Resposta curta

Muito mais seguro que texto puro em armazenamento em nuvem, mas muito menos seguro que backup físico offline. Segurança depende inteiramente da força da senha: 7z e VeraCrypt usam AES-256, que é matematicamente sólido, mas uma vez que um atacante tenha o arquivo criptografado, eles podem brute-forçar sua senha offline indefinidamente — sem rate limiting, sem throttle de login. Se sua senha é "aniversário + nome", cai em dias. Força aceitável é uma string aleatória de 20+ caracteres, e essa senha não pode viver na mesma nuvem.

A realidade do "brute-force offline"

O senso de segurança de muitas pessoas com arquivos criptografados vem da intuição errada: "sem a senha, nada abre". Isso é verdade se sua senha for forte. Mas a maioria das senhas não é aleatória de 256 bits — são misturas de 12-16 caracteres de palavras comuns e dígitos de aniversário.

O conceito chave é brute-force offline. Enquanto o arquivo criptografado fica no Google Drive, um atacante precisa comprometer a conta Google primeiro — e o Google tem 2FA, rate-limiting, e alertas de localização desconhecida. Mas uma vez que um atacante phisha as credenciais do Google ou sequestra um cookie (como aconteceu no breach LastPass de 2023), eles imediatamente baixam todos os arquivos suspeitos localmente.

Após download local, cracking é compute puro. Sem throttling, sem alertas. Uma única RTX 4090 rodando hashcat tenta milhões a dezenas de milhões de candidatos de senha por segundo. Uma senha fraca cai em horas.

O que "suficientemente forte" realmente significa

Para 7z AES-256 ser resistente a um atacante de nível state-actor: string aleatória de 20+ caracteres, sacada de um alfabeto de 70 caracteres. Isso dá aproximadamente 122 bits de entropia. Memorizar isso é impraticável para a maioria das pessoas — e anotar significa que agora você precisa proteger duas coisas. A abordagem de arquivo criptografado efetivamente reduz ao mesmo problema com o qual você começou.

A recomendação

Se você deve usar armazenamento em nuvem como uma camada de backup: use VeraCrypt com uma passphrase gerada como uma sequência Diceware de 7+ palavras. Não armazene a passphrase na mesma nuvem. Armazene em um dispositivo separado, idealmente em papel ou aço em uma localização física diferente. Para a maioria dos holders brasileiros, isso é mais complexidade operacional que aço-mais-cofre.

Leitura adicional: Cinco formas de armazenar uma seed phrase.