A ameaça é real: TSE aciona o alerta contra a ação de terroristas digitais
Eles vêm invadindo sites do governo, sequestrando dados de empresas e podem, no pior cenário, atrasar a contagem dos votos das eleições de outubro
No térreo do edifício anexo ao Tribunal Superior Eleitoral (TSE), na área central de Brasília, seis portas de ferro e concreto, de 30 centímetros de espessura cada uma, protegem o cofre que armazena todos os programas utilizados nas eleições. É nessa sala de 200 metros quadrados, à prova de fogo, explosão e alagamentos, que estão guardadas as informações pessoais e as impressões digitais de 118 milhões de eleitores brasileiros e — mais importante — o conjunto de computadores que, no dia 2 de outubro, data do primeiro turno, serão acionados para somar os votos dados ao futuro presidente da República, a 27 governadores, 513 deputados federais, 27 senadores e 1 083 deputados estaduais. Em um canto, um compartimento menor e ainda mais restrito protege as matrizes dos softwares que fazem funcionar as urnas eletrônicas, matéria-prima de uma das estapafúrdias teorias da conspiração do presidente Jair Bolsonaro.
Quem passa pelo corredor que dá acesso à sala-cofre do TSE não tem nenhum indicativo de que ali está o centro nervoso do processo eleitoral do país. É uma área tão restrita que, dos quase 900 servidores do tribunal, apenas três têm credenciais para acessar o local, que só pode ser aberto se dois deles colocarem suas digitais ao mesmo tempo no leitor óptico que destrava a primeira das seis portas. O sistema eleitoral eletrônico foi idealizado para garantir o máximo de proteção contra qualquer tentativa de fraude, já passou por diversos testes desde que foi implantado, em 1996, e até hoje não surgiu uma única evidência de que os votos podem ser alterados para beneficiar ou prejudicar quem quer que seja ou indício de que os resultados podem ser manipulados, como acredita Bolsonaro. As urnas são seguras e eficientes. Existe, porém, uma ameaça — essa, sim, real — capaz de provocar uma enorme turbulência nas eleições de outubro.
O TSE sabe que está na iminência de enfrentar uma guerra cibernética durante os dias de votação. Os técnicos do tribunal, por exemplo, não têm dúvida de que o processo eleitoral brasileiro entrou na lista de alvos prioritários do terrorismo digital. Evidentemente, as medidas de segurança implementadas na sala-cofre garantem a segurança do sistema contra eventuais tentativas de sabotagem. Dezenas de códigos e chaves criptográficas também protegem as urnas de qualquer tipo de fraude. A preocupação é com a velocidade da contagem dos votos. É para comprometer o andamento desse processo que os especialistas acreditam que criminosos virtuais planejam ataques massivos e simultâneos ao site do tribunal, o que pode sobrecarregar o sistema e provocar um colapso. Se isso acontecer, o site deixaria de funcionar, paralisando o processo de totalização dos votos e, consequentemente, a divulgação dos resultados. Num ambiente que se projeta tenso e contaminado por pregações desatinadas colocando em dúvida a credibilidade e a lisura do processo eleitoral, as consequências seriam imprevisíveis.
“Há riscos de ataques cibernéticos ao TSE de diversas origens, inclusive favorecidos por nações”, disse a VEJA o presidente do tribunal, ministro Edson Fachin. “A Rússia é um exemplo dessas procedências e tem relutado em sancionar os cibercriminosos”, acrescentou. Não será a primeira vez, aliás. Nas eleições de 2020, o tribunal detectou mais de 5 milhões de acessos simultâneos ao site do tribunal, apenas no primeiro turno de votação. Eram “eleitores” requisitando a emissão de um certificado de quitação — todos acessando o sistema ao mesmo tempo, através de computadores registrados em outros países. O ataque, porém, não foi volumoso o suficiente para derrubar o sistema. Uma investigação comprovou que os criminosos usaram endereços eletrônicos localizados na China, Singapura, Suriname, Holanda, Irlanda, Finlândia e na Rússia — daí a menção do ministro Fachin ao país de Vladimir Putin.
Embora não comprometa o resultado, o ataque hacker tem potencial, sim, para provocar uma confusão de grandes proporções. Hoje, os votos de cada uma das 577 000 urnas são transmitidos pelos cartórios e tribunais regionais eleitorais dos estados (TREs), que recebem as informações e as repassam ao TSE, que faz a totalização final. Num cenário extremo, uma ofensiva bem-sucedida pode tornar indisponíveis os sites do TSE e dos 27 tribunais regionais eleitorais. Sem comunicação, seria necessário colher o resultado de cada uma das 480 000 seções eleitorais espalhadas pelo país, remeter os dados para Brasília, que somaria tudo e anunciaria o resultado final. “O tribunal tem planos de contingência para essas situações. Podemos buscar rotas alternativas para transmitir os votos depositados nas urnas. Se um ponto de transmissão estiver prejudicado por causa de hackers, levaremos os votos para outro que não esteja”, afirma Giuseppe Janino, que comandou o setor de segurança do TSE por quinze anos.
O problema é que, caso isso ocorra, a apuração pode atrasar dias, criando o cenário perfeito para a proliferação de fake news e teorias amalucadas de conspiração. “O ataque hacker que provocasse uma queda do nosso site seria danoso? Sem sombra de dúvida que sim. É uma coisa que me tira o sono, mas trabalhamos em diversas frentes para que não aconteça”, diz o secretário de Tecnologia da Informação do TSE, Júlio Valente. Os detalhes das medidas tomadas pelo tribunal para minorar o risco do terrorismo digital são mantidos em segredo. Sabe-se, no entanto, que a principal arma de defesa é um programa que identifica em tempo real a ação de piratas cibernéticos. Com base nele, o tribunal consegue ativar e desativar determinadas ferramentas usadas pelos criminosos como porta de entrada no sistema. “O importante é que, por mais que no dia das eleições o site do TSE caia, não há risco para a integridade dos votos, que permanecem armazenados nas urnas eletrônicas”, explica Valente. “Derrubar o site do TSE é um processo de tentativa de erosão da imagem das instituições eleitorais, de projetar para a população uma ideia de acefalia, de não saber nem o que fazer”, adverte o ex-presidente do TSE Carlos Ayres Britto.
Invadir o site de uma instituição conhecida é considerado por certos grupos de hackers como uma conquista, um troféu que rende fama e projeção. Alguns deles querem, na verdade, ser chamados pelas próprias instituições invadidas para trabalhar na construção de um sistema que evite tais fragilidades. Para outros grupos, porém, a prática tornou-se um grande e rentável negócio. O sequestro digital, conhecido como ransomware, movimentou em todo o mundo mais de 690 milhões de dólares (3,4 bilhões de reais) só em 2020, segundo o relatório anual da plataforma Chainalysis. O cálculo leva em consideração apenas pagamentos de resgates realizados por empresas, pessoas físicas e entidades que tiveram seus sistemas invadidos. Os criminosos entram nos computadores, capturam dados sensíveis e cobram vultosas quantias para devolvê-los ou simplesmente não divulgá-los. O Brasil ocupou a quarta colocação global em número de sequestros registrados no ano passado.
Alguns deles foram bastante sérios. Em novembro de 2020, os e-mails dos ministros e servidores do Superior Tribunal de Justiça (STJ), em Brasília, pararam repentinamente de funcionar. Em seguida, surgiu na tela dos computadores um anúncio, em inglês, comunicando que todos os arquivos da segunda maior Corte de Justiça do país haviam sido confiscados e só seriam liberados mediante o pagamento de um resgate de 10 milhões de reais. Por sorte, o STJ tinha backups de todos os 270 000 processos. Ainda assim, o tribunal ficou completamente paralisado durante dez dias. Até hoje a Polícia Federal não conseguiu identificar os criminosos. Sabe-se apenas que usavam um e-mail criptografado de um provedor suíço. Em outro caso, um hacker invadiu os computadores do Tribunal Regional Federal da 3ª Região (TRF3), roubou senhas, direcionou o pagamento de indenizações para um comparsa e adulterou processos criminais contra ele. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do governo contabilizou 4 974 eventos relacionados a fragilidades de segurança cibernética em órgãos públicos em 2021. Desde janeiro, outros 863 incidentes suspeitos já foram notificados.
No caso mais emblemático de ataque do tipo ramsonware contra alvos brasileiros, o grupo russo que se identifica como REvil invadiu, em junho passado, as redes de computadores da JBS, a maior empresa de processamento de carnes no mundo, e paralisou operações nos Estados Unidos, Austrália e Canadá. Depois de quase dez dias de negociações sigilosas, os sistemas corrompidos foram restaurados. Para reaver os dados e garantir que informações confidenciais não caíssem nas mãos de concorrentes ou fossem tornadas públicas, a empresa pagou um resgate de 11 milhões de dólares (55 milhões de reais), o maior da história entre vítimas brasileiras. Por exigência dos sequestradores, o valor foi convertido em criptomoedas. O caso está sendo investigado pelo FBI, que, até onde se sabe, descobriu apenas que o criminoso também mantinha endereço na Rússia. Por receio de uma crise de imagem ou ter vulnerabilidades da marca expostas, as companhias raramente falam sobre a extensão das invasões que sofreram. O fato é que os crimes digitais, em diferentes gradações, se tornaram um problema mundial.
Recentemente, o presidente dos Estados Unidos, Joe Biden, pediu aos governadores que reforçassem as medidas de segurança contra os ciberataques. Ele havia recebido informações dos serviços de Inteligência sobre tentativas de invasão dos sistemas de empresas de energia. Vale ressaltar que os americanos já sofreram ataques que colocaram em risco a segurança da população. Em maio do ano passado, por exemplo, hackers invadiram o maior oleoduto do país, comprometendo a distribuição de combustível em toda a Costa Leste. Em outro caso, os criminosos entraram nos computadores de uma estação de tratamento de água, alteraram os programas e, por pouco, não envenenaram uma cidade inteira, adicionando soda cáustica aos reservatórios. Na Irlanda, em plena pandemia do coronavírus, sequestradores digitais se infiltraram nos sistemas de saúde, bloquearam dados de pacientes, confiscaram informações sensíveis e interromperam por semanas a realização de exames — situação que, por pouco, não aconteceu também no Brasil.
Em dezembro passado, os sistemas do Ministério da Saúde foram invadidos e ficaram doze dias fora do ar. Um grupo de hackers bloqueou o acesso a informações estratégicas sobre a pandemia e apagou estatísticas sobre a campanha de vacinação. Na mesma ação, outros vinte órgãos do governo foram atingidos, incluindo a Polícia Federal, responsável pela apuração dos crimes cibernéticos no país. Investigadores relataram a VEJA que o grupo criminoso é o mesmo que reivindicou ataques recentes às empresas Americanas, Submarino e Shoptime, corrompeu vários arquivos de segurança do governo e ainda ameaçou travar uma guerra cibernética massiva contra quem não pagasse os resgates solicitados. Por lei, as empresas listadas na bolsa de valores são obrigadas a informar aos acionistas sobre eventos dessa natureza, embora não haja a necessidade de admitir se houve ou não pagamento de resgate. A regra, porém, é o silêncio.
Dimensionado o tamanho do risco, ações importantes estão sendo tomadas. Na terça-feira 22, o Ministério da Justiça assinou um acordo de cooperação com a Federação Brasileira de Bancos (Febraban) para que as instituições financeiras e a Polícia Federal trabalhem em conjunto no combate aos crimes cibernéticos, treinem equipes para o enfrentamento de hackers e promovam o intercâmbio de informações. Embora figurem entre os alvos diletos das quadrilhas, os bancos, que armazenam dados sensíveis de milhões de brasileiros, resistem em comunicar às autoridades os ataques de que são vítimas, especialmente devido ao receio, legítimo, de colocar a própria credibilidade em risco. “É difícil uma empresa admitir publicamente um ataque hacker porque isso também é um reconhecimento de suas fragilidades, o que pode arranhar sua imagem perante os clientes”, diz Alex Amorim, presidente do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (Ibraspd). Uma investigação sigilosa da Polícia Federal, por exemplo, vem apurando o desvio do auxílio emergencial pago a famílias carentes durante a pandemia. Num dos cenários levantados, os criminosos digitais podem ter desviado até 1 bilhão de reais do benefício. A ameaça, de fato, é real.
Publicado em VEJA de 30 de março de 2022, edição nº 2782