No dia 17 de abril de 2022, Jorge Mora comemorava o domingo de Páscoa em casa com a família quando recebeu uma mensagem no celular: um monitor estrangeiro avisava que o Ministério da Fazenda da Costa Rica havia sofrido um ataque de hackers.
Mora era principal autoridade do país em temas de governança digital dentro do Ministério de Tecnologia, mas tinha só mais três semanas no cargo. Um novo governo havia sido eleito, prometendo mudanças, e não havia diálogo entre a administração deixando o poder e a equipe do novo governo. Além disso, o orçamento do governo já tinha sido todo alocado e distribuído. Não havia orçamento para mais nada.
“Eu avisei a minha família: ‘Tenham paciência, eu preciso ir e é provável que eu fique ocupado por alguns dias’”, recorda Mora. “Não tinha ideia de que mal os veria pelas próximas três semanas.”
A Costa Rica havia sido atacada pelo grupo hacker russo Conti, que já era conhecido por especialistas em segurança cibernética como o maior grupo de ransomware em operação até então, tendo extraído cerca de 180 milhões de dólares de seus alvos em 2021. Usando credenciais comprometidas, o grupo Conti conseguiu instalar um software malicioso em um dispositivo conectado à rede do Ministério da Fazenda, e isso foi o suficiente para infectar o sistema. Os invasores extraíram centenas de milhares de gigabytes de informações sobre os costarriquenhos, e publicaram uma amostra na dark web. Os hackers criptografaram os sistemas do Ministério, tornando praticamente impossível para o governo processar pagamentos ou coletar impostos, e paralisando a agência aduaneira. Para liberar o sistema do Ministério e não publicar o restante dos dados roubados, o grupo exigia um resgate de 10 milhões de dólares.
O então presidente Carlos Alvarado, que só tinha mais três semanas no cargo, recusou-se a pagar – e o ataque de ransomware continuou. Os hackers se manifestavam, usando um blog para expor suas exigências: “O governo não quer admitir que não pode recuperar os dados e pediu ajuda aos Estados Unidos. Bem, estamos mudando de tática e começaremos a atacar grandes empresas da Costa Rica. Eles terão que nos pagar.” Durante sete dias consecutivos, uma instituição após a outra teve seus sistemas sequestrados e desativados. Informações pessoais de costarriquenhos armazenadas na Receita do país foram divulgadas on-line, os salários dos servidores públicos estavam em risco, as aposentadorias que deveriam ser pagas naquela semana não estavam disponíveis e os trâmites alfandegários tiveram que voltar a ser processados em papel. Até o serviço de meteorologia foi impactado. “Éramos cinco pessoas na minha equipe, então nos revezávamos para dormir em turnos de quatro horas”, diz Mora.
A Costa Rica talvez fosse um dos países da região mais preparados para se defender. Como parte de sua candidatura para ingressar na OCDE, o país tinha aderido às exigentes recomendações de políticas de internet da organização em 2012, embora o orçamento para começar a implementar defesas só tenha se materializado em 2017. Mas essa era a primeira vez que se registrava um ataque hacker a um governo inteiro, algo sem precedentes que especialistas ainda não tinham visto, nem esperavam. “Também estávamos vindo de cortes de gastos em todas as áreas do governo para equilibrar o orçamento”, diz Mora.
Entre 2019 e 2021, o país tinha realizado com apoio internacional dois exercícios de ataques cibernéticos. Mora diz que esses testes foram vitais na hora de decidir como reagir. O país também tinha assinado acordos de cooperação que agilizaram o apoio da Espanha, dos Estados Unidos e de Israel, bem como das empresas Cisco e Microsoft. Os sistemas doados e as equipes emprestadas preencheram a brecha que o governo não poderia, com apenas dias para o fim do mandata, nem sonhar em preencher.
Na segunda-feira seguinte ao início do ataque, “conseguimos começar a detectar invasões com antecedência e a conter os danos”, diz Mora. Mas duas semanas depois, Mora – e todos os outros envolvidos no esforço – deixaram seus cargos, sem ter ninguém para quem passar o bastão. “A única reunião que tivemos com a nova equipe foi na sexta-feira antes da posse”, diz Mora. No domingo, 8 de maio, Rodrigo Chaves assumiu o governo da Costa Rica, e no dia seguinte tornou-se o primeiro presidente a declarar estado de emergência devido a um ataque cibernético. Chaves disse que a Costa Rica estava em guerra – e de fato os hackers ameaçaram derrubar o governo, alertando que o ataque ao país era apenas uma demonstração.
Para Mora, o decreto significou que forças de emergência assumiram o comando da crise sem nenhum treinamento ou conhecimento em segurança cibernética. Os ataques continuaram, o grupo Conti dobrou o resgate exigido para 20 milhões de dólares, dizendo aos costarriquenhos que deveriam pressionar o governo a pagar. Em junho de 2022, o sistema de saúde da Costa Rica sofreu um novo ataque de outro grupo hacker, que levou ao cancelamento de cerca de 30 mil procedimentos médicos, enquanto a arrecadação de impostos ainda seguia paralisada e a maioria dos funcionários públicos voltava a usar papel e caneta.
A Costa Rica nunca pagou o resgate. A invasão da Rússia à Ucrânia, apoiada pelo Conti, dividiu o grupo, levando à sua dissolução. Mas, como o hacker escreveu na mensagem, a Costa Rica se tornou mesmo uma demonstração – ou melhor, uma lição para o resto da região. “O ataque na Costa Rica aumentou a conscientização também fora do país”, diz Helmut Reisinger, líder para América Latina da Palo Alto Networks. E como a falta de conscientização nos postos mais altos de liderança é uma das maiores vulnerabilidades da região, aprender essa lição parece ser algo urgente. “A segurança cibernética é um problema político, cultural e empresarial”, diz Mora. Não é um problema de TI.
“A cibersegurança é um tema político, cultural e empresarial”.
Por que o atraso?
Infelizmente, essas advertências ainda não ganharam tração. A América Latina é a região menos preparada do mundo para ataques cibernéticos, de acordo com a última edição do Global Cybersecurity Index, compilado pela União Internacional de Telecomunicações da ONU.
De acordo com o índice e outros estudos, a região fica atrás da África e Sul da Ásia em áreas como o desenvolvimento de capacidades e implementação de medidas legais necessárias para fortalecer as defesas. Ao mesmo tempo, a América Latina é um alvo especialmente atraente para hackers e outros criminosos digitais: a região sofreu cerca de 12% dos ciberataques globais observados pelo X-Force da IBM, embora represente apenas 8% da população mundial.
O problema é resultado, em parte, de uma tendência positiva: a América Latina se digitalizou em ritmo acelerado nos últimos anos. A pandemia provocou um salto no movimento de automação que já vinha ocorrendo tanto no setor público quanto no privado. A região tem uma das taxas mais altas do mundo de uso de smartphones e redes sociais, e o comércio eletrônico, serviços bancários online assim como a digitalização de outros setores crescem a passo acelerado. Mas esse talento para a adoção de novas tecnologias ultrapassa as defesas cibernéticas da região, dizem os especialistas.
“O espírito empreendedor e inovador da América Latina não vem acompanhado de preocupação com a segurança digital”, diz Louise Marie Hurel, membro do Royal United Services Institute, e fundadora da Red Latinoamericana de Estudios Sobre Ciberseguridad. “Não é uma prioridade política e, com poucas exceções, a região carece da infraestrutura de segurança cibernética necessária”, diz Hurel.
Em 2020, apenas 12 governos da região tinham uma estratégia nacional de cibersegurança, considerada um primeiro passo para organizar a reação e a defesa de um país. Embora esse número tenha aumentado para 20 países em 2023, implementá-los ainda é um desafio. Como disse um analista de segurança cibernética, “são muitas apresentações em PowerPoint, mas bem pouca ação”. Em 2020, apenas dez países da região tinham uma entidade governamental dedicada à segurança cibernética, enquanto a lacuna de profissionais qualificados é estimada em 600 mil trabalhadores (e dos profissionais existentes, apenas um quarto são mulheres, adicionando uma lacuna de diversidade ao cenário já fraco). Essa carência vem se refletindo na escalada dos ataques.
Especialistas estimam que a América Latina sofre cerca de 1.600 ataques por segundo. Segundo a Interpol, a região bateu o recorde global em ataques cibernéticos no primeiro semestre de 2020, com três vezes mais ataques via navegadores móveis do que a média mundial. E embora hackers ataquem praticamente qualquer alvo, a lista de invasões recentes a governos e instituições públicas é especialmente alarmante.
O sistema judiciário brasileiro sofreu 13 ataques consecutivos entre 2020 e 2022, paralisando serviços, adiando processos e arriscando a destruição de provas. A Secretaria da Fazenda do Rio de Janeiro não conseguiu arrecadar impostos, e para emitir documentos cidadãos tiveram que fazer requerimentos pessoalmente depois de um ataque em 2022. A prefeitura de Quito teve que suspender o atendimento à população em abril de 2022 para lidar com um ataque de ransomware.
No ano anterior, os argentinos descobriram que todos os seus dados pessoais e documentos estavam à venda na dark web depois que um hacker se infiltrou no sistema de registros do país, o RENAPER, em outubro. O hacker chegou a publicar a carteira de identidade de Lionel Messi no Twitter. No ano anterior, a maior provedora de internet do país, a Telecom Argentina, teve que correr para restaurar seus sistemas em julho de 2020, depois que um hacker que exigia 7,5 milhões de dólares em resgate infectou 18 mil computadores. E esse foi apenas um entre mais de 1.500 ataques relatados no país naquele ano, 60% a mais que no ano anterior – e a projeção para a Argentina é chegar a um número recorde de ataques em 2023.
O serviço de inteligência peruano foi atacado pelo grupo russo Conti quase ao mesmo tempo que a Costa Rica, e poucas informações foram divulgadas sobre esse ataque. Numa invasão importante ao Ministério da Defesa do México, SEDENA, o grupo ativista Guacamaya vazou milhares de documentos confidenciais e e-mails privados, incluindo alguns sobre a saúde do presidente mexicano. O grupo hacktivista também invadiu redes das forças armadas e de mineradoras na Colômbia, Guatemala e Chile. A petrolífera mexicana Pemex teve seus sistemas de pagamento afetados por um ataque em 2019, mas disse que a invasão foi contida a tempo e negou que qualquer infraestrutura crítica tenha sido afetada, mas ficaram dúvidas sobre o que aconteceu realmente.
Automatize primeiro, proteja depois
Embora seja difícil especificar geograficamente a fonte de ataques cibernéticos na América Latina, em geral essas invasões começam em várias partes do mundo, incluindo Rússia e China e, cada vez mais, da própria região. Brasil e Venezuela são rotineiramente citados como dois focos de atividade de hackers. Mas apesar da avalanche de ataques internos e externos, muitos líderes, tanto no setor público quanto no privado, ainda veem o ciberespaço como uma questão tecnológica, algo para as equipes de TI controlarem – em vez de considerá-lo um componente estrutural que precisa ser levado em conta pela presidência das empresas e pelos inquilinos de palácios presidenciais.
“Os governantes devem trabalhar com seus órgãos legislativos, envolvendo o setor privado e a comunidade técnica na alocação de recursos para a segurança cibernética”, diz Belisario Contreras, que gerenciou o programa de segurança cibernética da Organização dos Estados Americanos (OEA) e hoje é diretor sênior responsável por estratégias de segurança e tecnologia do escritório de advocacia Venable.
O alarme só costuma soar depois que sistemas foram derrubados e a chantagem já começou. Matias Dib, cofundador e diretor de produtos da Hackmetrix, uma startup chilena de segurança cibernética, diz que o ataque ao Banco do Chile em 2018 – quando 10 milhões de dólares foram roubados – foi um catalisador para o país começar a desenvolver sua segurança cibernética.
Ainda assim, Dib diz que até hoje atende clientes que não entendem o conceito de cibersegurança. “A maioria das empresas nos procura depois de serem invadidas”, diz Adalberto García, especialista em segurança cibernética da Control Risks na Colômbia. “Um cliente inclusive tinha os recursos de segurança incluídos na tecnologia que havia adquirido; mas simplesmente não os ativou.”
Mais informação sobre as ameaças poderia ajudar a melhorar a conscientização. Mas, sem nenhuma lei exigindo que as vítimas denunciem ataques cibernéticos, empresas e instituições tentam manter silêncio para proteger suas reputações. “Algumas empresas preferem pagar o resgate e se livrar do problema, sem arriscar a reputação”, diz García. As vítimas podem até recuperar seus sistemas– se, como diz García, o hacker for “de confiança”, já que não há garantia de que o invasor honrará sua palavra— e evitar dores de cabeça legais e reputacionais.
Mas se ninguém sabe o tipo de ataque sofrido, ninguém ligado ao alvo original poderá se proteger. “O ciberespaço é interconectado como uma rede viária, e todos que trafegam nessa rodovia digital podem ser afetados”, diz Dib. E o código de silêncio é muitas vezes inútil; os próprios hackers vão à Internet para se vangloriar ou envergonhar a empresa, ou apenas vazar as informações adquiridas. “Extorsões duplas ou triplas costumam acontecer”, diz Hurel.
Quando o conglomerado de serviços públicos colombiano Empresas Públicas de Medellín (EPM) sofreu um ataque de ransomware em dezembro de 2022, poucas informações foram divulgadas. “A EPM disse que apenas dados de clientes haviam sido afetados, mas estava enviando caminhões-pipa para bairros que não tinham serviço, e muitas áreas ficaram no escuro, sem energia, por um longo período de tempo”, diz Camilo García, editor do blog MuchoHacker.lol. Outros alvos colombianos foram atacados quase ao mesmo tempo que o incidente da EPM, levantando suspeitas de uma possível coordenação entre os hackers.
A provedora de assistência médica Keralty teve os sistemas de suas subsidiárias desativados, deixando tanto pacientes como equipes médicas sem acesso, enquanto vazavam informações pessoais de clientes para a dark web. Para Camilo García, como as empresas não têm obrigação de informar sobre ataques, a Colômbia se tornou um campo de treinamento para hackers. “Todos os grupos de hackers estão aqui, testando todos os tipos de ataques, ensaiando para alvos maiores”, diz ele.
“Essa é um dos pontos mais fracos da América Latina”, diz Dib, da Hackmetrix. “Cabe aos governos tornar obrigatória a divulgação de ataques.”
Panorama digital
Durante a pandemia, até os cartórios brasileiros, conhecidos pela predileção por trâmites em papel, desenvolveram um sistema de videoconferência para validar documentos oficiais remotamente. Mas esse esforço para digitalizar informações confidenciais também apresenta riscos óbvios. “A América Latina tem muita infraestrutura crítica, desde países membros da OPEP, dutos, até instituições financeiras que operam em escala multinacional”, diz Reisinger. A expansão digital está se movendo mais rápido do que a disponibilidade de talentos para manter esses sistemas seguros – e isso não é um problema só para a América Latina. Em uma pesquisa do Fórum Econômico Mundial, 59% das empresas globais disseram que faltam em suas equipes talentos capazes de responder a uma violação de segurança cibernética.
Com a escassez de talentos, em muitos países latino-americanos o trabalho de reforçar as defesas cibernéticas recaiu sobre os militares. No Brasil, as forças de segurança e o comando militar de ciberdefesa tornaram-se a espinha dorsal da governança de segurança digital do país. “Às vezes, tratar o problema como um risco à defesa nacional é a melhor maneira de achar espaço no orçamento para a segurança cibernética”, diz Hurel. Ainda assim, o Brasil é de longe o país mais atacado da região e está entre os dez primeiros do mundo, segundo dados compartilhados pela Palo Alto Networks. “As organizações brasileiras, como um todo, parecem estar menos conscientes e informadas sobre as melhores práticas e os riscos, e sobre o que fazer em casos de ataque”, diz Reisinger.
Nem todos os hackers agem por dinheiro. O grupo ativista Guacamaya, que vazou dezenas de terabytes de dados roubados de um projeto de mineração na Guatemala e das forças militares do México e Chile, diz que quer defender a natureza e combater a opressão, o neocolonialismo e o modelo extrativista na região. O principal objetivo é tornar a informação pública. “Entrei em contato e eles me enviaram vários terabytes de dados, mal consigo arranhar a superfície”, diz García, o blogueiro colombiano. Reisinger diz que eventos geopolíticos são uma grande influência na escolha de alvos de ataques cibernéticos, sejam atores patrocinados por um Estado ou hacktivistas.
Alguns hackers parecem determinados a minar a democracia. A manipulação digital de informações tem sido um desafio constante para governos e processos eleitorais, mas ataques diretos também são uma ameaça. O Tribunal Superior Eleitoral brasileiro sofreu diversos ataques durante as eleições regionais de 2020, direcionados ao sistema de apuração de votos. O tribunal informou que os hackers só conseguiram atrasar a contagem, mas isso já foi o suficiente para deixar muitos brasileiros, acostumados a saber os resultados das eleições minutos após o fechamento das urnas, profundamente desconfiados.
É possível gerenciar o risco
Por mais esmagadores que os desafios possam parecer, a boa notícia é que existem soluções claras. “Apesar de nossos melhores esforços, os ataques cibernéticos persistirão, assim como continuamos expostos ao crime de rua. A chave está na criação de estratégias para minimizar esses riscos”, diz Contreras. E isso inclui vontade política, tecnologia, recursos, pessoal e, acima de tudo, a consciência de que os sistemas digitais e as redes cibernéticas são vias públicas.
Especialistas concordam que uma política nacional é essencial, mas depois que uma estratégia de segurança cibernética é projetada e aprovada, implementá-la pode ser um desafio. “Passar da estratégia para a implementação é fundamental”, diz Kerry-Ann Barret, gerente do Programa de Segurança Cibernética da OEA. “Incentivamos a adoção de um item permanente nos orçamentos nacionais, da mesma forma como todo orçamento inclui a defesa nacional”, diz.
Um sistema claro para que as autoridades possam investigar e reduzir a impunidade ajudaria muito a aumentar a proteção. “Temos a tecnologia, agora precisamos de vontade política para direcionar recursos para equipes de fiscalização e policiamento cibernético”, diz Elvis Secco, adido da Polícia Federal na embaixada brasileira no México. Tanto empresas como instituições públicas precisam ter canais específicos de comunicação com as autoridades, com obrigatoriedade de reportar ataques para facilitar as investigações e prevenir que infecções se alastrem. Regras de compliance ajudam a motivar pessoas e organizações a agir.
Barret também destaca a necessidade de preparar os diplomatas da região, dado o papel crucial de organismos multilaterais e fóruns internacionais no enfrentamento ao desafio. “A ameaça quase inevitavelmente aumentará, mas, mais do que alarme, precisamos aceitar a realidade”, diz Barret, “assim podemos parar de colocar bandaid, e institucionalizar as habilidades digitais de que precisamos”.
A OEA tem convocado os Estados membros a trabalharem juntos, oferecendo capacitação e recursos técnicos. Mas quando se trata de colaboração, um especialista diz que a região enfrenta mais um grande obstáculo: a falta de confiança, especialmente entre o setor privado e os governos. Para vários setores, há o desafio adicional de cooperar sem violar leis antitruste, mas soluções criativas são possíveis. Um dos primeiros alvos prediletos de hackers, o setor financeiro da América Latina é visto por analistas como um segmento que coopera de forma eficaz para lidar com as ameaças. “O setor bancário conseguiu encontrar maneiras de compartilhar informações de segurança”, diz Hurel.
E todos os especialistas ouvidos pela AQ concordam que a primeira linha de defesa é na verdade simples: treinamento básico para todas as categorias de qualquer organização, e até mesmo para as famílias, é fundamental. De acordo com um estudo da IBM, erro humano é a principal causa de 95% das violações cibernéticas. “O phishing é a razão número um pela qual as empresas são invadidas”, diz García, da Control Risks, “e quando a pessoa efetivamente clica em uma mensagem infectada, instituições raramente oferecem canais internos para avisar sobre o incidente”. Conhecer os riscos e acionar o alarme podem evitar que uma simples distração se torne um grande desastre.
De fato, após a eclosão da crise de 2022 na Costa Rica, Mora descobriu que a invasão inicial dos sistemas do Ministério da Fazenda havia sido detectada dois dias antes de ele receber a mensagem do monitor internacional. “Eles pensaram que poderiam cuidar disso internamente, que não era um problema maior”, diz Mora. Melhor comunicação e maior conscientização sobre a ameaça cibernética que a América Latina enfrenta, seria um excelente ponto de partida.
*Tornaghi é editora-chefe da AQ e diretora sênior de políticas da Americas Society/Council of the Americas