Salve-se quem desconfiar

No calendário dos pesadelos tecnológicos recentes, o dia 12 de maio de 2017 está marcado em tom de alerta vermelho: foi quando um grupo de cibercriminosos se aproveitou de uma brecha do Windows, sistema operacional da Microsoft usado em toda parte, e disseminou, ao mesmo tempo, um vírus e a ameaça de inutilizar praticamente todos os aparelhos eletrônicos do mundo se não recebesse um resgate de até 2 000 reais (cobrados em bitcoins, a moeda virtual) por máquina. O ataque, batizado de WannaCry (Quero Chorar), infectou 300 000 computadores de empresas e órgãos públicos em 150 países. Em algumas horas, a praga virtual travou o sistema de saúde britânico, comprometeu dados de 4 000 universidades chinesas, provocou pane em 1 000 máquinas do governo russo, paralisou os correios americanos e derrubou os atendimentos da Previdência brasileira. Ninguém diz se pagou o resgate, mas calcula-se que os hackers tenham lucrado o equivalente a 400 000 reais — além de ter tido acesso a toneladas de dados sensíveis.

Ao longo do ano passado, ainda que com menor alcance, outras epidemias pipocaram em diferentes cantos do planeta. A profusão de ataques cibernéticos sacudiu nas bases as empresas do Brasil, país onde a prevenção contra esse tipo de crime nunca foi prioridade. VEJA apurou que, de maio a dezembro de 2017, a procura por seguros contra crimes virtuais no Brasil subiu 200%, segundo a seguradora JLT. No mundo, o salto foi de 50%, refletindo o aumento de 11,5% nos malwares, como são chamados os arquivos que contaminam sistemas. A ameaça aos computadores se estende a smartphones, tablets, televisores, carros e até prédios com tecnologia capaz de coletar e transmitir dados. No início de janeiro, o gigante da tecnologia Intel admitiu uma falha em seus chips que pode facilitar o acesso a dados armazenados em praticamente todos os sistemas operacionais. “Ninguém está imune a um ataque de hackers”, sentencia Marta Helena Schuh, especialista em risco cibernético da JLT.

O Brasil foi o quinto país mais afetado pelo WannaCry, atrás da Espanha, China, Rússia e do campeão Reino Unido. Por aqui, o vírus atingiu os computadores do INSS e também da Petrobras, Itamaraty, IBGE e diversos tribunais de Justiça. A explicação para a vulnerabilidade brasileira a ações de hackers está na enorme quantidade de internautas e na ausência de uma efetiva educação digital. Com 120 milhões de pessoas com acesso à internet, o país é o quarto mais conectado do mundo. Mas pouca gente aqui navega de maneira segura e sabe identificar ataques. “As escolas oferecem aulas de informática, mas não ensinam nada sobre segurança. A cada ano, milhares de pessoas entram na rede sem essa informação essencial”, afirma Fabio Assolini, analista da Kaspersky, empresa de segurança digital russa.

Dados levantados pela Kaspersky, uma das maiores do mundo no setor (enrolada, inclusive, no escândalo de interferência da Rússia na eleição americana), puseram o Brasil no topo da lista de vítimas de phishing. Uma corruptela do inglês fishing, pescar, porque a prática vem sempre atrelada a uma isca. Esses golpes têm como porta de entrada e-mails e aplicativos de mensagem, como o onipresente Whats­App. Em uma pesquisa realizada no ano passado, quase 30% dos internautas brasileiros disseram ter sido vítimas de phishing. “Vivemos tão imersos em multitarefas que não prestamos atenção no que estamos fazendo. Só que, na internet, é preciso desconfiar de tudo”, alerta o coordenador do curso de direito digital do Insper, Renato Opice Blum.

Exemplo recentíssimo da vulnerabilidade por aqui foi o golpe disseminado na última semana de dezembro via WhatsApp. Milhões de brasileiros receberam mensagem sobre um imperdível bônus de 40 000 reais em compras nas lojas da rede de supermercados Walmart. Para usufruir o presente, os usuários clicavam em um link no pé da mensagem e a repassavam para dez contatos de sua lista. Havia todos os ingredientes de um golpe, mas, mesmo assim, em pouco mais de 24 horas, 1,5 milhão de pessoas clicaram no tal link e tiveram seu celular infectado por um vírus que causou desde o recebimento de propagandas inúteis até a contratação de serviços de telefonia indesejados. “A falta de cautela facilita muito os ataques. O hacker é como um ladrão qualquer: se vê uma casa com janelas e portas abertas, por que se dará ao trabalho de assaltar outra protegida por alarmes?”, provoca o especialista em segurança digital Rafael Narezzi, da consultoria 4CyberSec.

As pessoas são sempre o elo frágil nos malfeitos tecnológicos, inclusive quando o ataque afeta empresas — 47% das contaminações nelas partem dos dedos de funcionários incautos. Mesmo no caso de um vírus elaborado como o WannaCry foi necessário que pessoas abrissem e-mails corrompidos — a porta de entrada para que o sistema de computadores das instituições fosse “sequestrado”. Em uma grande empresa da indústria de alimentos e bebidas no Brasil, foi justamente uma pessoa da área de recursos humanos que acessou o e-mail do mal. Resultado: em fração de segundo, todas as informações das fichas de 5 000 funcionários se tornaram públicas. O grupo paralisou os trabalhos e os sistemas ficaram inoperantes por quatro dias. A perda de receita foi de 200 000 reais, mas o prejuízo total alcançou 3 milhões de reais (cobertos pelo seguro). “O impacto de um ataque vai muito além das perdas financeiras. Envolve custos com indenizações, ações regulatórias, restabelecimento dos sistemas e outras despesas”, explica a advogada Marcella Hill, especialista na área.

Calcula-se que as perdas globais provocadas pelos piratas digitais tenham chegado a astronômicos 280 bilhões de dólares em 2017. Raramente as empresas atacadas vêm a público divulgar a invasão. Não há, no Brasil, nenhuma legislação que exija essa providência; um projeto nesse sentido circula na Câmara dos Deputados há cinco anos. Nos Estados Unidos, diversas leis estaduais e federais regulamentam como as companhias devem proceder, mas nem sempre as normas são cumpridas. Ficou célebre o caso da Uber, que pagou 100 000 dólares (330 000 reais) a um hacker para que ele não tornasse público o vazamento de dados de 57 milhões de usuários e motoristas e manteve o ataque em sigilo por um ano, até que executivos insatisfeitos comunicassem o fato à polícia. A Europa se prepara para implantar, em maio, uma rigorosa Regulação Geral de Proteção de Dados, que determina que qualquer empresa com clientes da União Europeia terá de notificar as autoridades de ataques digitais em um prazo de 72 horas. As multas para quem não cumprir a lei poderão atingir 20 milhões de euros ou 4% do faturamento anual mundial da companhia. A ver se a tática de atirar no mensageiro para chegar ao criminoso vai funcionar.

Publicado em VEJA de 31 de janeiro de 2018, edição nº 2567

• Mais lidas

1

Brasil

Shopping se manifesta sobre ‘calote’ de Taís Araújo

2

Mundo

Mais um dia na vida de Elon Musk: ações da Tesla caem, carros encalham

3

Brasil

Ivanir dos Santos entra com representação contra Ludmilla: ‘É crime’

4

Brasil

Eduardo Suplicy surpreende ao comparecer em aniversário de Mano Brown

5

Política

A milionária conta dos carros blindados de Eduardo Paes no Rio

• Ciberataque
• Computador
• HBO
• Tecnologia
• Uber
• whatsapp
• Youtube