HACKERS, CANGAÇEIROS E SEGURANÇA DIGITAL

Os constantes acidentes de segurança digital, fazendo empresas e cidadãos de vítima, tem despertado inúmeras reflexões, colocando a segurança digital como ponto de partida de qualquer projeto de digitalização.

Um recente artigo, da Dra. Ana Carolina Castro da Cruz e Solano de Camargo, publicado no Jornal, Estadão, abordava a dualidade em que vemos os hackers, que bem poderiam ser comparados a dualidade cultural receptiva dos cangaceiros.

Onde ela assim aborda: “A literatura histórica é pródiga em considerar certas figuras ora como heróis, ora como bandidos. Este é o caso de Lampião e seus cangaceiros, que para os amigos deixava de agir em certos territórios, fornecia homens quando necessário, vingava-se de seus inimigos e fazia outros serviços. Entre cangaceiros e policiais igualmente violentos, os sertanejos se viam divididos, por isso Lampião era considerado por muitos um herói.

A pandemia da covid-19 impulsionou uma verdadeira revolução digital, transformando completamente a vida das pessoas ao redor do mundo, que se viram obrigadas a migrar desde suas atividades rotineiras, como um happy hour ou mesmo reuniões importantes, para o ambiente digital, o que acabou ocasionando, também, o aumento significativo de ciberataques.

Os ataques de ransomware durante a pandemia têm sido um dos maiores problemas de segurança na internet já enfrentados por organizações e governos, em todo o mundo. Ransomware é um tipo de software malicioso, malware, que criptografa arquivos e documentos em qualquer dispositivo, desde um único laptop até uma rede inteira de equipamentos, incluindo servidores. Na maioria das vezes, as vítimas têm poucas opções: pagar resgate aos criminosos; restaurar os arquivos a partir de backups; contratar caríssimos serviços antihackers; ou, na pior das hipóteses, começar tudo do zero.

É forçoso reconhecer que os ataques cibernéticos não são simples ilícitos criminais, mas representam ataques à segurança nacional, de alcance geopolítico. Os indivíduos por trás dos ataques moram em algum lugar, onde normalmente gastam parte de seus ganhos ilícitos, embora a maioria dos Estados acusados de abrigar os hackers negue incentivar ou promover esses ataques, como é o caso da Rússia ou da Coreia do Norte.”

O fato é que segurança passou a ser o grande desafio nesse mundo digital, onde milhões de dados circulam o tempo todo e cada vez de uma forma precisa, cada vez circula mais na internet mais dados que revelam nossa intimidade, nossos segredos, sigilos profissionais, ou não, com a quantidade de dados disponível na internet, aumenta também a facilidade para que criminosos façam desses dados o seu objeto de crime.

Seus dados são o novo petróleo e o furto desses dados passa a ser o novo crime. Logo, os cuidados para o não vazamento de dados e proteção multiplicam-se, não só pela sua necessidade, mas principalmente pelo valor que esses dados passarão a ter no mercado.

O crime, como quase tudo, não deixa de ser uma atividade financeira nacional, daqueles que sabendo dos riscos que a lei imputa a tal conduta resolvem mesmo assim assumir o risco de entrarem para a atividade, ele pode ser sonegação, pode ser desvio de verba pública, pode ser corrupção.

Os crimes digitais não fogem à regra, a grande diferença é que ao invés de colocar um revólver na cabeça de alguém, os crimes digitais são silenciosos e fazem um estrago assustador. Só para se ter uma ideia, nesse exato momento 50 mil contas de Instagram, em média, são invadidas por dia, é um número impressionante, mas isso dá uma ideia da quantidade de criminosos que conseguem atuar no meio digital. Por quê? Porque por ser um meio digital, através de robôs, através de bots, os criminosos conseguem atuar em milhares de contas ao mesmo tempo, simulam perfis, invadem sua conta no Instagram, Facebook, WhatsApp e diversas redes sociais atuando e agindo como se fossem você.

É óbvio qual o resultado disso, os novos crimes trazem um prejuízo assustador à imagem, ao financeiro e etc. A necessidade de recuperar esses dados hoje fez com que se disponibilizassem na internet uma série de ferramentas, as mais utilizadas já estão prontas para recuperar perfis no Facebook, Instagram, Twitter, enfim.
O furto de dados na internet passou a ser a regra. Logo, a segurança passou a ser tão rara quanto a água em meio ao deserto.

Recentemente o Google anunciou a incorporação padrão de autenticação de dois fatores para as contas dos seus milhões de usuários, na mesma direção o Facebook também disse que deve seguir, pelo fato de considerar “alto risco”.

Todos esses anúncios só podem significar uma coisa, em um tempo muito curto, esse tipo de autenticação que faz você depender de um segundo canal de comunicação ou dispositivo para entrar em alguns serviços vai se tornar a opção padrão em mais e mais lugares, então se você ainda não o ativou, vá pensar em fazê-lo e se acostumar com seu funcionamento rotineiramente.

A autenticação de dois fatores tem sido uma das dicas comuns de especialistas em segurança para essas contas que temos um interesse especial em proteger. As razões não são apenas o fato de adicionar um passo adicional e uma dificuldade extra para quem quer acessar nossas contas, mas também o fato de que um número absurdamente alto de usuários ainda tem como hábito usar uma única senha para muitos serviços, uma prática completamente desaconselhável considerando que muitos desses serviços são rotineiramente comprometidos e suas listas de usuários e senhas publicadas em diferentes locais disponíveis

A autenticação de dois fatores não é particularmente conveniente: ter que esperar para receber uma segunda chave através de uma mensagem ou um aplicativo de autenticação elimina a conveniência do imediatismo absoluto, e às vezes, como quando dependemos de uma mensagem de texto e estamos no exterior com o celular no modo de dados, em um problema específico. Mas a segurança que adiciona ao processo é, sem dúvida, muito maior, o que o torna altamente recomendado especialmente para aqueles serviços que consideramos razoavelmente críticos.

Com o tempo, nos acostumamos a usar rotineiramente serviços de todos os tipos que requerem autenticação, muitos dos quais desempenham um papel importante no nosso dia a dia. No entanto, os protocolos de autenticação não evoluíram da mesma forma, e em muitos casos, ainda evoluímos em sistemas simples de nome de usuário e senha que são relativamente fáceis de violar se houvesse interesse suficiente em fazê-lo. O banking, por exemplo, tem tentado resolver o problema através de todos os tipos de dispositivos, desde cartões de coordenadas até janelas flutuantes, que tendem a complicar a vida de seus usuários muito mais do que um sistema multifatorial. As empresas, por sua vez, tendem a estabelecer rotinas completamente absurdas de mudança de senha de vez em quando, que condenaram seus usuários a acabar digitando a senha em uma nota pegajosa e colando-a na tela, em uma noção completamente errônea do conceito de segurança.

Veremos se com grandes empresas como Google e Facebook agora se tornando pioneiras no movimento de autenticação multifatorial, temos a cultura de segurança para melhorar um pouco.

Tudo é resultado do avanço e da sofisticação dos criminosos no universo digital, e agora as mensagens não são mais simples e-mails genéricos, às vezes até mal escritos ou mal traduzidos, nos quais apenas os muito incautos ou os muito desajeitados caíram, agora podem vir e ser reforçados de várias maneiras, procurar pessoas especialmente vulneráveis na organização e responder a esquemas muito cuidadosamente preparados, cada vez mais quantitativamente aumentando os riscos e, consequentemente, configurando ferramentas cada vez mais sofisticadas.

Praticamente qualquer um pode cair em esquemas como esse, clicar em um link em uma mensagem ou página que aciona, inadvertidamente, a instalação de um programa de malware não é algo que simplesmente acontece com os desajeitados ou os tolos.

Ao que parece o mundo civilizado precisa evoluir para combater esse tipo de crime com mais rigor, pois por mais que possamos entender que a tecnologia é adotada de forma muito proativa justamente por aqueles como os criminosos, com um importante incentivo para isso, e que o desenvolvimento das criptomoedas tem sido capaz de proporcionar um ambiente de maior impunidade para a coleta de resgates, é cada vez mais importante tomar ações coordenadas internacionalmente para evitar algo que ameaça se tornar epidêmico. Acima de tudo, parar de incentivá-lo ainda mais mostrando que, em um número perigosamente alto de ocasiões, os criminosos conseguem seu propósito e saem com o dinheiro debaixo do braço.

O Direito Penal brasileiro tem dois dispositivos que podem ser utilizados na tipificação do crime, o primeiro ficou conhecido como lei Carolina Dieckmann e foi introduzido em 2012 em razão da invasão de dispositivo informático, assim dispondo:

“Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012)

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)

§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)

§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)

§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:

I Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal;

IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.

Outro dispositivo aplicável é o que regula o crime de extorsão:

Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:

Pena – reclusão, de quatro a dez anos, e multa.

§ 1º – Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.

Como se percebe a conduta para esse tipo de crime já está prevista em lei, porém, isso não tem diminuído o número de crimes praticados.

A cibersegurança está novamente no foco das empresas no País, e não tem tamanho nem valor mínimo, todas estão no foco.

Os números mostram que o problema no Brasil é muito maior do que se imagina. Os resgates também estão mais caros: segundo a empresa Unit 42, os valores cobrados pelos criminosos saltaram 82% no último ano, chegando a US$ 570 mil por ocorrência. De acordo com pesquisa da empresa de segurança Kaspersky, foram registradas 1,3 milhão de tentativas de ataques de ransomware na América Latina entre janeiro e setembro de 2020, uma média de 5 mil ataques bloqueados por dia. O país mais atacado foi o Brasil, que registrou 46,7% das detecções.

Não existe nicho, segmento ou país, todos estamos expostos ao risco, em menor ou maior escala.

Deixe um comentário

O seu endereço de e-mail não será publicado.