde dados pessoais roubados são negociados diariamente. Saber como seus dados podem acabar lá é o primeiro passo para se proteger.
A melhor defesa é uma combinação de monitoramento regular, senhas únicas, verificação em dois fatores e atenção ao compartilhamento de informações pessoais. Comece verificando agora se seu e-mail já apareceu em algum vazamento e tome as medidas necessárias. Para uma estratégia completa de proteção, consulte nosso guia definitivo de proteção de senhas.