Em menos de um mês, houve quatro (porventura cinco) ataques informáticos a fazer notícia em Portugal. A primeira vítima foi o grupo Impresa: o Lapsus Group, organização que reivindicou o ataque, bloqueou o acesso aos sites da SIC e Expresso, e pediu um resgate. O Chega disse ter sido alvo de um ataque informático no portal partidário a 22 de janeiro. Já na semana passada, foi o Bloco de Esquerda; alguém se apoderou da conta do Twitter do partido. Depois, no dia das eleições legislativas, é possível que tenha havido uma terceira: a página na internet da Assembleia da República; durante cinco minutos esteve offline e circulou um pedido de resgate. Por fim, esta terça-feira, foi a conta da TAP no Twitter.

O que dizem estes casos sucessivos sobre a cibersegurança em Portugal? Que retrato traçam? “Ataques não é uma novidade. Novidade é estar a afetar coisas grandes como a Impresa, coisas visíveis como o BE, como a TAP e, eventualmente, o Parlamento. Mas a tendência, a nível dos índices de ataques, também está a aumentar: há cada vez mais ataques”, diz à Renascença João Pina, analista de sistemas e programador.

De acordo com um relatório da empresa internacional Check Point Research (CPR), no ano passado, em Portugal, cada organização foi alvo de uma tentativa de ciberataque, em média, 881 vezes por semana – um aumento de 81% face a 2020; as entidades mais visadas foram empresas e instituições do setor da educação, saúde e administração pública.

Estes números, contudo, não são sinal para alarme. Segundo Rui Duro, gestor da CPR em Portugal, “a percentagem de ataques que acontece em Portugal está alinhada com o que acontece mundialmente”. “Às vezes, há aquela ideia que estamos aqui num cantinho do mundo e que nada nos acontece. Mas nós já não estamos num cantinho do mundo, na internet estamos tão expostos como os outros”, explica.

Isto não quer dizer, contudo, que as práticas no país sejam as melhores. Se há negacionistas das vacinas, existem também “cibernegacionistas”, nas palavras de Rui Duro. “Aqueles que dizem: ‘Isto a mim não me acontece.’ É aqueles que dizem: ‘Não tenho nada que eles queiram roubar.’ Ou aqueles dizem que: ‘Uso um antivírus free, porque não tenho de me preocupar em comprar software de topo, porque está tudo bem e é suficiente.’ Ainda há muito esta mentalidade.”

No setor empresarial, a situação é um pouco diferente. Há dois pelotões: as grandes empresas, apesar de terem sempre debilidades, “áreas cinzentas” propícias ao erro humano, estão “muito bem preparadas”. O problema são as restantes: “Portugal é feito de pequenas e médias empresas, que participam destes cibernegacionistas, que pensam que não têm de investir em cibersegurança. Aí o cenário é muito negro. Diria que no geral, no cenário médio, estamos muito atrasados.”

Em caso de incêndio, fuja!

Rui Duro, da CPR, divide os cibercriminosos em dois tipos: existem os hackers “interessados num negócio”, que se infiltram nos servidores de uma empresa, roubam dados (elementos) de valor, e evitam chamar à atenção. Depois, há os grupos de ativistas “com outros interesses”: o que fazem pode nem ter grande dimensão – e impacto -, mas atuam para ganhar nome, divulgar uma causa, “serem conhecidos” e criar “buzz [alarido] em volta do ataque”. Os primeiros, claro, são os mais problemáticos. E causam mais danos.

Em linha com o inquérito da CPR, também o último relatório do Centro Nacional de Cibersegurança (CNC) – publicado em janeiro -, indica que está a ocorrer um acréscimo de ataques informáticos no país. “Mas [as empresas] não dizem tudo. [O CNC] sabe o que lhe chega, o que as empresas reportam”, diz Marcelo Rodrigues, diretor do departamento de cibersegurança da PwC Portugal. “O problema é que temos muitas empresas em que isto fica na sombra. Não reportam, nem chega à comunicação social”, acrescenta.

Para Marcelo Rodrigues, estes casos mais recentes foram noticiados porque “houve um impacto direto daquilo que saiu para fora”. Enquanto isto acontece, há empresas que “pagam resgates e que ajudam a perpetuar este tipo de negócio”. “Isto tem acontecido nos últimos dois anos com uma frequência incrível”, revela.

O especialista da PwC defende, por isso, que as empresas portuguesas, à imagem do que acontece com os planos de evacuação de edifícios em caso de incêndio, deviam ter também planos de cibersegurança. Mas isso não acontece. “Vá a uma empresa e pergunte: ‘Muito bem, qual foi o vosso último plano que fizeram de teste a um incidente de cibersegurança’, eles respondem: ‘o que é isso?’ Não sabem reagir perante um incidente de cibersegurança. Nunca testaram, nunca treinaram, não têm isso sistematizado. Não sabem o que é uma análise de risco”, afirma.

Segundo a experiência de Pedro Leite, administrador da empresa de cibersegurança S21sec, a maior parte das organizações afetadas por ataques de ransomware – o que aconteceu com o grupo Impresa – tem “mecanismos de salvaguarda” que lhes permite não pagar o resgate e avançar com uma solução de outro tipo. “Vou identificar como o atacante entrou na organização e vou repor toda a informação que tenho disponível, porque tenho os backups.” Enquanto isso, as empresas mais pequenas, fruto do desespero, tendem mais a pagar os resgates.

Susto em dia de eleições?

No domingo à tarde, dia de eleições legislativas, a página da Assembleia da República esteve offline durante cinco minutos; a princípio, não se pensou que fosse nada de extraordinário. Segundo João Amaral, diretor do gabinete de comunicação da Assembleia da República, é algo que “acontece” em dias de maior tráfego como em eleições ou durante votações do Orçamento do Estado.

Pouco depois de o site ter caído, porém, começou a circular na internet – primeiro publicado num fórum e depois divulgado no Twitter - um pedido de resgate: 15 mil bitcoins em troca de todos os dados. Como bónus, os hackers ofereciam ainda uma porta de acesso (backdoor) ao servidor.

Na mensagem, os piratas informáticos – que se identificavam como parte do Lapsus Group, os mesmos que atacaram o grupo Impresa – explicavam ter hackeado o site do Parlamento e ter tido “acesso a aplicações da Microsoft e a uma grande quantidade de bases de dados que contém informação sensível do Governo relacionada com informações pessoais de políticos e de partidos políticos, muitos documentos, emails, passwords”.

Como é que é se tinham infiltrado? “Os sistemas utilizam tecnologia antiga da Microsoft, sem manutenção e com aplicações fracas, má programação e práticas de segurança pobres.”

Horas depois do ataque, o Lapsus Group negou estar envolvido. “Não utilizamos quaisquer fóruns ou Twitter! Isto é um esquema com o nosso nome!”, escreveu na sua página no Telegram. Mas no ar ficou a dúvida: então, houve ou não ataque informático?

Por prevenção, ainda no domingo, “foi tomada a decisão de impedir todos os acessos externos ao portal internet do Parlamento, de forma a permitir aos serviços informáticos e às autoridades competentes a análise exaustiva de toda a estrutura informática”. Já na quarta-feira à noite, 2 de fevereiro, a página voltou a ficar online. “Concluída essa análise e não havendo evidência de qualquer impedimento no funcionamento do portal, foi o acesso ao mesmo restabelecido”, anunciou a instituição em comunicado. A questão principal, contudo, não era respondida.

Questionado pela Renascença, João Amaral clarificou: a equipa da Assembleia da República não consegue dizer se houve ou não ataque. “Não resultaram evidências de extração de dados sensíveis, relevantes. Demoraram três dias a fazer as buscas a todas as bases de dados, a todos os servidores, a toda a parafernália informática da Assembleia da República. E daí não resultou nenhuma evidência de acesso a dados indevidos.”

Apenas um susto ou mais do que isso, o facto de os piratas informáticos terem referido o “como” se tinham infiltrado na página do Parlamento não é mero detalhe. No diagnóstico da debilidade, pelo menos, foram certeiros: softwares desatualizados, antigos, são uma das principais janelas de oportunidade para o cibercrime, aponta o programador João Pina.

“Há uma coisa básica, completamente básica, transversal ao público e privado: softwares completamente desatualizados, completamente em fim de vida, para os quais já não existe suporte, já não existem atualizações. É um dos maiores problemas. Se não são atualizados, estão carregados de buracos, se estão carregados de buracos, é mais fácil entrar”, explica à Renascença.

Phishing e Twitter

A 27 de janeiro, foi a conta do Twitter do Bloco de Esquerda a ser hackeada: após Mariana Mortágua ter comparado Elon Musk com a Iniciativa Liberal, durante um comício, alguém se apoderou da conta do partido na rede social e fez e uma série de publicações com o nome do bilionário dono da Tesla. E já esta terça-feira, 1 de fevereiro, também a conta da TAP no Twitter foi alvo de um ataque. (Entretanto, a gestão de ambas as contas já foi recuperada pelos proprietários originais.)

Apesar de serem contabilizados debaixo do mesmo chapéu - o cibercrime -, os ataques recentes às contas de Twitter da TAP e do Bloco de Esquerda pertencem a uma classe diferente de ciberataques. Para Rui Duro, gestor da Check Point Research, estas investidas foram, acima de tudo, uma busca por “visibilidade”.

“Provavelmente, a conta do Twitter da TAP não lhes irá permitir roubar dados dos clientes, ou do flytap, ou roubar voos ou milhas. [No passado, hackers já roubaram milhas de algumas companhias áreas e venderam-nas na internet.] Mas, obviamente, para a imagem é muito mau porque eles podem lançar mensagens em nome da empresa e é o nome da empresa que é colocado em causa”, explica.

Os criminosos terão ganho acesso às contas do Twitter por via de um esquema de phishing – quando alguém recebe um email de origem desconhecida e clica, por distração, num link. Nestes casos, os ataques nem são “grande coisa tecnologicamente, mas uma coisa simples: uma password de phishing que foi apanhada e alguém foi tentar: vamos lá ver se é a mesma e jackpot”.

Nenhum sistema de cibersegurança é impenetrável e o “elo mais fraco são os utilizadores”, garante Pedro Leite, administrador da S21sec. Neste ponto, todos os especialistas ouvidos pela Renascença estão de acordo. “Mesmo os utilizadores mais instruídos podem ser alvos de cibercrimes como o phishing. Para isso, basta um pequeno lapso.”

Neste contexto, João Pina defende que “mitigar” é a palavra-chave. “Posso ter uma infraestrutura supersegura, mudar a password a cada três dias. Tenho um funcionário que clica num link qualquer de phishing, e apanham-lhe a password. Pelo menos durante aqueles três dias já fui.”

A Renascença contactou o Bloco de Esquerda e a TAP para saber como haviam recuperado as contas das redes sociais, mas não obteve resposta.