Brasil Insustentável
Confira outras reportagens da série Brasil Insustentável, que aborda o papel do poder público e desafios para o Brasil a partir de 2023
#7 - dados em risco
Com aumento no uso da internet, crimes cibernéticos cresceram 50% no país, segundo a Anatel. Desafio é garantir segurança das informações pessoais na web
Brasil
Em uma sexta-feira, a profissional de relações públicas Rubya Guntin, de 24 anos, recebeu uma notificação no Instagram. A conta de um bar que ela seguia havia lhe mandado uma mensagem dizendo que ela poderia participar de um sorteio, mas, para isso, eles precisavam de algumas informações. Rubya, querendo participar, aceitou passou nome completo, endereço de e-mail e número de telefone pelo chat da rede social.
No dia seguinte pela manhã, por volta das oito horas, ela recebeu várias ligações de um número desconhecido, mas não atendeu a nenhuma. Ela então recebeu novamente uma mensagem pelo Instagram, dessa vez pedindo que ela enviasse um código que chegaria por SMS, e ela atendeu ao pedido.
Nas horas seguintes, Rubya percebeu que seu aplicativo Whatsapp tinha parado de funcionar, e que as pessoas que ela conhecia tinham começado a receber mensagens de alguém se passando por ela e pedindo dinheiro. Ela havia caído num golpe: a conta do bar era falsa, e os golpistas tinham usado os dados que ela passou para roubarem a sua conta de Whatsapp.
Com a pandemia e as consequentes medidas de distanciamento social, o uso das redes sociais aumentou entre os brasileiros. Segundo dados da Agência Nacional de Telecomunicações (Anatel), o aumento foi de 40% a 50%, só em 2020. Uma consequência desse aumento foi o crescimento de crimes cibernéticos — também conhecidos como cibercrimes —, como apontam dados da Comissão Executiva de Prevenção a Fraudes da Federação dos Bancos.
Os dados revelam que, durante a quarentena, as instituições financeiras registraram um aumento de 80% nas tentativas de ataques de phishing, como é conhecido o tipo de fraude na qual Rubya caiu. Nesse cibercrime, os golpistas tentam enganar o usuário se passando por algum indivíduo ou organização de confiança — o que por vezes é chamado de engenharia social —, convencendo a vítima a passar seus dados sem questionamento. O nome da prática vem da palavra em inglês fishing, que significa “pescando” ou “pescaria”, uma analogia à maneira como os golpistas conseguem “pescar” as vítimas com uma “isca” bem colocada.
Muitas vezes, essas “iscas” acabam sendo suficientes para convencer uma pessoa a passar os seus dados. Um levantamento feito pela empresa de segurança digital Kaspersky apontou que mais da metade (65%) dos brasileiros aceitariam compartilhar seus dados de redes sociais se isso resultasse em “experiências exclusivas”, e 70% para terem descontos em compras online.
O phishing pode ser realizado por meio das redes sociais, SMS, e-mail ou telefone. Também pode envolver estratégias simples, como uma troca de mensagens — no caso relatado —, ou mais elaboradas, como a criação de sites “clones”, aqueles que se passam por oficiais. Porém, esse não é nem o único tipo de golpe realizado pela internet, nem a única maneira pela qual pessoas mal intencionadas podem ter acesso a dados pessoais.
phishinG
Fraude que usa sites com aparência confiável para reunir dados e informações pessoais do usuário com objetivo de obter vantagens financeiras
Tipos de crime na internet
Outra forma que os dados de usuários da rede podem ser expostos é por meio de vazamentos. Um caso marcante aconteceu em dezembro de 2020, quando dados do sistema do Ministério da Saúde foram vazados, expondo informações de 243 milhões de brasileiros, incluindo pessoas já falecidas. Entre as informações vazadas, estavam CPFs, endereços e telefones de brasileiros cadastrados no Sistema Único de Saúde (SUS).
Esse também está longe de ser um caso isolado. Segundo um relatório de atividade criminosa online no Brasil publicado pela Axur, o número de dados sensíveis vazados no país chegou a 2,8 bilhões, apenas em 2021.
Depois de vazadas, essas informações ficam disponíveis para serem usadas por criminosos e pessoas mal intencionadas. Silvana Carbonera, que é professora do Setor de Educação Profissional e Tecnológica (SEPT) da Universidade Federal do Paraná (UFPR) e doutora em Direito, explica que, tendo nome completo, endereço e CPF de alguém, é possível abrir uma empresa no nome daquela pessoa sem qualquer permissão ou mesmo conhecimento.
"Se alguém, por exemplo, criar uma empresa no meu nome e CPF, uma empresa 'laranja', ela pode começar a lavar dinheiro no meu nome. O meu CPF estará lá e a Receita Federal começará a receber informações de que o meu CPF está movimentando dinheiro, em quantias que eu não teria como possuir"
Silvana Carbonera
Doutora em Direito e professora do Setor de Educação Profissional e Tecnológica (Sept) da UFPR
Os criminosos também podem usar esses dados para tentar acessar contas em sites, aplicativos e bancos, além de conseguir empréstimos consignados ou se passar por outra pessoa em transações online. “Muito do que nós fazemos hoje é exclusivamente digital. O roubo de dados é muito sério e muito perigoso pela possibilidade de utilização desses dados na esfera digital, algo que dispensa a presença do humano”, complementa Carbonera.
Além disso, as informações vazadas na internet também podem ser coletadas e vendidas ilegalmente. Esse tipo de negociação de dados, assim como outras vendas ilegais, normalmente acontece em uma área pouco acessível e não rastreável da internet conhecida como deep web — rede profunda, em tradução livre —, mas já houve casos dessas vendas acontecerem também na surface web (rede da superfície), a internet acessível a maioria das pessoas.
Foi o caso de uma grande venda de dados em dezembro de 2021, vazados de diversos serviços públicos — incluindo o SUS, a Polícia Federal e o Instituto Nacional do Seguro Social (INSS) —, que eram negociados pela rede social Facebook, como reportado pelo jornal Folha de S. Paulo na época.
Se por um lado ter suas informações nas mãos de criminosos já é um problema, por outro ter as informações expostas publicamente é ainda mais complexo. Isso porque os dados espalhados pela internet são muito difíceis ou até impossíveis de serem rastreados e recuperados.
RESPONSABILIDADE
Dados vazados de empresas privadas são normalmente fornecidos pelos próprios usuários
Carbonera argumenta que os dados pessoais sempre fizeram parte do cotidiano das pessoas, mas o fator da comunicação virtual em rede muda como esses dados são armazenados e como é possível ter acesso a eles. “Sempre entregamos nossos dados às pessoas, só que quando nós os entregávamos, eles eram colocados em uma folha de papel, em um armário, e trancados com chave. Existia uma contenção de dados. Hoje, quando você coloca seus dados no meio digital, não tem rastreabilidade do compartilhamento daquelas informações“, diz.
Como revelado na pesquisa de Kaspersky, muitos brasileiros estariam dispostos a entregar os seus dados para terem acessos a benefícios, como foi o caso de Rubya Guntin. Depois de denunciar o acontecimento para o WhatsApp, ela conseguiu recuperar a sua conta. Porém, ela nunca conseguiu identificar os responsáveis pelo golpe, que, segundo ela, também enganaram pelo menos outras duas pessoas.
O caso de Rubya abre espaço para discussões importantes, apresentadas nos três próximos tópicos:
- A responsabilidade dos indivíduos na disponibilização de dados pessoais
- O que deve se fazer para se proteger de golpes e vazamentos de dados
- Quais medidas a serem tomadas após uma violação e o que diz a lei brasileira sobre proteção de dados
O que se planta no solo das redes
Assim como Rubya disponibilizou seus dados, e muitos brasileiros estariam dispostos a fazer o mesmo, os dados vazados de empresas privadas são normalmente fornecidos pelos próprios usuários.
Um exemplo prático: alguém vai fazer uma compra online. O website da loja pede por um cadastro, que inclui informações como nome, telefone, endereço e CPF, além dos números de cartão de crédito na hora da compra. Todos esses dados ficam armazenadas no banco de dados da loja. Portanto, se esse site for invadido e seus dados vazados, quem colocou aquelas informações no banco foi o usuário.
A professora do SEPT-UFPR Andréia de Jesus faz um alerta para que os usuários tomem cuidado ao fornecerem os dados, sendo preciso ter consciência do que e para que isso está sendo feito. Deve-se sempre se perguntar se o serviço que será prestado em troca daquelas informações justifica que elas sejam fornecidas. Se um aplicativo de jogo de celular está pedindo por acesso às fotos do dispositivo, faz sentido que essa permissão seja concedida? Para que isso será usado? Quais as vantagens e desvantagens?
Andréia explica que é preciso haver um uso consciente da tecnologia. E isso passa pela educação digital.
O que fazer para proteger os dados na internet
Desde que sofreu o golpe, Rubya Guntin passou a usar verificação em duas etapas para Whatsapp — ferramenta que exige uma autorização do celular dela para o login em qualquer outro dispositivo —, e agora evita compartilhar dados pessoais pela internet. Para evitar golpes, essas são recomendações úteis que podem ser facilmente seguidas.
O estabelecimento de senhas fortes é um bom primeiro passo para garantir uma maior segurança nos meios digitais. O vídeo a seguir, produzido pelas as repórteres Paula Bulka e Carolina Genez, demonstra cinco formas de como proteger as suas contas digitais de possíveis ataques cibernéticos, adotando medidas quando for escolher novas senhas.
Os danos e a lei
Por mais que haja meios de se prevenir contra o roubo e o vazamento dos dados, quando essas situações acontecem de verdade e se concretizam, passa a existir uma outra situação: a de tentar remediar os danos causados.
Quanto ao vazamento de dados, há pouco que se pode fazer no nível individual, mas existe uma atitude que pode ser tomada: se informar. Foi isso que explicou o advogado e professor de direito digital da Columbia University, Ronaldo Lemos. Ele também recomenda conversar com familiares e os informar sobre os vazamentos e os riscos que esses tipos de ataques cibernéticos podem trazer.
Quanto a golpes, pode-se fazer o que fez Rubya, e acionar os recursos oferecidos pelos próprios serviços online e aplicativos, para que tomem alguma providência. Porém, não é garantido que isso terá resultados.
Também existem, para os dois casos, ações legais que podem ser tomadas, usando como base a legislação brasileira que protege o cidadão desses tipos de violações de dados. A principal delas é a chamada Lei Geral de Proteção de Dados (LGPD).
Aprovada no Congresso Nacional em julho de 2018, a LGPD entrou em vigor no dia 1º de agosto de 2021, e regula o uso de dados pessoais no Brasil, que segue na linha das regulações feitas pela União Europeia.
Mesmo antes da LGPD, o Brasil já dispunha de algumas leis que protegiam, e ainda protegem, o direito à privacidade quanto aos dados pessoais. O advogado Renato Leite Monteiro, em um artigo publicado no portal JusBrasil em 2015, delineia algumas dessas legislações, que incluem:
- A Constituição Federal (no seu artigo 5º, inciso X) que estabelece que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”;
- O Código Civil (no art. 12), que diz que “pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade”, o que incluiria a circulação não autorizada de dados;
- “É imprescindível a comunicação do usuário quando da abertura de cadastro, ficha, registro e dados pessoais”, segundo o Código de Defesa do Consumidor (CDC, no art. 43)
- O Marco Civil da Internet (Lei nº 12.965/2014)
Ele também cita uma portaria da Secretaria de Direito Econômico do Ministério da Justiça e de algumas instituições normativas da Receita Federal, mas ressalta que, naquela época, nenhuma das normas citadas “conferem ao cidadão todas as ferramentas necessárias para o controle dos seus dados pessoais”, algo que só viria mesmo com a LGPD.
Contudo, Silvana Carbonera ressalta que, mesmo com as leis que protegem o uso de dados, isso é apenas parte da equação. “A LGPD não é uma proteção nova. Ela se tornou lei para regulamentar e disseminar a importância do assunto. Mas a lei é só uma ponta da preocupação. A outra é a educação para o uso consciente de dados, que impede que a lei tenha de ser acionada”.
A série de reportagens Brasil Insustentável foi produzida durante o primeiro semestre letivo de 2022 nas disciplinas Laboratório de Jornalismo II – web e impresso (Hendryo André), Laboratório de Radiojornalismo I (Rosângela Stringari), Laboratório de Telejornalismo I (Vinicius Carrasco) e Laboratório Multimídia de Jornalismo II (Criselli Montipó).
PAUTA
GIOVANA FRIOLI
ENZO LABRE
VITOR HUGO BATISTA
TEXTO
LUÍS H. C. PACHECO
REPORTAGEM EM VÍDEO
CAROLINA GENEZ
PAULA BULKA
EDIÇÃO FINAL
LUÍS H. C. PACHECO
STAPHANIE PEREIRA
KAILA CRISTINA
VITOR HUGO BATISTA