As preocupações com a segurança em grandes eventos, como as Olimpíadas, geralmente se concentram em ameaças físicas, como ataques terroristas. Mas, como a tecnologia desempenha um papel cada vez mais importante na realização dos Jogos, os organizadores olímpicos veem cada vez mais os ataques cibernéticos como um perigo mais constante.
Em seu escritório em um dos andares superiores da sede do comitê organizador dos Jogos Olímpicos de Paris, Franz Regul não tem dúvidas do que está por vir. “Seremos atacados”, disse ele, que lidera a equipe responsável por evitar ameaças cibernéticas contra os Jogos deste ano em Paris.
Empresas e governos de todo o mundo agora têm equipes como a de Regul, que operam em salas espartanas equipadas com servidores de computador e telas com luzes indicadoras que avisam sobre a chegada de ataques de hackers. No centro de operações de Paris, há até mesmo uma luz vermelha para alertar a equipe sobre o perigo mais grave.
Até o momento, disse Regul, não houve interrupções graves. Mas, à medida que os meses até os Jogos Olímpicos se transformam em semanas e, depois, em dias e horas, ele sabe que o número de tentativas de invasão e o nível de risco aumentarão exponencialmente. No entanto, diferentemente das empresas e dos governos, que planejam a possibilidade de um ataque, Regul disse que sabia exatamente quando esperar o pior.
“Poucas organizações podem lhe dizer que serão atacadas em julho e agosto”, disse ele.
As ameaças são múltiplas. Especialistas afirmam que grupos de hackers e países como Rússia, China, Coreia do Norte e Irã agora têm operações sofisticadas capazes de desativar não apenas redes de computadores e Wi-Fi, mas também sistemas digitais de venda de ingressos, scanners de credenciais e até mesmo os sistemas de cronometragem dos eventos.
Os temores sobre ataques de hackers não são apenas hipotéticos. Nos Jogos Olímpicos de Inverno de Pyeongchang 2018, na Coreia do Sul, um ataque bem-sucedido quase inviabilizou os Jogos antes que eles pudessem começar.
Esse ataque cibernético começou em uma noite gelada, quando os torcedores chegavam para a cerimônia de abertura. Os sinais de que algo estava errado surgiram de uma só vez. A rede Wi-Fi, uma ferramenta essencial para transmitir fotografias e cobertura de notícias, caiu repentinamente. Simultaneamente, o aplicativo oficial das Olimpíadas para smartphones - que continha os ingressos dos torcedores e informações essenciais sobre transporte - parou de funcionar, impedindo que alguns torcedores entrassem no estádio. Os drones de transmissão foram derrubados e as televisões conectadas à internet, que deveriam mostrar imagens da cerimônia em todos os locais, ficaram sem sinal.
Mas a cerimônia prosseguiu, assim como os Jogos. Dezenas de funcionários da área de segurança cibernética trabalharam durante a noite para repelir o ataque e corrigir as falhas e, na manhã seguinte, havia poucos sinais de que uma catástrofe havia sido evitada quando os primeiros eventos começaram.
Desde então, a ameaça às Olimpíadas só tem aumentado. A equipe de segurança cibernética dos últimos Jogos de Verão, em Tóquio, em 2021, informou que enfrentou 450 milhões de tentativas de “eventos de segurança”. Paris espera enfrentar de oito a 12 vezes esse número, disse Regul.
‘Jogos de Guerra’
Talvez para demonstrar a escala da ameaça, as autoridades de segurança cibernética de Paris 2024 usam livremente a terminologia militar. Eles descrevem “jogos de guerra” destinados a testar especialistas e sistemas, e se referem ao feedback dos “veteranos da Coreia” que foi integrado às suas defesas em evolução.
Os especialistas dizem que vários atores estão por trás da maioria dos ataques cibernéticos, incluindo criminosos que tentam reter dados em troca de um resgate lucrativo e manifestantes que querem destacar uma causa específica. Mas a maioria dos especialistas concorda que somente os estados-nação têm a capacidade de realizar os maiores ataques.
Leia também
O ataque de 2018 em Pyeongchang foi inicialmente atribuído à Coreia do Norte, vizinha antagônica da Coreia do Sul. Mas especialistas, incluindo agências nos EUA e na Grã-Bretanha, concluíram posteriormente que o verdadeiro culpado - agora amplamente aceito como sendo a Rússia - usou deliberadamente técnicas projetadas para colocar a culpa em outra pessoa.
Este ano, a Rússia é mais uma vez o maior foco.
A equipe russa foi impedida de participar dos Jogos Olímpicos após a invasão da Ucrânia em 2022, embora um pequeno grupo de russos tenha permissão para competir como atletas neutros. O relacionamento da França com a Rússia azedou tanto que o presidente Emmanuel Macron acusou recentemente Moscou de tentar prejudicar as Olimpíadas por meio de uma campanha de desinformação.
O Comitê Olímpico Internacional também apontou o dedo para as tentativas dos grupos russos de prejudicar os Jogos. Em novembro, o COI emitiu uma declaração incomum dizendo que havia sido alvo de “postagens de notícias falsas” difamatórias depois que um documentário com uma narração gerada por inteligência artificial (IA), que se passava pelo ator Tom Cruise, apareceu no YouTube.
Posteriormente, uma publicação separada no Telegram imitou uma notícia falsa transmitida pela rede francesa Canal Plus e veiculou informações falsas de que o COI estava planejando impedir a participação de equipes israelenses e palestinas nas Olimpíadas de Paris.
No início deste ano, russos - fazendo-se passar por uma autoridade africana sênior - conseguiram falar com Thomas Bach, o presidente da COI, por telefone. A ligação foi gravada e divulgada no início deste mês. A Rússia aproveitou os comentários de Bach para acusar as autoridades olímpicas de se envolverem em uma “conspiração” para manter sua equipe fora dos Jogos.
Em 2019, de acordo com a Microsoft, hackers estatais russos atacaram as redes de computadores de pelo menos 16 organizações esportivas e antidoping nacionais e internacionais, incluindo a Agência Mundial Antidoping, que na época estava prestes a anunciar punições contra a Rússia relacionadas ao seu programa de doping apoiado pelo Estado.
Três anos antes, a Rússia havia atacado autoridades antidoping nos Jogos Olímpicos do Rio de Janeiro, em 2016. De acordo com a acusação de vários oficiais da inteligência militar russa apresentada pelo Departamento de Justiça dos Estados Unidos, os agentes daquele incidente falsificaram redes Wi-Fi de hotéis usadas por funcionários antidoping no Brasil para penetrar com sucesso nas redes de e-mail e nos bancos de dados da organização.
Ciaran Martin, que atuou como o primeiro executivo-chefe do centro nacional de segurança cibernética da Grã-Bretanha, disse que o comportamento anterior da Rússia a tornou “a ameaça perturbadora mais óbvia” nos Jogos de Paris. Ele disse que as áreas que podem ser visadas incluem programação de eventos, transmissões públicas e sistemas de venda de ingressos.
“Imagine se todos os atletas chegarem a tempo, mas o sistema de escaneamento de iPhones no portão de embarque estiver fora do ar”, disse Martin, que agora é professor da Blavatnik School of Government da Universidade de Oxford.
“Você vai com o estádio meio vazio ou adia?”, acrescentou. “Mesmo sendo colocado em uma posição em que você tem que adiar ou ter atletas de classe mundial no maior evento de suas vidas se apresentando em frente a um estádio meio vazio - isso é absolutamente um fracasso.”
Regul, o chefe de segurança cibernética de Paris, recusou-se a especular sobre qualquer nação específica que possa ter como alvo os Jogos deste verão. Mas ele disse que os organizadores estavam se preparando para combater métodos específicos de países que representam uma “forte ameaça cibernética”.
Este ano, os organizadores de Paris realizaram o que chamaram de “jogos de guerra” em conjunto com o COI e empresas como a Atos, parceira oficial de tecnologia dos Jogos, para se preparar para ataques. Nesses exercícios, os chamados hackers éticos são contratados para atacar os sistemas instalados para os Jogos, e “recompensas por bugs” são oferecidas àqueles que descobrem vulnerabilidades.
Os hackers já atacaram organizações esportivas com e-mails maliciosos, personagens fictícios, senhas roubadas e malware. Desde o ano passado, as novas contratações do comitê organizador de Paris passaram por um treinamento para identificar golpes de phishing.
“Nem todo mundo é bom”, disse Regul.
Em pelo menos um caso, um membro da equipe dos Jogos pagou uma fatura de uma conta depois de receber um e-mail se passando por outro funcionário do comitê. Os membros da equipe de segurança cibernética também descobriram uma conta de e-mail que tentou se passar por aquela atribuída ao chefe do Paris 2024, Tony Estanguet.
Milhões de outras tentativas estão por vir. Os ataques cibernéticos costumam ser “armas de irritação em massa em vez de armas de destruição em massa”, disse Martin, ex-funcionário britânico de segurança cibernética.
“Em seu pior momento”, disse ele, “eles são armas de perturbação em massa”.
Este conteúdo foi traduzido com o auxílio de ferramentas de Inteligência Artificial e revisado por nossa equipe editorial. Saiba mais em nossa Política de IA.