17 min de leitura

Vazamento de dados e o “broking” no Brasil

Data broking é uma atividade lícita no Brasil, e no mundo todo, mas um arquirrival desse tipo de intermediário está nascendo na dark web, como estamos descobrindo

Janaina Costa, João Victor Archegas e Fabro Steibel
30 de julho de 2024
Vazamento de dados e o “broking” no Brasil
Link copiado para a área de transferência!

Em abril de 2021, um pesquisador de segurança revelou vulnerabilidades no sistema da Fundação Oswaldo Cruz (Fiocruz) capazes de alterar resultados da produção de vacinas contra a covid-19. Nos dois meses anteriores, vazamentos de dados colocaram na internet 223 milhões de CPFs de pessoas vivas e falecidas, além de 103 milhões de registros de celulares. Em novembro de 2020, o Superior Tribunal de Justiça (STJ) sofreu o pior ataque da história, ficando quase parado por semanas. Esses e outros eventos revelam um padrão oculto de falha de cibersegurança nacional: o fortalecimento do comércio de dados ilícitos na dark web no Brasil.

Os data brokers, “corretores” ou “birôs” de dados, em tradução literal, são intermediários especializados na coleta e no tratamento de dados pessoais. Eles se alimentam de numerosas fontes comerciais (governamentais e públicas; dados primários e derivados; online e offline) e atuam como enormes controladores e operadores de dados pessoais.

O “data broking”, ou intermediação de dados, é uma atividade lícita no Brasil e no mundo. Mas esses corretores estão ganhando concorrência desleal na dark web. Enquanto, no mundo dos negócios lícitos, a atividade proporciona grandes desafios de transparência e accountability a seus players, como constatou análise da Comissão de Comércio Americana (FTC) de 2014, na dark web o serviço é prestado sem qualquer regra ou restrição – e se torna o pesadelo da privacidade e da disciplina de proteção de dados dos cidadãos.

O que acontece quando os data brokers da dark web ocupam o espaço dos data brokers com CNPJ e, em vez de adquirir dados, contratam pessoas para vazá-los e remuneram o ecossistema ao redor disso? O primeiro resultado é uma série de serviços sustentando um lucrativo ecossistema na dark web. O segundo é que as maiores aplicações dos dados e os modelos complexos podem estar sendo gerados com dados ilícitos, comercializados de maneira ilegal, roubados – especialmente do governo. Este é o tema do presente artigo, que mede o problema, discute como e por que esse mercado paralelo se origina e analisa modos de contenção.

O problema e sua origem

Segundo pesquisa do Massachusetts Institute of Technology (o MIT, ao qual esta revista é ligada), entre 2018 e 2019 o número de vazamentos de dados no Brasil aumentou 493%. Em 2018, foram três grandes incidentes registrados e, em 2019, 16 – esses 16 impactaram até 205 milhões de pessoas, o que representa um percentual gigantesco num país com 211 milhões de habitantes. O mundo todo viu um aumento no vazamentos de dados no período, mas no Brasil o fenômeno cresceu de maneira desproporcional em relação aos demais, inclusive entre seus pares na América Latina.

O Brasil ocupa a 70ª posição no Índice Global de Cibersegurança, principal ranking de cibersegurança organizado pela União Internacional das Telecomunicações (UIT), braço da Organização das Nações Unidas (ONU). Mesmo se isolarmos os países das Américas, ficamos em sexto lugar, atrás dos vizinhos Uruguai (51º no ranking geral) e Paraguai (66º no geral). E, conforme essa avaliação, nossa vulnerabilidade maior está na fraca – ou inexistente – parceria entre governo e iniciativa privada, justamente o ponto que constituiu a maior fortaleza de países líderes em cibersegurança, como a Estônia. Ou seja, não é surpresa que os maiores vazamentos de 2021 tenham sido descobertos pelo setor privado e informados por empresas como a PSafe ao governo, que só então passou a procurar os responsáveis.

O crescimento exponencial dos vazamentos no Brasil é uma tragédia anunciada. Desde 2010, os investimentos públicos em tecnologia da informação (TI) são mensurados em todos os poderes federais. De acordo com análise feita pelo TCU (Tribunal de Contas da União), entre 2010 e 2015, investir no governo digital foi uma espécie de mantra, mas os investimentos em tecnologia em si permaneceram no mesmo patamar. Não só isso. Também ignoramos que apenas 40% do montante investido foi destinado à Administração Pública Federal direta, incluindo os poderes Executivo, Judiciário e Legislativo, e o Ministério Público. Os outros 60% foram para as empresas públicas, que, por regulação do setor, como no caso dos bancos, requerem altos investimentos. Os dados do País ficaram pouco protegidos.

Por que dizemos isso? Porque, desde o início da década 2010, sempre que paramos de investir em TI surge um tsunami. Segundo o AV-Test Institute, organização de pesquisa voltada à segurança de TI, a presença de malwares cresceu cem vezes entre 2012 e 2020. Em 2021, até o mês de abril, já há casos mais significativos do que em 2020 inteiro. Isso sem falar nos avanços de eficiência que a inteligência artificial representa para explorar falhas corriqueiras e na escalada de ataques globais, como o WannaCry, que afetou mais de 150 países.O resultado de um ambiente tão propício a ciberataques e vazamentos é perverso: o fomento de uma rede criminosa que transforma dados vazados em lucro. Os vazamentos semanais a que assistimos no Brasil encontram uma perigosa contrapartida: o data broker da dark web.

Vazamento como serviço

Em 2019, um detalhado estudo publicado nesta MIT Sloan Review Brasil mapeou o mercado de dados e serviços na dark web. Ao examinar o crime cibernético pelas lentes da cadeia de valor, os autores jogaram luz sobre como funciona o ecossistema que se nutre de nossa fragilidade cibernética.

Os CAaaS (cyberattack-as-a-service) são serviços que usam a dark web para fazer negócios, atendendo à demanda de criminosos e de empresários. A geração de valor do ecossistema está na combinação de fornecedores – indo dos atores que participam da invasão de um sistema àqueles que aumentam o benefício derivado desse crime.

O mercado de ciberataques como serviço contribuiu muito para o crescimento do crime cibernético, pois os desenvolvedores dos ataques não precisam se envolver nas demais atividades da cadeia de valor. O resultado dessa organização é que “os serviços oferecidos não são escolhidos aleatoriamente, mas são respostas inovadoras e propositadamente projetadas para as oportunidades de negócios”, conforme o estudo aqui publicado. No Brasil, os reflexos disso são claros: dados pessoais são vendidos por apenas US$ 1, com redução de custo para negociação pelo milhar, segundo a PSafe.

As autoridades brasileiras têm agido para combater o mercado ilegal de dados, mas não há sinais de um cenário controlado. Em 2017, a Polícia Federal realizou a Operação Spy, para apurar a comercialização de dados extraídos de sistemas internos da Receita Federal. Em 2019, foi a vez da Operação Data Leak agir contra data brokers que faturavam mais de R$ 2 milhões por mês com o comércio de informações protegidas. Mas considerando que, uma vez vazado, o dado permanece no comércio, ainda que os autores do vazamento sejam capturados, a capacidade de crescimento do mercado ilegal é superior à capacidade das autoridades de investigar e reprimir danos.

O sucesso da cadeia de valor CAaaS tem duas pontas: os provedores inovam na criação e na venda de novos serviços, enquanto os criadores de ataques projetam e lançam novas capturas de dados. Há ainda um braço financeiro, encarregado das formas de ocultar os ilícitos e legalizar as receitas. Algumas das estratégias passam por recebimentos com criptomoedas – o que é positivo, pois facilita a rastreabilidade do negócio –, mas outras são praticamente irrastreáveis, pois transformam o produto bruto (o dado pessoal vazado) em serviços legítimos comercializados fora da dark web.

No Brasil, o mercado de CAaaS engloba pelo menos três núcleos distintos: um núcleo de comercialização, outro de enriquecimento e um terceiro de mineração de dados.

O núcleo de vazamento é o mais simples de investigar, por estar diretamente ligado aos ataques. A Polícia Federal, por exemplo, identificou, com ajuda da Microsoft e do Exército, o possível autor do ataque ao STJ e também o autor do vazamento de mais de 200 milhões de dados pessoais a partir do governo. Vale considerar, contudo, que os avisos do evento aconteceram tardiamente, pela imprensa ou pela severa afetação do serviço prestado.

Já o núcleo de enriquecimento de dados é bem complexo de investigar, pois faz cruzamento de informações entre bases lícitas e ilícitas. Os milhares de dados vazados do governo, por exemplo, foram enriquecidos com fotos extraídas de sites públicos do Tribunal Superior Eleitoral (TSE). Ao vazamento de números de mais de 100 milhões de registros telefônicos se somaram os dados obtidos com engenharia social do WhatsApp, um por um. Não à toa, os dados foram enriquecidos com números de famosos, como um dos números associados ao presidente da República (o que faz os dados ganharem publicidade gratuita).Enriqueceram-se também devido a cruzamentos com dados de bases abertas.

Por fim, o núcleo de comercialização é o mais difícil de investigar de todos. Alguns casos são tão gritantes que ganham notoriedade, como o da filial russa da BBC, em 2019, que conseguiu comprar cópias de todos passaportes de um repórter desde seus 14 anos de idade. Mas a maioria não vem a público, porque se legaliza quando as cadeias de valor criminosas vendem para empresas, diretamente ou por meio de revendas (data brokers lícitos) para terceiros.

Os dois últimos núcleos são investigados por departamentos policiais e por autoridades de dados pessoais. No Brasil, a recém-implementada Autoridade Nacional de Proteção de Dados (ANPD) participou da investigação dos últimos vazamentos, por exemplo. Na Europa, a ação de data brokers lícitos que compram dados ilícitos está ostensivamente na mira tanto de autoridades como de atores da sociedade civil, a exemplo da investigação feita pela Privacy International.

Caminhos corretivos

O quadro descrito aqui é severo, mas não irreversível. A seguir, relacionamos providências que podem ser tomadas quanto a isso de modo relativamente rápido, dando ênfase ao contexto nacional. Porém, esta não é uma lista exaustiva.

Colaboração multissetorial

O governo brasileiro adota algumas medidas de colaboração na temática de cibersegurança, mas a maioria delas é restrita a entes do governo. Desde 2020 o Gabinete de Segurança Institucional (GSI) comanda a Estratégia Nacional de Segurança Cibernética, conhecida como E-Ciber, que institui a Política Nacional de Segurança da Informação, de 2018. O comitê que rege essa política é composto exclusivamente de entes do governo.

Um caminho melhor seria o da colaboração, como o que adotou o Conselho Nacional de Justiça (CNJ). Este incluiu na formação dos protocolos de segurança, após o incidente com o STJ, atores da sociedade civil. A Autoridade Nacional de Proteção de Dados (ANPD) tem previsto, em lei, um conselho com atores multissetoriais, cujas atividades devem começar este ano. Ambos, CNJ e ANPD, propõem fóruns promissores, mas, recentes, não têm programas de colaboração multissetorial.

Considerando que os ataques de pouco tempo atrás foram identificados pelo setor privado, principalmente por empresas de cibersegurança, e que os desafios são complexos, formas mais estruturadas de colaboração multissetorial precisam ser implementadas por entes governamentais. Eis algumas:

• Colaboração formal público-privada. Nos EUA e na Inglaterra, por exemplo, agências de cibersegurança e segurança cibernética possuem programas como o “i100”, no qual há colaboração em tempo real entre governo e indústrias de 13 estruturas críticas nacionais para avaliação e reporte de incidentes. No caso brasileiro, entes privados que queiram colaborar com o governo precisam criar parcerias individuais, e não gozam de incentivos para reportar casos quando vulnerabilidades são identificadas nas próprias organizações.• Programa de bounty hunter. Uma forma comprovada de reduzir custos e aumentar a velocidade de detecção de vulnerabilidades são os programas de report de falhas de segurança. Populares desde 2013, uma das primeiras agências de segurança a adotar programa desse tipo foi o Pentágono, nos EUA, em 2016. Atualmente existem redes dedicadas a isso, como a HackerOne, usada por mais de 25 empresas globais. O Brasil não possui programas como esses, e a experiência de “hackers do bem” (os “white hat hackers”, na língua inglesa) em reportar falhas no Brasil não ajuda em nada. Um caso famoso foi o do hacker Gabriel Pato, que, ao denunciar uma vulnerabilidade do governo, foi investigado por anos em retaliação.

Identidade digital

De acordo com um relatório da McKinsey Global Institute, a economia do Brasil pode crescer 13% se resolver seu déficit de identidade digital. Isso coloca o Brasil como o país que mais pode crescer, no mundo, com investimentos em identidade digital. A relação entre “digital ID” e cibersegurança é direta. Não só sistemas de segurança dependem de um forte sistema de autenticação de usuário, como a fragilidade da compra e venda de dados pessoais ilegais reside na desconexão entre ter seu dado exposto e ter a possibilidade de controlar a circulação dele. Por isso, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) recomenda ativamente que se invista em identidade digital, como pilar fundamental de um governo digital.

• Infraestrutura gratuita de Good ID. O marco regulatório de identificação civil e assinatura eletrônica avançou com a aprovação da Lei de Governo Digital e da Lei de Assinaturas Eletrônicas. Temos hoje um modelo similar ao europeu e uma direção clara de investimento em serviços digitais. Ao mesmo tempo, no entanto, continuamos limitados pela fixação no certificado digital, que, depois de 20 anos, é acessível para menos de 3% da população, o que tem graves consequências para a cibersegurança. Soma-se a isso a judicialização da cobrança de acesso à identidade pelo poder público, realizada por empresas de tecnologia do governo. O resultado desse quadro é a ineficiência ou praticamente inexistência de uma infraestrutura digital gratuita que permita adotar protocolos avançados de segurança.• Fintechs e identidade digital. O sistema financeiro é um dos mais regulados e externamente monitorados quanto a ataques cibernéticos. Em consequência, é um setor com farto ecossistema de soluções de alto nível de segurança cibernética, que tem muito a ensinar. As aplicações de soluções financeiras para enfrentar a barreira de identidade digital são claras. Durante a pandemia, por exemplo, a Caixa Econômica Federal conseguiu, com a oferta do “coronavoucher”, atingir quantidades recordes de identificação digital no Brasil; soluções semelhantes são incentivadas pelo Banco Econômico Mundial. E a introdução do Pix, pelo Banco Central, no País permite com elevado grau de segurança não só avançar na inclusão financeira, como também serve de alternativa para a identidade digital de última milha.

LGPD e data brokers

O Brasil demorou para ter legislação geral sobre proteção de dados – foi só em 2020, com multas a partir de 2021. Se olharmos para países que têm legislação similar desde 2000 (como a Argentina) ou desde 2008 (como o Uruguai), é possível ver como estes possuem controles de dados pessoais mais robustos que os nossos. Tanto é que gozam de status de equivalência dado pela Comissão Europeia (em conformidade com os termos da Diretiva 95/46/CE). O Brasil inicia a jornada agora; demorará alguns anos para elevar seu ecossistema de dados pessoais. E o Brasil ainda tem um déficit de profissionais que atuam com proteção de dados. Só no setor de TI são 24 mil profissionais a menos do que a demanda por ano, em um mercado que cresce entre 8% e 9% anuais. Especificamente em cibersegurança, inclusive, o Brasil é o país do mundo com maior déficit de profissionais.Se cruzarmos a recente regulamentação do profissional de cibersegurança com a escassez técnica que vivemos, vemos ao menos dois desafios-chave:

• Formação, atração e manutenção de talentos. A Estratégia de Cibersegurança da União Europeia de 2020 deixa claro o papel do profissional especializado em segurança para a área de segurança digital. No Brasil, a formação privada tem demonstrado capacidade de inovação nos modelos de formação, como faculdades que aceitam o emprego futuro como um crédito financeiro, mas o gap de profissionais qualificados de maneira ampla inviabiliza a segurança cibernética tanto no setor público como no privado. Apenas com uma transformação radical no sistema de educação, com parceria público-privada e uso de ensino híbrido, e com coordenação federal, há possibilidade de mudança – e no médio prazo.• Controle dos data brokers. A ANPD tem um papel central em regulamentar a atividade dos data brokers, com reflexos diretos na cibersegurança. Pelo menos duas áreas são centrais para regulação e vigilância: o uso de dados pessoais obtidos de forma ilícita e a maior clareza em áreas específicas sobre limites e possibilidades de tratamento de dados pessoais de diferentes controladores, sobretudo quando estão envolvidos entes governamentais.

Três cenários futuros

Se estamos vendo escalarem os registros de vazamento de dados, é possível – até provável – que existam muitos outros vazamentos não relatados, às vezes nem percebidos. Os serviços comercializados na dark web, e as investigações realizadas até o momento, permitem afirmar que um ecossistema similar ao dos data brokers lícitos já existe para dados ilícitos. Com base nesse contexto, podemos considerar o surgimento de três cenários futuros:

• Pior cenário. O esforço govtech se torna um pesadelo. O aumento de serviços de governo digital vira uma escalada de vazamento de dados, a ponto de as fraudes realizadas com dados pessoais se tornarem superiores, em perdas para economia e garantias individuais, aos ganhos com o digital.• Cenário intermediário. Em áreas-chave do governo atingimos maturidade similar à do setor financeiro brasileiro. Ainda há vazamentos e comercialização de dados de modo ilícito, mas a infraestrutura nacional é preservada, e avanços na universalização de identidade digital permitem que cidadãos e empresas controlem parte dos impactos negativos gerados pelos vazamentos.• Melhor cenário. O Brasil sai da 70ª posição do ranking mundial de cibersegurança com o aumento de profissionais da área, melhorias na regulação e implementação – em escala – de princípios como privacidade “by design” e segurança “by design”. Preocupações com segurança de dados fazem parte de como os projetos novos de governo digital são desenvolvidos, e o mercado ilícito de dados pessoais é combatido de modo eficiente.

Vamos torcer, é claro, pelo melhor cenário. Afinal, o ano de 2021 pode muito bem ser o ano que, devido a tantos vazamentos de dados, mudará o ecossistema de cibersegurança no Brasil.

Imagens-07.jpeg

Imagens-08.jpeg

Imagens-09.jpeg

Janaina Costa, João Victor Archegas e Fabro Steibel
Janaina Costa e João Victor Archegas são pesquisadores do Instituto de Sociedade e Tecnologia (ITS) do Rio de Janeiro. Fabro Steibel é diretor-executivo do ITS-Rio, pesquisador e professor de inovação, membro do conselho global do Fórum Econômico Mundial (WEF) e fellow da Organização dos Estados Americanos (OEA).

Deixe um comentário

Você atualizou a sua lista de conteúdos favoritos. Ver conteúdos
aqui