Realidade e ficção se tocam nas preocupações dos cidadãos com sua privacidade online. Em 2018 reapareceu o golpe da webcam, com o qual hackers tentaram extorquir vários leitores da revista The Register: um e-mail anônimo lhes pedia vários milhares de dólares (em bitcoins) para manter em segredo um vídeo que supostamente haviam gravado de sua própria câmera web enquanto desfrutavam de material pornográfico em seu computador. Como suposta prova da invasão, os golpistas apresentaram a cada usuário uma senha real, que usaram para acessar um fórum que haviam invadido previamente.

Alertados por uma vítima cética, os especialistas em segurança da publicação britânica recomendaram a todos os leitores que ignorassem esse tipo de e-mail: “Não entre em pânico, não pague. É muito improvável que esse vídeo exista. Mude sua senha e considere usar a partir de agora a autenticação de fator duplo e um gerenciador de senhas para manter suas contas seguras”. O incidente revelou internautas acostumados a usar senhas fracas e, ao mesmo tempo, preocupados com um assalto à sua privacidade semelhante ao sofrido pelo protagonista de um capítulo da terceira temporada da série de ficção científica Black Mirror.

A verdade é que tecnicamente isso é possível. Também durante o verão passado, pesquisadores da empresa de cibersegurança ESET divulgaram a descoberta do InvisiMole, um novo e poderoso malware que está em circulação desde 2013 e faz exatamente isso: se disfarça como um arquivo do sistema Windows e, entre outras coisas, assume o controle da webcam e do microfone do usuário para observar suas atividades e coletar informações pessoais e documentos. Zuzana Hromcová, analista da ESET, explica que esse programa tinha permanecido sob o radar dos antivírus porque “utiliza várias técnicas para evitar sua detecção e porque só foi usado contra um pequeno número de vítimas altamente selecionadas na Rússia e na Ucrânia”.

O InvisiMole é uma ferramenta de ciberespionagem como as que o FBI usa há anos, conforme admitiu Marcus Thomas, ex-diretor adjunto da Divisão de Operações Tecnológicas da agência federal norte-americana. Também em 2013, um estudo da Universidade Johns Hopkins mostrou que é possível infectar um computador e gravar com sua webcam sem acender a luz que alerta o usuário, e os pesquisadores detalharam em seu artigo como fazê-lo em uma variedade de computadores Apple.

Se Mark Zuckerberg fizer isso...

Ser espionado pela própria webcam é uma possibilidade que vai além de golpes online e séries de televisão, e do rumor global provocado pela foto em que se vê o próprio Mark Zuckerberg, presidente do Facebook, com a câmera do seu notebook coberta por um esparadrapo.

Cobrir as webcams é uma prática cada vez mais difundida, tanto em computadores para uso pessoal quanto no trabalho. E também há suspeitas generalizadas em relação aos alto-falantes inteligentes —como aqueles que a Amazon e a Apple estão lançando— especialmente depois que foi revelado na conferência global de hackers DEF COM, em agosto, um truque para transformar um alto-falante Amazon Echo em um microfone espião. No último ano, os alto-falantes inteligentes se tornaram o dispositivo mais popular da chamada Internet das Coisas, uma categoria tecnológica destinada a crescer 300% nos próximos anos.

Assim, a mais recente campanha de conscientização do projeto REIsearch da Comissão Europeia afirma que até 2025 o número de objetos conectados terá crescido até atingir 75.000 milhões, incluindo uma grande variedade de dispositivos pessoais como carros, marca-passos ou brinquedos; também eletrodomésticos, lâmpadas ou plugues; e sensores e maquinaria de infraestruturas públicas como hospitais, centrais elétricas ou redes de transporte.

Objetos inteligentes, o grande objetivo dos ‘hackers’

Para os hackers, todos esses objetos conectados são muito mais interessantes do que nossas webcams, segundo o prestigioso analista de cibersegurança Mikko Hypponen: “As pessoas podem pensar: Por que alguém iria querer piratear minha geladeira, o micro-ondas ou a cafeteira inteligente? A motivação geralmente não é manipular o dispositivo e espionar-nos com ele, mas obter acesso à nossa rede e senhas. O elo mais fraco das nossas redes não são nossos computadores ou telefones celulares, são nossos objetos conectados”, explicou Hypponen em uma conferência em Dublin na semana passada. “Se um dispositivo é descrito como ‘inteligente’, isso significa que ele é vulnerável”, lembra o especialista em todas as suas intervenções.

Essa ameaça já se tornou realidade quando, há dois anos, o ataque Mirai derrubou os servidores de Amazon, Spotify, Twitter e Netflix, além da página do The New York Times. Estes e outros 150.000 sites ficaram inacessíveis durante horas, porque houve muitas visitas ao mesmo tempo. No entanto, por trás dessas visitas não havia pessoas, mas objetos conectados à Internet (televisores, geladeiras, câmeras de segurança) que tinham sido infectados e seguiam as ordens de um malware, que os recrutou para formar um exército ou rede de robôs conectados à Internet (botnet). Foi o primeiro ciberataque em massa protagonizado pela Internet das Coisas.

O último relatório da Europol sobre o crime organizado na Internet destaca o receio de que o próximo grande ataque desse tipo possa causar uma paralisia global da Internet. E também aponta como grande preocupação a persistente ameaça dos ransomware, programas maliciosos que pedem um resgate para desbloquear o sistema de computadores que infectaram. Um deles, o Wannacry, impediu em 2017 que milhares e milhares de pessoas acessassem serviços básicos como eletricidade (na Espanha) e saúde (no Reino Unido).

Como se proteger?

Em casos como este, a Internet das Coisas foi vítima do ataque, e não o transmissor. E isso põe em questão o uso de dispositivos de saúde “inteligentes” que, pelo fato de estarem conectados à Rede, podem ser tomados como reféns em um ataque como o Wannacry e, assim, colocar em risco a vida de pacientes que dependem de seu funcionamento.

Nesse contexto, a Califórnia acaba de aprovar a primeira lei sobre a segurança de objetos inteligentes, que impõe a todos os fabricantes novas medidas de segurança (e não apenas de privacidade) a partir de 1º de janeiro de 2020.

Enquanto isso, os especialistas pedem aos usuários que sejam exigentes com a segurança dos dispositivos conectados que instalam em suas casas, que mantenham atualizado o software de todos os seus computadores, que usem gerenciadores de senha e que reforcem a segurança de suas redes domésticas. Quatro conselhos para lidar com essas ameaças em grande escala à cibersegurança coletiva... e também muito mais úteis do que um esparadrapo na webcam, se o objetivo é proteger a privacidade individual de intrusões muito pouco frequentes —fora do mundo da espionagem e de pessoas como Zuckerberg, cujos segredos valem muitos milhões de dólares. Para o internauta comum, o risco de cobrir a webcam é ter uma falsa sensação de segurança e permanecer alheio às novas ameaças da era da Internet das Coisas.