Por que o sistema da Defesa Civil foi invadido tão facilmente
Por Marcelo Fischer Salvatico |
Um alerta falso disparado pelo sistema da Defesa Civil Nacional na madrugada do último sábado (20) acordou milhões de brasileiros com mensagens que incluíam termos como "misantropia", palavra que significa ódio à humanidade. O episódio levou à retirada temporária da plataforma do ar e ao acionamento da Polícia Federal, e expôs falhas básicas de segurança em um sistema reservado a situações de emergência real.
🎧Ouça o Podcast Canaltech no Spotify
🎧Ouça o Podcast Canaltech na Deezer
🎧Ouça o Podcast Canaltech no Apple Podcasts
Para Mirella Kurata, CEO da DMK3 e especialista em cibersegurança com mais de 25 anos de experiência em projetos para os setores público e privado, o caso não resultou de uma operação tecnicamente elaborada. "É uma sucessão de falhas", afirmou ela no Podcast Canaltech desta sexta-feira (26). Entre as brechas apontadas pela especialista estão o uso de credenciais fracas e a ausência de autenticação em dois fatores, mecanismo que exige uma segunda confirmação além da senha para acessar um sistema.
Ao todo, foram disparados 10 alertas entre a noite de sexta-feira (19) e a madrugada de sábado, sendo nove via Cell Broadcast, tecnologia capaz de atingir celulares mesmo no modo silencioso, por meio das antenas das operadoras — e um por SMS, de acordo com o secretário nacional de Proteção e Defesa Civil, Wolnei Wolff. Segundo o governo federal, o comportamento dos disparos não seguiu o padrão operacional do sistema.
Por que o Brasil é alvo frequente
No primeiro semestre de 2025, o Brasil registrou mais de 314 bilhões de tentativas de ataques cibernéticos, concentrando 84% de todas as ocorrências da América Latina, segundo dados da Fortinet e da empresa de inteligência DeepStrike. No ranking global de detecções de malware, o País ficou em segundo lugar no período, à frente dos Estados Unidos, conforme levantamento da Acronis.
Kurata atribui parte da vulnerabilidade ao comportamento digital da população. "A falta de maturidade das pessoas que não se preocupam tanto com a segurança" é um dos fatores, avaliou. Ela também citou o uso de redes Wi-Fi públicas sem proteção e a ausência de antivírus em dispositivos móveis como pontos que ampliam a exposição.
A inteligência artificial aparece no cenário como ferramenta de ataque e de defesa. O risco, segundo a especialista, está no uso de versões gratuitas de IA para fins corporativos. "A partir do momento que você [coloca código ou informação confidencial em uma IA pública], você está disponibilizando para a internet uma informação que é confidencial", alertou.
Kurata defendeu ainda que a cibersegurança deixe de ser vista como despesa operacional. "Ela não é um custo para a empresa, ela é uma parte estratégica", disse. No caso de órgãos públicos, a LGPD impõe obrigações específicas sobre o tratamento de dados pessoais — camada regulatória que, segundo a especialista, exige atenção redobrada.