Houve um tempo em que o cuidado com a segurança digital era uma receita de bolo: siga estes passos, instale isto e aquilo, evite fazer tal coisa e você estará bem. Embora as dicas clássicas continuem válidas, há algum tempo elas deixaram de ser suficientes para alguém acessar a internet sem correr riscos. O problema cresceu tanto que, hoje, a sua proteção online não depende mais apenas de você. Virou uma guerra, que envolve o crime organizado, as grandes empresas e os governos. E você, na linha de fogo e sem ter muito o que fazer além de contemplar um cenário cada vez mais caótico.

A história que Fabio Assolini, pesquisador de segurança sênior da Kaspersky, me contou é um ótimo exemplo de como estamos impotentes diante das ameaças digitais modernas.

Em 2018, ele estava na Rússia a trabalho usando seu celular normalmente. Seu plano corporativo contempla roaming internacional, ou seja, com o chip da operadora brasileira, o celular dele se conecta às redes das operadoras russas para que ele usufrua dos serviços de telefonia e internet com o seu número original.

No segundo dia da viagem, logo ao acordar, Assolini notou que seu celular estava sem sinal. Reiniciou o aparelho, procurou pontos mais altos para melhorar a recepção, mas nada adiantou. Ele tinha sido vítima de um ataque de SIM Swap, quando criminosos transferem o número do celular da vítima para outro chip a fim de aplicar golpes de engenharia social se passando por ela no WhatsApp ou acessar serviços de pagamento e redes sociais via sistemas de recuperação de senhas por SMS.

Apoie o Manual do Usuário.

Você ajuda a manter o projeto no ar e ainda recebe recompensas exclusivas. Saiba mais »

Assolini não teve nenhum prejuízo porque agiu rápido. Por VoIP, aproveitando o Wi-Fi do hotel onde estava hospedado, entrou em contato com o atendimento da sua operadora no Brasil e reverteu a troca do chip perpetrada pelo criminoso. “Surpreendeu-me a naturalidade com que o atendente recebeu a solicitação”, relembra, sugerindo que lidar com ataques desse tipo virou rotina nas centrais de atendimento das operadoras brasileiras. “O atendente disse que a minha linha fora reportada como perdida ou roubada. Ele falou com uma calma…”

O fato de um profissional de segurança digital respeitado, competente e com muitos anos de experiência na área ter sido vítima de um ataque dá a dimensão de como esta guerra é inglória para o indivíduo.

Governos e grandes empresas

Nos últimos anos, a guerra contra os chamados cyber criminosos passou a ser travada em múltiplos fronts, ampliando os pontos passíveis de ataque e a necessidade de atenção a eles. “Quando a gente fala ‘proteger’, tem que ser de várias formas”, explica Eduardo Magrani, coordenador de Direito e Tecnologia do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio). “Podemos estar falando de privacidade, sigilo de dados, cyber segurança… tem várias frentes possíveis quando se fala em proteção”.

A digitalização da economia, que trouxe para a internet negócios, comércio, toda a estrutura das empresas e os governos, não deixou de fora a criminalidade. Se nos anos 1990 os maiores perigos que a rede representava a alguém conectado eram a exclusão de arquivos ou algum adolescente desocupado tomando o controle da bandeja de CD-ROM do computador, hoje estão presentes na rede os incentivos universais para ilicitudes diversas e flertes com o autoritarismo estatal: muito dinheiro rolando e sistemas de vigilância sofisticados, acessíveis e baratos.

“As corporações estão mais agressivas”, diz Leandro Demori, editor-executivo do The Intercept e que tem em seu currículo um treinamento em navegação anônima e criptografia no Centro de Jornalismo Investigativo da Universidade de Londres. Demori também enxerga nos governos outra ameaça real: “Hoje, raramente um governo sufoca a população com armas. É com dados e vigilância. Temos vários exemplos, talvez os maiores sendo a China, Rússia e os Estados Unidos, no caso Snowden. É o governo fazendo a vigilância em massa dos cidadãos junto com as empresas.”

De um lado, o capitalismo de vigilância bebe a nossa privacidade para gerar receita e lucros imensuráveis a seus detentores — vide o caso do Facebook. De outro, governos tentam a todo custo monitorar os cidadãos em busca de maior controle da esfera pública. À margem desses atores institucionais, criminosos se aproveitam de qualquer brecha para tirar vantagem, usando ferramentas e técnicas cada vez mais sofisticadas e muita criatividade.

Nenhuma guerra na história da humanidade foi vencida por alguém sozinho. Por que esta seria diferente?

Tendências

Tomar ciência dessa situação pode ter um efeito paralisante nas pessoas. Fica ainda pior porque ela está em constante mutação. O tempo todo, como em uma briga de gato e rato, uns fecham lacunas enquanto outros encontram novas formas de contra-atacar. Atualizar o antivírus é nada perto do que “estar atualizado” em segurança digital significa atualmente.

Assolini, que monitora toda a sorte de ataques digitais com ênfase na América Latina, destaca três mudanças importantes em segurança digital nos últimos anos e que ainda, na sua opinião, não estão bem difundidas: o aperfeiçoamento dos ataques do tipo phishing, em que criminosos se passam por uma empresa real ou outra pessoa a fim de obter dados sensíveis como senhas de banco e outras credenciais; o risco de se usar a autenticação em dois fatores via mensagens de texto (SMS); e o aumento dos vazamentos de dados.

O cadeado verde que aparece na barra de endereço dos sites, explica ele, deixou de ser um sinalizador de legitimidade. (O Manual do Usuário já falou disso.) O que esse ícone atesta — e sempre atestou, na real — é que a comunicação entre o dispositivo do usuário e o servidor está criptografada, e só. Com o barateamento dos certificados de criptografia e o incentivo do Google, que nos últimos meses passou a sinalizar sites sem criptografia como inseguros em seu navegador Chrome, houve uma migração em massa para sites certificados, com o cadeado — incluindo os de golpistas. Em novembro de 2018, um estudo da PhishLabs descobriu que 49% dos sites de phishing detectados no terceiro trimestre daquele ano estavam criptografados.

Já a autenticação em dois fatores é uma camada extra no acesso restrito a contas e perfis na internet. É algo que você tem (uma senha temporária) que se soma a algo que você sabe (a senha definida no ato do cadastro), tipo aqueles tokens de bancos. Muitas empresas oferecem essa camada extra via mensagens de texto (SMS), o que, para Assolini, é uma falha grave, já que ataques de SIM Swap, como o que ele sofreu na Rússia, dão de bandeja essa ferramenta de segurança ao criminoso e são literalmente impossíveis de evitar por parte do usuário. A recomendação é usar aplicativos específicos para esse fim, como o Authy ou o Google Authenticator, que não dependem da rede das operadoras para funcionarem.

“A grande quantidade de dados pessoais expostos é combustível para o crime virtual”, enfatiza Assolini. Os dados facilitam ataques de engenharia social, roubos de identidade e outros crimes. Compras podem ser feitas em nome da vítima, empresas de fachada podem ser abertas e até mesmo a obtenção de mais informações e outras vantagens ocorrerem a partir de uma amostra mínima de dados disponibilizados indevidamente.

Em um caso que ficou muito famoso em 2012, o jornalista norte-americano Mat Honan teve a sua conta na Apple invadida e todas as suas fotos (e as da sua filha desde o nascimento) e dados excluídos porque alguém se passou por ele junto ao atendimento da Amazon e conseguiu uma senha que lhe deu acesso aos demais serviços digitais.

Embora sejam tendências, essas três estão longe de representarem o conjunto de ameaças digitais enfrentado atualmente. Em comum, porém, elas e outras têm os dados pessoais, o “combustível” do crime digital, da vigilância e das receitas obscenas das grandes empresas de tecnologia. É o petróleo do século XXI e, cada vez mais, o principal alvo dos criminosos.

Proteja seus dados

“Qualquer pessoa preocupada [com segurança e privacidade digital] deve se preocupar muito com a gestão dos próprios dados”, diz Demori. Essa recomendação é ecoada por todos os profissionais com quem o Manual do Usuário conversou. “A gente joga informações na internet o tempo todo sem saber como os sites tratam elas, quais são coletadas, para onde elas são transferidas. A primeira coisa [para ficar mais seguro] é tentar entender qual é o tratamento dos dados que a gente coloca na internet”, orienta Magrani.

Assolini dá uma dica mais radical: mentir. Existem cadastros que demandam informações verídicas, como compras em lojas virtuais e sistemas governamentais, mas em qualquer outra situação em que dados válidos não são essenciais, inventá-los ajuda a frear o espalhamento dos seus dados pelos cantos obscuros da internet. “Vai fazer um cadastro em um site? Não é algo que envolve dinheiro, compras? Minta. Você não sabe se aquele site cuidará bem dos seus dados e depois vai ter nome, endereço, telefone, CPF expostos a criminosos que poderão usá-los para coisas ruins”, alerta ele.

Sylvestre Mergulhão, CIO da Impulso, ecossistema de serviços para equipes de tecnologia, relembra uma antiga orientação em segurança digital que, nesse contexto, cresce em importância: a atenção. “A pessoa precisa desconfiar de sites com o mínimo de suspeita de ser fraudulento ou quando recebe ligações pedindo muitos dados. Depende mais do bom senso da pessoa do que de tecnologia”, argumenta.

Ataques como o SIM Swap, embora inevitáveis, podem ser neutralizados se detectados e tratados rapidamente, como demonstrado por Assolini. “Tem que ficar atento”, afirma o pesquisador da Kaspersky.

Essa dica mais genérica, embora válida, esbarra em um problema: nós mesmos. Exigir um nível avançado de discernimento e um estado de atenção elevado e constante de pessoas que, além de não serem especialistas, não se interessam tanto por segurança digital, pode ser demais. Demori chama a atenção a esse aspecto: “Nesse caso, é um pouco uma luta social, como aconteceu com vários casos ao longo da história. Precisa ter uma conscientização, que é lenta. Algumas pessoas já falam disso, mas é um tema sempre duro de lidar com o público em geral porque as pessoas não entendem o valor dos dados pessoais”.

Nesse sentido, lembra Magrani, a Lei Geral de Proteção de Dados, sancionada em 2018 e que deve entrar em vigor em agosto de 2020, é uma aposta de especialistas para conter a festa desregrada que se faz hoje no Brasil com os dados pessoais da população. Embora tenha saído com alguns contratempos em relação ao texto original, como a Autoridade Nacional de Proteção de Dados (ANPD) submetida à Presidência da República em vez de um órgão independente, ela forçará mais responsabilidade no tratamento dos dados pelas empresas e governo.

A lei ajuda, mas sozinha não resolve. É preciso conscientização para que o problema, que é real e urgente, seja assim percebido pela opinião pública.

“É uma luta justa, que ainda não vejo a população comprando porque parece uma luta de luxo em um país onde falta saneamento básico e outras necessidades. Mas, na real, é uma coisa presente e que afeta a todos. Não vejo outra saída que não a mobilização social para isso”, finaliza Demori.

De qualquer maneira, proteja-se

Há pouco a se fazer em relação a diversos tipos de ataques e vazamentos de dados, mas algumas dicas clássicas na área de segurança digital continuam válidas — e ganham mais importância na medida em que o ambiente digital se torna mais hostil. “São dicas básicas que não vão resolver a vida de ninguém, mas é um ‘be-a-bá’ da segurança”, diz Demori.

A lista abaixo foi compilada com base em pesquisa e nos comentários feitos pelos especialistas consultados para esta reportagem.

1. Criptografe o que for possível

A criptografia consiste em “embaralhar” um código computacional que só se torna legível novamente mediante o uso de uma senha. O WhatsApp, por exemplo, é assim por padrão: se alguém obtiver o seu celular e pegar os arquivos do aplicativo sem desbloqueá-lo antes, não conseguirá ler absolutamente nada.

Hoje, muitos softwares oferecem criptografia pesada e fácil de usar. O WhatsApp e alguns outros aplicativos de mensagens, como o Signal e o iMessage, têm criptografia de ponta a ponta obrigatória. Em outros, como o Telegram, ela é opcional.

Sistemas operacionais também podem ser criptografados. Nesse caso a medida é especialmente importante porque, caso você perca ou tenha seu celular ou notebook roubado ou furtado, o criminoso não conseguirá acessar seus arquivos pessoais. Ele terá apenas um peso de papel ou, se muito, conseguirá apagar todos os seus arquivos para reutilizar o aparelho com se fosse novo.

Aqui no Manual, já ensinamos como criptografar a sua vida inteira em menos de uma hora. Faça isso.

2. Ative a autenticação em dois passos

A autenticação em dois passos acrescenta uma camada extra na hora de acessar algum sistema ou aplicativo privado. A senha (algo que você sabe) se soma a algo que você tem — outra senha temporária e descartável, o que é mais comum, ou uma chave física, como a Yubikey, ainda pouco difundida fora dos círculos tecnológicos.

A maioria das redes sociais, e-mails e outros sistemas populares oferece autenticação em dois passos. Ativá-los implica em uma etapa extra para fazer login, o que pode ser uma chateação para alguns, mas aumenta consideravelmente a segurança do acesso, já que mesmo que a sua senha vaze, alguém mal intencionado não conseguirá acessar seus perfis e contas pessoais.

Sempre que tiver a opção, prefira a autenticação em dois passos por aplicativo em vez das mensagens SMS, mais comuns e inseguras. A minha recomendação é o Authy, que faz backup criptografado da sua conta na nuvem, algo que facilita muito em caso de extravio ou troca do celular — entenda como funciona (em inglês). Outra opção popular é o Google Authenticator.

3. Use um gerenciador de senhas

Outra regra antiga e super válida: jamais repita suas senhas em múltiplos serviços. Muita gente a negligencia porque com o tanto de serviços que usamos hoje, lembrar-se de todas elas é humanamente impossível. Felizmente, os gerenciadores de senhas nos livram dessa tarefa impossível.

Com um app desses instalado, você só precisa se lembrar de uma senha, a do próprio app. (Por isso, é importante que ela seja longa e forte.) As demais o gerenciador “lembra” por você. Ele também é capaz de gerar senhas aleatórias e compridas, tirando mais essa tarefa dos seus ombros. E os melhores serviços têm aplicativos para várias plataformas, de computadores e smartphones, facilitando muito a autenticação.

O LastPass é a opção mais popular entre as gratuitas — existe uma versão paga, mas a gratuita dá conta do recado para a maioria. Entre as pagas, o 1Password e Dashlane são ótimas escolhas. Se você usa somente dispositivos da Apple, o Keychain (ou Chaves) é nativo no iOS e macOS, gratuito e funciona bem.

4. Have I been pwned?

As grandes dificuldades em lidar com vazamentos é que eles independem de qualquer ação do indivíduo e os dados que costumam vazar quase sempre são insubstituíveis — a menos que você queira e possa trocar de identidade, o que não deve ser o caso a menos que você seja um foragido da Justiça.

Além de mentir em cadastros de sites estranhos e dar o mínimo possível de dados pessoais sempre que possível, é uma boa monitorar quais dados seus estão rolando por aí, em bancos de dados criados a partir de vazamentos públicos.

Mantido pelo pesquisador especializado em segurança digital Troy Hunt, o site Have I Been Pwned cataloga esses bancos de dados e permite jogar seu e-mail contra eles, ou seja, verificar se seus dados vazaram e, se sim, de quais locais. Você pode, ainda, tocar no link “Notify me”, no menu principal, e deixar seu e-mail ali para ser avisado de pronto caso novos vazamentos ocorram.

“Mas vou deixar meu e-mail ali depois de você me dizer para tomar cuidado com o compartilhamento de dados pessoais?” Muito bem! Hunt é respeitado pela comunidade internacional e faz esse trabalho há anos, então não será por má-fé ou descuido que ele comprometerá seu e-mail. Se ainda assim você não se sentir confortável, pode fazer buscas regulares pelo seu e-mail na página principal do site, ação que não registra esse dado em lugar algum.

5. Precisa de antivírus?

Os sistemas operacionais comerciais modernos, principalmente os de smartphones, melhoraram muito as fundações de segurança contra vírus e ameaças mais tradicionais. Esse aperfeiçoamento colocou em xeque a necessidade do antivírus, que não raro interfere no uso do sistema e o deixa mais lento.

“Sei que você não usa antivírus e muita gente da imprensa de tecnologia também não”, disse-me Assolini (sobre isso, tem um longo texto publicado no Manual em 2017), “mas continuo insistindo na importância do antivírus”. Ele diz que, hoje, os antivírus protegem o usuário de vários tipos de ataques, como os de phishing, e se antecipam a práticas emergentes localizadas, como os golpes específicos para a América Latina, monitorados por ele e sua equipe na Kaspersky.

“A gente fala ‘antivírus’, mas hoje as suítes de segurança são mais do que isso. Elas blindam o sistema”, explica.

6. Mantenha aplicativos e sistema sempre atualizados

Essa é outra dica básica e elementar: mantenha seus aplicativos e sistemas atualizados. O super ataque do ransomware WannaCry, no primeiro semestre de 2017, afetou empresas no mundo inteiro explorando uma brecha do Windows que já havia sido corrigida em uma atualização rotineira disponibilizada meses antes pela Microsoft.

A maioria dos sistemas se atualiza automaticamente e permitem que se atualize os apps da mesma maneira. A exceção é o Windows, que apesar de contar com uma loja de apps oficial, capaz de prover atualizações automáticas, ainda conta com muitos apps instalados à moda antiga. Um estudo recente da Avast com base em 163 milhões de computadores analisados apontou que 55% deles continham software desatualizado. Uma porta aberta para ataques dos mais variados tipos.

7. Bloqueie rastreadores na web

Use um bloqueador de conteúdo ou de anúncios em seu navegador web. Não tanto pelos anúncios, mas pelo volume enorme de rastreadores que te monitora em quase todos os sites que você acessa.

Quem usa sistemas da Apple tem plataformas mais amigáveis a esse combate, já que os bloqueadores nativos do sistema não têm acesso ao histórico de navegação e o Safari, por si só, conta com algumas configurações nativas de combate à vigilância na web. Uma das melhores opções de bloqueadores é o 1Blocker (macOS) e 1Blocker X (iOS), ambos pagos, mas um ótimo custo/benefício.

Para o Windows e Android, a dica é fugir do Chrome. O Firefox desponta como a melhor alternativa. Na versão 65, por exemplo, o navegador da Mozilla expandiu as ferramentas de prevenção de monitoramento. Ainda é preciso ativá-las para a navegação convencional nas configurações (por padrão, elas só vêm ativadas em abas anônimas). E desde que a virada do Firefox 57 “Quantum”, o navegador voltou à boa forma dos seus tempos áureos. Já passou da hora de dar uma nova chance ao Firefox.

No Firefox ou em qualquer outro navegador, use a extensão Ghostery. Neste artigo o Manual do Usuário ensina a configurá-la.

8. Evite Wi-Fi público

Conectar-se a qualquer rede Wi-Fi é o equivalente digital a fazer sexo sem proteção. Você não sabe como aquela conexão é oferecida, se a configuração dela foi bem feita, se ela está grampeada, absolutamente nada. Alguém pode estar captando dados que trafegam por essa rede sem que ninguém, nem o dono dela, saiba. E, além disso, o barateamento das franquias de dados móveis diminui a necessidade de se recorrer a redes Wi-Fi estranhas.

Mas se, por qualquer motivo, você precisar recorrer a um Wi-Fi público, não o faça sem ter uma boa VPN instalada em seu dispositivo. É o equivalente, para ficarmos na analogia sexual, a usar preservativo. A VPN criptografa todo o tráfego entre o seu dispositivo e servidores externos, impedindo que alguém mal intencionado consiga capturar esses dados.

É preciso atenção na hora de escolher a VPN. Como ela redireciona todo o tráfego para seus servidores, escolha uma que não armazene essas informações, tenha políticas de privacidade rigorosas e uma boa reputação. Inevitavelmente, você terá que pagar pelo serviço ou desfrutar de amostras grátis bastante limitadas, mas que, dependendo do uso (se muito esporádico), podem ser suficientes.

O TunnelBear, uma das preferências da casa, por exemplo, é auditado externamente e oferece 500 MB de tráfego gratuito por mês — 1,5 GB, caso você publique um tweet indicando o serviço. Outras boas opções são o Private Internet Access e o ProtonVPN.

9. Tenha atenção no mundo físico

A digitalização da sociedade significa que dados digitais e gerados no mundo físico não estão mais dissociados. Programas de fidelidade de supermercados, compras com CPF em farmácias e outras ações do tipo no comércio geram dados valiosos que data brokers, espécies de “corretores de dados”, comercializam com plataformas digitais e quem mais estiver disposto a pagar. Na prática, os empresários literalmente compram os dados do consumidor com descontos agressivos em produtos de alta demanda ou recorrência.

“É um constrangimento ilegal”, diz Demori sobre lojas que não vendem sem que o consumidor informe o seu CPF. Ele orienta “evitar ficar passando dados para tudo quanto é lugar, porque a gente não tem controle com quem esses dados são compartilhados nem como são guardados”.