O ataque que permitiu o envio indevido de alertas da Defesa Civil para milhares de celulares em sete estados expôs a fragilidade da segurança digital dos sistemas públicos brasileiros. Embora as circunstâncias da invasão ainda estejam sob investigação, analistas ouvidos pela Gazeta do Povo avaliam que o episódio expõe desafios estruturais relacionados à proteção de infraestruturas críticas e à confiança da população em sistemas eletrônicos geridos pelo governo.
Para Washington Portugal Gonçalves de Souza Júnior, consultor de Sistemas de Informação especialista em Missão Crítica, o recente incidente no sistema de alertas da Defesa Civil surge não como um fato isolado, mas como um “sintoma de fragilidade estrutural e negligência sistêmica”. “Embora o Brasil possua normas de segurança robustas no papel, há uma lacuna imensa em sua execução prática e fiscalização”, observa.
João Brasio, CEO da Elytron Cybersecurity, empresa brasileira especializada em consultoria, auditoria e tecnologias avançadas de segurança da informação, afirma que as evidências divulgadas pelo perfil no X que reivindicou a autoria da invasão indicam que o acesso pode ter ocorrido por meio do uso de credenciais vazadas de servidores públicos. Segundo ele, a ausência de mecanismos básicos de proteção, como a autenticação em dois fatores, teria facilitado a ação do invasor.
“É difícil até acreditar que um sistema de alta criticidade não tivesse segundo fator de autenticação. É como pensar em uma casa cuja porta não tem fechadura, apenas maçaneta”, afirmou Brasio.
No perfil mencionado, o suposto autor dos alertas afirma ser um “adolescente dopado”. Ele também afirma que teria sido “fácil” acessar o sistema e sugere que o equipamento utilizado não era sofisticado ou superpotente. “Espero realmente que melhorem a segurança dos outros painéis do governo ou do Idap”, escreveu o jovem no X.
Segundo o Ministério da Integração e do Desenvolvimento Regional (MIDR), o sistema foi invadido por um usuário externo que conseguiu acionar indevidamente a Interface de Divulgação de Alertas Públicos (IDAP), plataforma responsável pela emissão de notificações oficiais enviadas à população em situações de risco.
“Independentemente da origem do incidente, o episódio reforça um desafio que afeta governos e organizações em todo o mundo: a necessidade de proteger sistemas críticos que impactam diretamente a população”, avalia Washington Bruno, diretor nacional de Operações e Delivery da Globalweb.
Segundo ele, o caso não deve ser encarado apenas como um evento isolado, mas como um sinal da necessidade de investimentos permanentes em cibersegurança, governança, monitoramento e gestão de riscos.
A reportagem da Gazeta do Povo solicitou esclarecimentos sobre o ataque ao governo federal por meio do MDIR. Em resposta, a pasta informou apenas que “todas as informações serão divulgadas oportunamente, ao fim da investigação, inclusive para não prejudicar o andamento dos trabalhos”.
Riscos vão além da Defesa Civil e devem ser tratados como política de Estado
A segurança de outras estruturas governamentais no Brasil também levanta questionamentos.
O consultor Brasio cita casos anteriores, como o ataque de ransomware (vírus de computador) que paralisou o Superior Tribunal de Justiça (STJ) em novembro de 2020 e comprometeu temporariamente o funcionamento da Corte. Trata-se de um software malicioso que sequestra dados de um dispositivo ou rede por meio de criptografia, tornando-os inacessíveis. Na época, o próprio STJ classificou o ocorrido como o “pior ataque cibernético já empreendido contra uma instituição pública brasileira”.
“Se isso aconteceu em um sistema da Defesa Civil, como estão os sistemas do Judiciário, das forças de segurança ou de inteligência?”, questionou.
Dois dias após o ataque ao STJ, sistemas do Ministério da Saúde e do Governo do Distrito Federal também apresentaram instabilidades que foram atribuídas a hackers. Embora oficialmente os órgãos não tenham confirmado se tratar de ataques, o Departamento de Informação e Informática do SUS (DATASUS) teve que desativar suas redes temporariamente.
O ataque hacker ao sistema do Banco Nacional de Mandados de Prisão (BNMP) do Conselho Nacional de Justiça (CNJ) também é mencionado entre os casos que demonstram a fragilidade dos sistemas brasileiros. Em 2023, o sistema foi invadido e foram inseridos 11 alvarás de soltura falsos e um mandado de prisão fraudulento contra o próprio ministro do STF, Alexandre de Moraes.
Mais recentemente, o escândalo do Banco Master também demonstrou que o acesso a dados críticos precisa de atenção. Embora tenha sido feito de forma mais sofisticada, usando contatos diretos com servidores da Polícia Federal, o caso também desperta atenção para a cibersegurança.
Washington Bruno observa que a integridade desses sistemas deve ser tratada como tema estratégico para o Estado.
“Qualquer fator que reduza a credibilidade dessas comunicações pode impactar a velocidade de resposta das pessoas diante de um risco real. Por esse motivo, a integridade e a confiabilidade desses canais devem ser tratadas como questões de segurança nacional e proteção da população”, afirmou.
O executivo da Globalweb destaca ainda que o cenário de ameaças evolui em velocidade muito alta e exige atualização constante. Para ele, a proteção de infraestruturas críticas depende não apenas de tecnologia, mas também de integração entre órgãos públicos, compartilhamento de inteligência, capacitação de equipes e investimentos permanentes.
“Casos como esse demonstram que a cibersegurança deixou de ser uma questão exclusivamente tecnológica e passou a ser um tema estratégico para a continuidade dos serviços essenciais e para a confiança da sociedade.”
Analistas reforçam necessidade de proteção
Na avaliação de Brasio, o problema provavelmente não teve origem em uma falha direta da Defesa Civil, mas no reaproveitamento de senhas utilizadas pelos próprios usuários em diferentes plataformas.
“Temos que partir do princípio de que credenciais vão vazar. O segundo fator de autenticação existe justamente para impedir que apenas um e-mail e uma senha sejam suficientes para acessar sistemas críticos”, disse.
Washington Bruno ressalta, porém, que incidentes dessa natureza costumam resultar de uma combinação de fatores.
“Em segurança da informação, raramente existe uma única causa. Pode haver vulnerabilidades tecnológicas, falhas operacionais, credenciais comprometidas, erros de configuração ou processos de validação insuficientes”, afirmou.
Segundo ele, somente uma investigação técnica detalhada poderá determinar a origem do problema e apontar eventuais responsabilidades.
Inteligência artificial tende a aumentar número de ataques
Embora não relacione diretamente o episódio ao uso de inteligência artificial, Brasio afirma que a tecnologia deverá ampliar significativamente a escala dos ataques cibernéticos nos próximos anos.
Segundo ele, ferramentas de IA permitem automatizar a busca por vulnerabilidades e multiplicar a capacidade operacional dos invasores.
“A tendência é que ataques, vazamentos e comprometimentos se tornem mais frequentes”, disse.
Quais medidas deveriam ser adotadas
Na avaliação dos analistas, a resposta ao incidente deve combinar investigação, revisão de processos e reforço dos mecanismos de segurança.
Para Brasio, a prioridade imediata seria tornar obrigatória a autenticação em dois fatores em todos os sistemas governamentais, além de reforçar políticas de senhas, controles de acesso e monitoramento.
“O que estamos discutindo não é tecnologia de ponta. Estamos falando do básico. Qualquer servidor de dentro do órgão, com um mínimo de instrução, poderia ter implementado mais segurança no sistema”, comentou.
Washington Bruno defende que a primeira medida seja uma apuração técnica completa para identificar exatamente o que ocorreu.
“A prioridade imediata deve ser conduzir uma investigação técnica completa para identificar a origem do incidente e avaliar seu alcance”, afirmou.
Ele também recomenda a revisão dos acessos privilegiados, a ampliação do monitoramento contínuo, auditorias independentes, testes periódicos de segurança e a revisão dos protocolos operacionais relacionados ao envio de alertas.
Leave a Reply