Insegurança digital: azar ou projeto? As invasões de aplicativos de celular em questão

Por Z1010010

 

O furto de um celular em São Paulo causou certa comoção nas redes sociais nos primeiros dias de maio de 2022. De acordo com o relato da vítima, um jovem “agente de talentos”, o problema não foi tanto o furto em si, pois, felizmente, não houve ameaça ou dano à sua integridade física. Já sua integridade financeira foi escangalhada: seu celular foi levado com a tela desbloqueada, permitindo acesso a mensageiros instantâneos, redes sociais, e-mail e — no que mais causou problemas à vítima — contas bancárias, cartões de crédito e aplicativos de compras e entregas. O caso virou notícia porque a vítima, transtornada e aparentemente desorientada com o volume dos prejuízos (mais de R$ 100 mil), apresentou publicamente, em redes sociais, um relato completo do rombo financeiro, e do descaso com que foi tratada a questão por parte das instituições financeiras envolvidas.

Solidarizando-nos com a vítima, e preocupados com a onda de furtos de smartphones para causar prejuízo a outros trabalhadores como nós, escrevemos um conjunto rápido de medidas preventivas e interventivas, esperando ajudar pessoas em situação parecida. Juntamos o que foi possível debater numa reunião rápida via Jitsi, e encarregamos um de nós de resumir tudo. Teríamos, além das medidas recomendadas, outras considerações a fazer, envolvendo certos antecedentes à situação de insegurança digital do momento, mas nosso tempo é curto. Somos trabalhadores, com jornadas entre oito a doze horas por dia, precisamos também de descanso. Deixamos algumas pistas para o debate, mas não estamos em condições de avançar muito por enquanto. Retomaremos o debate assim que arrancarmos à nossa exploração diária algum tempo para retornar ao tema.

 

Construindo um cenário de defesa contra a insegurança projetada

Existem cuidados que podem dificultar a perda do salário do mês para um descuidista, ou as economias de anos para um assaltante.

Para alguém com menos treino em questões de segurança, situações como a narrada pela vítima do caso exposto no primeiro parágrafo deste artigo exigem resposta imediata, ação imediata, solução imediata. É a ansiedade comum a todas as vítimas. Pessoas com algum treino em questões de segurança, por sua vez, sabem que não existem medidas de segurança absolutas: aquilo que funciona para uma ameaça poderá não funcionar para outra. Precisa-se, num primeiro momento, definir contra qual ameaça específica se busca proteção, ou, do contrário, entra-se no reino da paranoia paralisante.

Veja-se os acessos indevidos a celulares. Claro, toda vítima da violência urbana pensará em qualquer coisa, menos em que o acesso indevido a aparelhos pode ter vários antecedentes, alguns inclusive tragicômicos. Aliás, smartphones elevaram a traquinagem infantil a alturas inimagináveis. Há o caso de uma criança de dois anos que comprou um carro enquanto brincava com o celular do pai. Há o caso da criança de três anos que pediu R$ 400 em lanches da McDonald’s. Conhece-se o caso o da criança de seis anos que usou o dedo da mãe para desbloquear o aparelho e comprar US$ 250,00 em brinquedos. Viu-se como um menino de doze anos que usou o celular da mãe para comprar novecentos (sim, novecentos) picolés do Bob Esponja, Há, ainda, casos extremos, como o do adolescente de doze anos que, frente à negativa da mãe, para satisfazer seu desejo usou o cartão dela para comprar uma viagem para Bali – sozinho… Nem todo acesso indevido a celulares, portanto, deve ser entendido como um pandemônio de segurança.

Para dar conta do cenário mais temido, deve-se delineá-lo conforme padrões observados em noticiários, relatos em redes sociais e conversas com pessoas próximas:

1) O aparelho é tomado enquanto sua tela está desbloqueada, permitindo ao atacante acesso a todo o sistema, incluindo alteração de senhas e configurações;

2) O ataque tem duplo objetivo: apoderar-se do aparelho, para revenda, e acessar dados pessoais, financeiros e bancários das vítimas, para conseguir vantagens (compras indevidas, saques de dinheiro, empréstimos fraudulentos, etc.);

3) O ataque é baseado em surpresa (p. ex., atacantes chegam de moto, ou aproveitam distração da vítima) ou descuido (p. ex., uso de celular no meio da rua, aparelho deixado sobre a mesa, selfie em locais movimentados, janela de veículo aberta, etc.), sendo exceção o recurso à violência (p. ex., pedrada em para-brisa, etc.);

4) Para máxima eficácia, o ataque depende de velocidade, pois presume-se que a vítima tomará, o mais rápido possível, todas as medidas a seu alcance para bloquear o aparelho, a linha telefônica, contas bancárias, cartões de crédito, redes sociais, mensageiros instantâneos, etc.

5) O ataque não envolve situações em que a vítima está sob o poder dos atacantes, com ameaça à sua integridade física e, eventualmente, à sua própria vida (p. ex., sequestro relâmpago, assalto demorado, etc.);

A hipótese de a vítima estar em poder dos atacantes foi excluída porque nenhuma das medidas preventivas protegerá contra ameaças à integridade física ou à vida. Entre o prejuízo financeiro e a sobrevivência, não há escolha. Em tais casos, entretanto, assim que a vítima sair do poder dos atacantes e estiver em segurança, as medidas interventivas deverão ser aplicadas.

As medidas a seguir servirão para outras situações de acesso indevido ao aparelho, mas têm em mente o cenário delineado acima, não outras.

Dividiremos as medidas em preventivas, a adotar como rotinas de segurança no dia a dia, e interventivas, para tentar minimizar os impactos de acessos indevidos ao aparelho. Algumas são simples, outras bastante exageradas; preferimos apresentar todas, do oito ao oitenta, para que estejam à disposição de quem queira tentá-las. Orientamos a ler cada medida com calma, refletindo sobre o conteúdo, e verificando se já as implementou; se necessário, pesquise mais na internet sobre o assunto, ou procure alguém que entenda de celulares para maiores explicações.

 

Medidas preventivas no aparelho e em aplicativos

A primeira medida preventiva é o uso de senhas fortes para proteger a tela do aparelho, que não deverá ser usado sem senha, ou com bloqueios simples (deslizar o dedo, desenho de padrão com o dedo, etc.). Reconhecimento facial, leitura de impressão digital e outras formas de autenticação biométrica geram certa impressão de segurança, mas é discutível se são, realmente, medidas de segurança adequadas em aparelhos móveis, ou só mais um risco à segurança digital; na dúvida, melhor recorrer à boa e velha senha alfanumérica, e deixar a biometria para os casos em que não seja possível outra forma de autenticação. A recomendação de senhas fortes vale também para todas as senhas de e-mails, redes sociais, mensageiros instantâneos, aplicativos de compras e entregas, etc.; onde for possível usar senhas fortes, elas devem ser usadas. De igual modo, onde for possível ativar a autenticação por dois fatores, ela deve ser ativada.

Há trabalhadores que precisam manter a tela do aparelho aberta o tempo inteiro. Com ou sem senha, permanecem sob risco, como alvos preferenciais de ataques. Um exemplo: um entregador que procura o endereço para entrega com a moto parada, acessando o GPS ou entrando em contato com o cliente, pode ser alvo de um descuidista (que toma o celular de suas mãos enquanto está concentrado no aparelho e não percebe o ambiente em volta) ou de um assaltante (que toma o celular à mão armada e sai correndo). Outro exemplo: um motorista de aplicativo que prende o celular no volante para facilitar a consulta ao GPS e ao aplicativo de “mobilidade” pode ser vítima de um descuidista (que enfia o braço pela janela aberta do carro, arranca o aparelho do suporte e sai correndo) ou de um assaltante (que exige o celular à mão armada e sai correndo). Medidas técnicas de proteção do aparelho, nestes casos, terão eficácia muito reduzida. Uma solução aplicável a todos os casos, como medida preventiva específica, é o uso, para o trabalho, de um smartphone mais antigo, sem instalar nele nada além do estritamente necessário para trabalhar; deste modo, se o aparelho for levado, não será possível acessar contas bancárias, cartões de crédito, PIX ou fazer pedidos em aplicativos de lojas ou entregas. Outras soluções dependerão da criatividade de cada trabalhador.

O lugar onde se guarda as senhas é de extrema importância. O cérebro humano não está habituado a guardar por muito tempo informações complexas como senhas. Daí ter-se tornado comum usar a mesma senha para vários serviços, ou guardar as senhas no e-mail, no Whatsapp, em blocos de notas desprotegidos ou em arquivos de texto sem senha em discos virtuais. A terceira medida preventiva, portanto, é usar uma senha para cada serviço, e guardá-las cofres de senhas como Bitwarden ou Keepass (ambos podem ser usados em celulares Android e iPhone). Os dois aplicativos sugeridos têm geradores de senha embutidos, permitindo criar senhas altamente complexas sem ser necessário, para usá-las, memorizar qualquer senha além daquela que dá acesso ao próprio cofre. Deste modo, se o aparelho for levado com a tela aberta, será muito difícil acessar senhas de serviços sensíveis instalados nele.

A quarta medida preventiva é pouco conhecida, e poderá ser considerada extrema. Qualquer chip de celular já vem, de fábrica, com um Número de Identificação Pessoal, mais conhecido pela sigla PIN (Personal Identification Number), que pode ser usado como medida de segurança. Um celular com o PIN ativado exigirá sua digitação cada vez que o aparelho for ligado ou reiniciado, ou quando o chip for trocado de aparelho. Para encontrar o PIN, basta olhar a cartela plástica de onde o chip foi destacado, pois lá estão o PIN e a Chave de Desbloqueio Pessoal, mais conhecida pela sigla PUK (Personal Unlocking Key), outro código usado como medida de segurança extra. Quando o PIN é digitado erradamente três vezes, o chip é bloqueado, e só poderá ser usado novamente com a inserção da PUK; esta, por sua vez, poderá ser digitada erradamente até dez vezes, inutilizando completamente o chip no décimo erro. Com a ativação do PIN e da PUK, se o celular for desligado e ligado novamente, todos os serviços que dependam de identificação pelo número de telefone, ou pelos dados constantes no chip, serão bloqueados. Por isso, ao comprar um novo chip, recomenda-se guardar a cartela original em lugar seguro, e anotar o PIN e a PUK no cofre de senhas. O PIN, felizmente, pode ser alterado, tanto num celular Android (clique aqui para ver como fazer) quanto num iPhone (clique aqui para ver como fazer). Acontece, entretanto, que a maioria das pessoas joga fora a cartela do chip logo ao instalá-lo no aparelho, é difícil encontrar quem tenha tais números guardados em lugar seguro; nestes casos, pode-se, preventivamente, ligar para a operadora responsável pela linha e solicitar os dois códigos.

Por que tanta preocupação com o PIN e a PUK? Por causa da chamada autenticação por dois fatores, onde o “primeiro fator” é a senha, o “segundo fator” pode ser uma chave gerada por um segundo aplicativo, um código enviado por SMS ou e-mail, reconhecimento facial, leitura de impressão digital, etc.. Certos desenvolvedores de software, obrigados ainda outra vez a pensar na “praticidade”, preferem usar um meio simples para criar uma segunda camada de autenticação sem precisar recorrer a outros aplicativos ou a conhecimentos técnicos especializados. Tal opção dos desenvolvedores — legítima, aliás — usa SMS ou e-mail como instrumento para a segunda autenticação. No cenário adotado, entretanto, o aparelho está em poder dos atacantes; se a perda do segundo fator de autenticação é menos problemática quanto a certos aplicativos (de música, filmes e séries, de receitas culinárias, de controle de dieta, etc.), em outros (redes sociais, mensageiros instantâneos, bancos, compras, entregas, aplicativos profissionais, etc.) a perda poderá ser desastrosa. Infelizmente, há certos aplicativos sensíveis, incluindo aplicativos de fintechs relativamente famosas, que usam o envio de códigos via SMS como segundo fator de autenticação.

O problema não está no SMS, mas no fato de que certos aplicativos pressupõem que a mensagem SMS será enviada para o mesmo aparelho onde o aplicativo está instalado; em alguns deles, tal pressuposição é tão forte que têm permissão para ler SMS, e leem-no automaticamente, preenchendo automaticamente o código recém-recebido. Ora, se o aparelho foi acessado indevidamente, o envio de um código de segurança por SMS para o aparelho comprometido é, por si só, uma falha imensa na segurança. Além disso, tornou-se comum que atacantes, na tentativa de resgatar códigos SMS para acessar aplicativos de suas vítimas, simplesmente troquem o chip de aparelho para contornar medidas de segurança via software, para, deste modo, solicitarem os códigos, trocarem as senhas e continuarem invadindo contas e serviços da vítima. Neste caso, pouco ou nada se pode fazer além de medidas paliativas. Se a vítima já ativou o bloqueio do chip via PIN, será inútil trocá-lo de aparelho, e o ataque por este meio será frustrado. Se o chip ficar no mesmo aparelho, se a tela estiver desbloqueada e se a bateria não arriar, o atacante poderá receber, via SMS, todos os códigos necessários para mudar senhas, recuperar acessos, etc.

Como medida paliativa, pode-se fornecer como segundo fator de autenticação o número de uma pessoa muito próxima (pai, mãe, namorado(a), esposa, marido, filho(a), etc.), mas há inconvenientes nesta alternativa: a pessoa pode não estar próxima, ou com o aparelho, no momento em que a autenticação por SMS for necessária, ou o aparelho dela poderá ter sido comprometido na mesma ação. Pessoas com perfil de risco mais alto poderão implementar uma rotina incômoda e pouco prática, mas eficaz: usar como segundo fator de autenticação de aplicativos outro número, em outro chip com PIN, instalado num celular barato (sem ser smartphone) que se compra por R$ 100,00 a R$ 150,00 em qualquer loja de eletrônicos ou eletrodomésticos, ou num smartphone mais antigo sem aplicativos instalados (além dos aplicativos padrão de fábrica) nem contas associadas a ele. Este segundo aparelho não deve ser retirado de casa, deve permanecer desligado, e só deverá ser ligado novamente quando for necessário recuperar a senha; além disso, é preciso criar lembretes para fazer a recarga mínima do chip a cada três meses. Só assim o “segundo fator” estará, realmente, seguro.

A quinta medida preventiva ainda diz respeito à autenticação por dois fatores: nunca usar um e-mail acessível pelo aparelho. Se necessário, será preciso criar um e-mail novo só para uso em autenticações, separado dos e-mails habituais. Este e-mail não poderá ser instalado em aparelhos móveis em hipótese alguma; seu login e sua senha deverão ser guardados em lugar seguro, de preferência num cofre de senhas. Deste modo, se um atacante tentar mudar senhas usando o envio de códigos por e-mail, não receberá nada.

A sexta medida preventiva é a instalação de um aplicativo de rastreio e deleção completa do celular: com um destes, é possível localizar o aparelho com razoável precisão, e apagar todo o seu conteúdo. Infelizmente, o serviço Find My Device, do Google, ainda é a melhor alternativa; aplicativos como Android Lost dependem da infraestrutura do próprio Google, e soluções de gerenciamento de aparelhos móveis (mobile device management — MDM), como Flyve, dependem de infraestrutura informática própria (servidor web), de conhecimento técnico para implantação e gestão, e do pagamento de licença, tornando tais softwares MDM opções fora do alcance de um usuário comum de celulares. Considerando a péssima reputação do Google quanto à privacidade de seus usuários, a melhor solução para continuar usando o serviço Find My Device poderá ser a criação de uma conta Google exclusiva para esta finalidade, com um nome de usuário totalmente aleatório (p. ex., “[email protected]”), que não se consiga associar a ninguém; o usuário e a senha deverão ser guardados em seu cofre de senhas para referência futura.

A sétima medida preventiva é não usar aplicativos inseguros, ou seja, aplicativos que permaneçam abertos independentemente de senha, impressão digital, reconhecimento facial ou qualquer medida de autenticação. Infelizmente, este é o caso da maioria dos aplicativos de e-mail, redes sociais, mensageria, compras e serviços: para garantir a “praticidade”, certos desenvolvedores secundarizam a segurança, assumindo, sempre, que o acesso ao aparelho é feito por pessoa autorizada, e que o bloqueio de tela é proteção suficiente. É legítimo a um desenvolvedor de software presumir tal cenário, mas, no modelo de ameaça adotado (“acesso a um celular desbloqueado”), ele deve ser assumido como risco grave. Comprometida a segurança do aparelho por um acesso não-autorizado, qualquer pessoa poderá se fazer passar por outra, e poderá, com isso, causar muito estrago. Um aplicativo inseguro de e-mail poderá ser usado muito facilmente para burlar a autenticação de dois fatores, pois códigos de segurança serão recebidos por lá e usados, em seguida, para mudar senhas e sequestrar identidades digitais. Um aplicativo de compras que tenha um cartão de crédito permanentemente cadastrado poderá ser usado para estourar todo o limite do cartão por meio de compras. Um aplicativo de mensagens poderá ser usado para pedir dinheiro ou combinar encontros (p. ex., para sequestros-relâmpago); redes sociais poderão ser usadas para a mesma finalidade. Conseguida a senha do aplicativo bancário (quando salva no próprio aparelho de forma insegura), um atacante poderá fazer empréstimos e transferências bancárias, autorizar compras, mudar as autenticações (senha, reconhecimento facial, impressão digital, autenticação de dois fatores, etc.). Por tudo isso, além das medidas preventivas anteriores, é necessário desinstalar completamente os aplicativos inseguros; o acesso a redes sociais ou e-mail poderá ser feito em computadores, ou no navegador do próprio celular. Um caso especial são os mensageiros instantâneos, que permitem o bloqueio pela senha do aparelho (Signal) ou impressão digital (Signal, Whatsapp); mesmo assim, é difícil encontrar quem habilite tal proteção, que se recomenda manter ativada.

A oitava medida preventiva é simples: apague de seu aparelho os aplicativos que não usa mais. Um exemplo simples do risco envolvido, que nos chegou por relato pessoal, é o caso de um celular furtado onde permanecia instalado um aplicativo de “mobilidade” sem uso há meses: ele foi usado para pedir corridas que, descobriu-se depois, estavam envolvidas em assaltos. A regra: se um aplicativo não é usado há mais de três meses, deve ser desinstalado. Se houver feito alguma conta com login e senha para acessá-lo, salve tudo em seu cofre de senhas antes de desinstalar.

A nona medida preventiva é vasculhar o aparelho, novamente, em busca de aplicativos que contenham as seguintes informações da vítima: nome completo, data de aniversário, nome completo da mãe, endereço residencial, telefone de recuperação (usado pra redefinir senha de e-mails, contas bancárias e demais dados sensíveis), e qualquer número de identidade (RG, CPF, CNH, etc.). Tais dados devem, no mínimo, estar em aplicativos protegidos por senha, quando absolutamente necessário; se não for necessário, os dados devem ser apagados, ou o aplicativo deve ser desinstalado.

A décima medida preventiva é anotar o número IMEI do celular. IMEI (International Mobile Equipment Identity) é a sigla que designa a Identidade Internacional de Equipamentos Móveis, um número internacionalmente padronizado que pode ser comparado ao número do chassi de um automóvel, também internacionalmente padronizado (pela norma ISO 3779). O IMEI será usado se for perdido o acesso ao aparelho por perda, furto ou roubo.

 

Medidas preventivas junto a instituições financeiras

Além das medidas preventivas técnicas, existem três medidas preventivas que podem ser adotadas junto às instituições financeiras onde a vítima em potencial tem conta(s).

Primeira: só instale aplicativos de banco em seu celular se for absolutamente obrigatório. Se se tem cartão de débito e cartão de crédito físicos, e se o segundo fator de autenticação em caixas eletrônicos não é seu celular (p. ex.: biometria, combinação de letras, etc.), não é necessário ter aplicativos do banco para usar como chave de segurança. Mesmo para pagamentos via PIX o uso de celulares não é incontornável: há bancos que permitem fazer pagamentos via PIX usando o internet banking, que deverá ser acessado em computadores seguros.

Segunda: reduza ao máximo o limite do PIX. A redução do limite evitará problemas, e poderá ser revertida pelo próprio correntista sempre que necessário. Alguns bancos permitem cadastrar certas chaves PIX numa espécie de “agenda de contatos”, e estabelecem limites diferentes entre as chaves cadastradas na “agenda” e as chaves “desconhecidas”; se este serviço for oferecido, reduza ao mínimo possível o limite para PIX desconhecidos.

Terceira: solicite cartões de crédito virtuais para uso em aplicativos. Os cartões de crédito virtuais são uma espécie de “extensão” do cartão de crédito real, embora tenham número diferente e usem e código de verificação CVV diferente. Cartões virtuais têm várias limitações em comparação com o cartão “físico”, diferentes de banco para banco: alguns podem ser usados apenas uma vez, outros só podem ser usado até um número fixo de vezes, ainda outros só podem ser usados até certo limite de valor (desaparecendo em seguida), e há, ainda, cartões com prazo de validade curtíssimo (72 horas, 48 horas, etc.). Há bancos que permitem mais de um cartão virtual.

 

Medidas interventivas

As medidas preventivas acima reduzem enormemente os impactos de acessos não-autorizados a celulares. Mesmo assim, deve-se considerar o que fazer depois de identificado um acesso indevido. São as medidas interventivas. Todas devem ser tomadas o quanto antes; a partir do instante em que o aparelho houver sido comprometido, tem início uma corrida entre atacante e vítima, com o primeiro tentando garantir acesso a todo o conteúdo do celular para mudar senhas e outras formas de autenticação (reconhecimento facial, impressão digital, etc.) e a segunda tentando impedir a ação do primeiro. Relatos indicam que os dez primeiros minutos são cruciais nesta corrida.

Não entraremos em medidas jurídicas ou criminais, porque não entendemos do assunto e não nos sentimos à vontade para recomendar nada além de registrar a ocorrência na delegacia mais próxima ou na Delegacia Virtual do Ministério da Justiça, onde possível. O registro na Delegacia Virtual costuma ficar pronto em até 24 horas, enquanto o registro presencial em delegacia, superadas as dificuldades de acesso às próprias delegacias (distância, acessibilidade, etc.) e os problemas característicos das próprias delegacias (“sistema” que “cai” toda hora, espera, etc.), é entregue na mesma hora. Em qualquer dos casos, o boletim de ocorrência será usado em várias das medidas interventivas a seguir. Se possível, o número IMEI deverá ser fornecido durante o registro da ocorrência. Poderá ser necessário procurar um advogado para recuperar eventuais prejuízos judicialmente.

A primeira medida interventiva é usar o aplicativo de rastreio e deleção do celular (estilo Find My Device) para apagar completamente o conteúdo do aparelho. É preciso “zerar” imediatamente o celular, apagar tudo, para reduzir ao máximo as chances de invasão a aplicativos sensíveis. Aplicativos como Find My Device podem apagar todos os dados do celular à distância, se ele estiver conectado à internet.

A segunda medida interventiva— aliás urgente, urgentíssima, que se deve fazer imediatamente e sem perda de tempo — é a comunicação imediata da invasão do aparelho aos bancos em que a vítima tem conta, usando os canais de atendimento ao cliente dos próprios bancos, para pedir-lhes que bloqueiem as contas e cartões afetados. Alguns bancos exigem o boletim de ocorrência para bloquear as contas e aplicativos, outros fazem-no por simples solicitação dos clientes mediante verificação de identidade. Alguns bancos fornecem um número de protocolo do atendimento (que deve ser anotado), outros não; nos dois casos, se possível, faça a ligação no viva-voz e use outro aparelho para gravar ou filmar tudo o que for dito. O que importa é fazer a comunicação e bloqueio o mais rápido possível. Se o aparelho houver sido comprometido perto de algum comércio, a vítima pode tentar ir até lá, explicar o acontecido, pedir emprestado o telefone e fazer imediatamente esta ligação. A rapidez é essencial, pois os atacantes tentarão acessar aplicativos de bancos, cartões de crédito, fintechs e similares em menos de meia hora. Com o bloqueio das contas e cartões, se os atacantes obtiverem acesso aos aplicativos, não conseguirão usar contas bancárias e cartões de crédito por causa do bloqueio; se o fizerem, e se o banco não anular as transações realizadas, a situação poderá ser resolvida na justiça com um advogado.

A terceira medida interventiva, tão urgente quanto as duas primeiras, é ligar imediatamente para a operadora telefônica pedindo o bloqueio da linha e do chip furtados. Com o bloqueio, o número bloqueado não poderá mais receber SMS, e, por conseguinte, não poderá mais ser usado para recuperar senhas até que a linha seja resgatada. Além disso, com a linha bloqueada o acesso à internet será cortado, e atacantes somente poderão tentar novos acessos a aplicativos usando outras redes à sua disposição. Será importante comunicar à operadora o número IMEI do aparelho, para inutilizá-lo; se for possível recuperá-lo, o fato deverá ser comunicado novamente à operadora, para retirar as restrições ao aparelho antes de se poder usá-lo novamente. Mas atenção: só peça o bloqueio da linha depois de apagar remotamente o conteúdo do aparelho; do contrário, não será possível conectar-se ao celular remotamente, e o atacante ainda poderá acessar aplicativos locais e de internet (numa rede wifi, por exemplo).

A quarta medida interventiva é mudar a senha de todos os aplicativos instalados no celular, sem exceção. O cofre de senhas ajudará, pois, sabendo login e senha originais dos aplicativos, sabe-se quais precisarão ser mudados. Além disso, ao perceber dificuldades no acesso a e-mail, redes sociais, mensageiros, aplicativos de compras e entregas, etc., a vítima poderá “mapear” quais deles poderão ter sido comprometidos, e assim preparar uma estratégia de defesa. Em caso de suspeita de comprometimento, as empresas por trás dos aplicativos deverão ser contatadas para providenciarem o resgate da conta e o bloqueio ou reversão dos usos indevidos.

A quinta medida preventiva é avisar familiares e amigos sobre o comprometimento do celular. São bastante conhecidos do público os chamados “golpes de Whatsapp” em que atacantes, tendo conseguido acesso ao Whatsapp de suas vítimas, fazem-se passar por elas, e pedem dinheiro a amigos e familiares. Atacantes também usam redes sociais e outros aplicativos de mensagens instantâneas para o mesmo resultado; nesta modalidade, podem mesmo usar fotos encontradas no celular para criar novos perfis e contas, apresentando-se aos contatos encontrados no aparelho como se fossem a vítima. O círculo de relacionamentos da vítima deve ser alertado do comprometimento do aparelho; se o acesso a e-mails, redes sociais e mensageiros instantâneos houver sido perdido, o alerta deve ser lançado usando, por exemplo, meios similares de familiares e amigos.

A sexta medida interventiva é acessar a ferramenta Registrato, do Banco Central, para checar se os dados da vítima foram usados para criar contas bancárias ou solicitar empréstimos. O Registrato permite acessar e baixar um relatório simplificado de todas as contas bancárias e empréstimos relacionados a um CPF; se o CPF houver sido usado sem a autorização da vítima, o relatório poderá ser baixado como prova para resolver a questão judicialmente.

 

Insegurança digital: azar ou projeto?

Quem teve paciência para chegar até aqui percebeu a enorme carga de responsabilidade lançada sobre os ombros de cada usuário de smartphones. Faça isso, cuide daquilo, aja assim… Ter um smartphone parece até perigoso. (Em certos aspectos, é, sim, mas não é este o assunto do texto.) Segundo o Fórum Brasileiro de Segurança Pública, em São Paulo, em média, a cada cinco minutos acontece um roubo de celular, tendo ocorrido 17.044 eventos do tipo entre janeiro e fevereiro de 2022 — alta de 4,30% em comparação com o mesmo período de 2021. Mesmo assim, tal cifra é inferior aos 23.155 celulares roubados no primeiro bimestre de 2020, quando ainda não estavam em total vigor as restrições sanitárias associadas à pandemia de COVID-19. A tendência é de aumento nos roubos, e de crescimento proporcional dos acessos indevidos a dispositivos móveis.

Do nosso ponto de vista, a situação de insegurança digital no momento envolve antecedentes que, inofensivos isoladamente, transformam-se em ameaça muito séria quando ocorrem ao mesmo tempo.

Em primeiro lugar, a insegurança está nos aplicativos. Conforme a maior ou menor suposição do risco envolvido no uso do aplicativo, desenvolvedores de aplicativos para dispositivos móveis costumam pressupor o bloqueio de tela como meio de autenticação absolutamente confiável e, em nome da “praticidade”, descuidam dos mecanismos de autenticação nos aplicativos que desenvolvem. Claro, não é razoável exigir autenticação de dois fatores para consultar a Wikipédia ou um aplicativo de receitas culinárias, tampouco senha para abrir um leitor de PDF; tal exigência, entretanto, torna-se razoável quando se trata de aplicativos de comunicação (e-mail, redes sociais, mensageiros instantâneos), de compras e entregas, de bancos e cartões de crédito, etc. A inserção de solicitações de autenticação (senha, digital, reconhecimento facial, etc.) antes de certas operações seria boa para a segurança, com certeza, mas o problema é “mais embaixo”.

Alguns de nós trabalham desenvolvendo e administrando aplicativos para grandes empresas, e podemos dizer: nem sempre a escolha entre segurança e “praticidade” está a nosso alcance. Para serem geridos e protegidos adequadamente contra ameaças externas, certos sistemas digitais exigiriam, no mínimo, equipes muito grandes de desenvolvedores e administradores, realização rotineira de testes de penetração (pen tests) e programas eficazes de recompensa à detecção de erros por terceiros (bug bounty). O problema: tudo isso é caro. Nem as empresas mais capitalizadas estão dispostas a investir em segurança enquanto não houver escândalos que abalem sua reputação de mercado ao ponto de exigir medidas concretas, não somente ações de relações públicas.

Além disso, certos sistemas digitais são compostos, na verdade, por vários sistemas interligados, acessados por meio de interfaces diferentes. O gerente do banco, por exemplo, pode acessar os mesmos dados que um cliente, mas usa sistemas diferentes, com interfaces diferentes, para fins diferentes, e tem permissões de acesso diferentes, que lhe dão acesso a funcionalidades diferentes relativamente aos mesmos dados. Tudo isso está interligado por softwares que, mesmo quando usam linguagens conhecidas (Python, C, Java, C++, C#, Visual Basic, Assembly, SQL, PHP, Delphi, Pascal, Perl, Lua, Ruby, etc.), foram desenhados para atender a necessidades específicas de cada empresa. Imaginem a complexidade! Agora, imaginem que, além da complexidade, quem trabalha em TI para grandes empresas sofre enormes pressões para produzir softwares “práticos” e a melhorar a “experiência de usuário”, conhecida pela sigla UX (user experience). “Praticidade”, entre outras coisas, significa chegar ao resultado desejado pelo usuário no menor tempo possível, com o mínimo possível de obstáculos entre o desejo do usuário e o resultado que o satisfaça. Ora, o que é mais “prático”, um aplicativo que faz compras com dois ou três toques na tela, ou um aplicativo que te pede alguma autenticação a cada transação? Deixamos a questão em aberto, para sua reflexão. Já sabemos a resposta das empresas, porque a sentimos nas pressões que recebemos.

Em segundo lugar, a insegurança está no sistema financeiro e em seu relacionamento com clientes. Bancos, instituições de pagamento, administradoras de cartão de crédito e fintechs têm péssimos serviços de relacionamento com clientes.

Algumas de nós trabalharam em call centers por muitos anos para pagar a faculdade, outras de nós ainda estão por lá; muitos dos call centers onde trabalhamos eram credenciados de instituições financeiras, e vimos em primeira mão como funciona o sistema. Fazemos o possível para dar alguma qualidade ao atendimento, mas nosso treinamento é precário, nossos equipamentos são ultrapassados, as salas onde trabalhamos são quentes e barulhentas, nossos roteiros de atendimento ao cliente são engessados, as URA (unidade de resposta audível, os “robôs” das “robochamadas”) são muito mal configuradas (erros de programação, linguagem inadequada, menu ineficaz, etc.)… Nem colocamos o salário em questão, porque já sabíamos que era baixo quando aceitamos o emprego. Recebemos pouco, temos péssimas condições de trabalho. Para um trabalho de merda, com salário de merda, não estranhem se o resultado for um serviço de merda: atendimento vago e impessoal, falta de continuidade na prestação do serviço (o cliente tem de explicar a mesma situação de novo, e de novo, e de novo), má vontade no atendimento, transferências sucessivas (“passar a bola” é normal), pouca disponibilidade para resolver situações fora do roteiro… Não é à toa que se conta nos dedos das mãos quem dura muito nesse trabalho. Outros de nós trabalham, ou trabalharam, desenvolvendo e gerindo sistemas de atendimento no internet banking para bancos e fintechs, e podemos dizer que os problemas são muito parecidos.

Com tudo isso em vista, é claro, é óbvio, é evidente, é cristalino, é insofismável que empresas desenvolvedoras de software, instituições financeiras e empresas de relacionamento com cliente não vão assumir a responsabilidade pela insegurança nos aplicativos de celular. A insegurança digital não interessa nem a eles, nem a aos trabalhadores do setor, nem aos clientes. Se vivêssemos no Jardim do Éden, no Orum ou no Jannah, claro, chegaríamos todos a um acordo para resolver a situação; o problema é que vivemos no capitalismo, os empresários e gestores é que mandam, suas decisões, assim como suas omissões, são baseadas em custo e lucro, e sai mais simples e barato para os empresários e gestores jogar a responsabilidade única e exclusivamente sobre o cliente/usuário final. Deste modo, reduz-se a necessidade de investimento em tecnologias que tragam mais segurança para os clientes e melhores condições para os trabalhadores fazerem seu serviço. Faz-se um remendo aqui, um ajuste ali, uma operação de relações públicas para lidar com casos mais drásticos e impactantes, e pronto. No máximo, os trabalhadores do setor são cobrados a serem ainda mais “produtivos” e “criativos” ao buscar “soluções” para as “demandas” dos “clientes” — que, aliás, são também trabalhadores em sua maioria; a proporção de clientes vip de um banco é menor e eles pagam menos em taxas (proporcionalmente à renda) que um cliente do varejo, mas têm gerentes exclusivos, concierge, agências boutique e o escambau, e aliás quase nunca precisam de relacionamento, porque mandam o contador resolver tudo com o banco. É a velha história: a burguesia ganha quando põe trabalhador para brigar com trabalhador. Bingo!

A insegurança digital em que vivemos, portanto, não é aleatória. É a externalidade negativa de decisões e omissões reiteradas de empresários e gestores. Isoladamente consideradas, analisadas caso a caso, tais decisões e omissões, podem se mostrar, inclusive, inofensivas. O problema, como dito, está “mais embaixo”. Quando muitos empresários e gestores decidem reiteradamente num mesmo sentido, ou quando abstém-se de modo similar em ramos inteiros da produção econômica, o problema deixa de ser da empresa X ou Y, do aplicativo A ou B, e passa a ser um projeto de classe. Para entender a insegurança digital como um fenômeno projetado, não importa saber se existe ou não um “acordo” consciente ou uma “conspiração” para que empresários e gestores nas áreas de finanças, tecnologia da informação e de relacionamento com o cliente ajam ou deixem de agir da mesma forma, desde que se verifique, na prática, que o fazem. Neste nível de concretude abstrata, qualquer medida de segurança digital será paliativa. Ou trabalhadores/clientes buscam alianças com os trabalhadores/prestadores de serviço para virar o jogo (este, e outros), ou ficará tudo na mesma.