Objeto conectado é mais sujeito a ataque virtual que notebook

A americana Laura Lyons estava em casa com sua família em Orinda, na Califórnia, quando ouviu um alerta inesperado (e aterrorizante) vindo de sua câmera de segurança: a Coreia do Norte, anunciava o aparelho, havia acabado de lançar mísseis nucleares contra os EUA e todos na vizinhança deveriam fugir para sobreviver.

A mensagem deixou a família em pânico por alguns minutos, mas era falsa. Hackers haviam descoberto a senha de acesso à câmera e usado o alto-falante embutido para fazer a pegadinha.

O episódio, que aconteceu no mês passado, evidencia um aspecto óbvio, mas que pode passar despercebido, da internet das coisas: esses dispositivos nada mais são do que computadores e, como tais, podem ser invadidos se certos cuidados não forem tomados.

“A ironia é que uma tecnologia como uma câmera conectada, que é comprada para aumentar a segurança, pode ter o efeito contrário e ser usada por criminosos contra seus donos”, diz Thiago Marques, analista de segurança da empresa de soluções para proteção digital Kaspersky.

Ameaças digitais têm sido um problema crescente no setor em todo o mundo, e o Brasil é um dos países mais afetados. De acordo com a Kaspersky, no primeiro semestre de 2018, foi daqui que partiu o maior número de ataques envolvendo dispositivos conectados, 23% do total.

Em todo o mundo, a Kaspersky detectou mais de 120 mil vírus que miram a internet das coisas, mais do que o triplo descoberto em 2017.

Mas nem sempre o alvo são os donos dos aparelhos. Muitas vezes, dispositivos são infectados sem que os usuários percebam e transformados numa espécie de exército silencioso a serviço dos hackers.

Foi o que aconteceu no ataque Mirai, em 2016, quando criminosos invadiram cerca de 300 mil aparelhos, em sua maioria câmeras de segurança, e os usaram para acessar e sobrecarregar servidores da americana Dyn.

A ofensiva deixou parte da costa leste dos EUA sem acesso a pelo menos 85 grandes sites e resultou em um prejuízo estimado de US$ 110 milhões.

A internet das coisas é mais suscetível a esse tipo de crime porque há muitos aparelhos do tipo e, geralmente, eles são mais fáceis de invadir do que celulares e computadores.

Um dos motivos para a vulnerabilidade é que, enquanto os mercados de tecnologia mais consolidados são dominados por um punhado de grandes empresas com experiência no setor, o de dispositivos conectados ainda está se formando. 

O lado ruim disso é que muitos que se aventuram na área não têm o conhecimento ou os recursos para desenvolver um produto seguro.

“Há grandes marcas que atuavam em áreas específicas, mas que, com a conexão de seus equipamentos, passaram a ser também fabricantes de software, como o que ocorre na área de brinquedos inteligentes. [Com isso,] problemas de segurança que já são conhecidos há muito tempo estão retornando à indústria”, diz Miriam von Zuben, analista de segurança do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil).

Na mesma linha, Eduardo Magrani, professor de direito, tecnologia e propriedade intelectual da FGV-RJ e autor do livro “A Internet das Coisas” (Editora FGV), diz que grandes empresas já têm consciência de que precisam desenvolver equipamentos seguros.

Uma falha de design comum, por exemplo, é configurar todos os equipamentos de uma marca com uma senha padrão e não exigir que o usuário a troque ao instalar o equipamento, o que o deixa exposto a ataques. O problema é tão sério que em 2018 o estado da Califórnia aprovou uma lei proibindo a prática.

O mundo inteiro ainda busca soluções para os problemas de segurança da internet das coisas, mas especialistas concordam que a única saída são ações conjuntas do governo, do setor privado e dos consumidores.

Na parte regulatória, o Brasil conseguiu avanços importantes. No ano passado foi aprovada a Lei Geral de Proteção de Dados Pessoais.

O texto, que será aplicado a partir de 2020, estabelece parâmetros para a coleta e o processamento de dados pessoais, além de procedimentos para quando ocorrem vazamentos de informações sensíveis. Também prevê multas de até R$ 50 milhões para infrações e cria uma Autoridade Nacional de Proteção de Dados, que fiscalizará o cumprimento da legislação.

As nomeações para os cargos da autoridade e como se dará sua atuação ainda dependerão do governo federal. 

Para Paulo Pagliusi, líder do comitê de segurança da Associação Brasileira de Internet das Coisas, o órgão precisa manter independência das indicações políticas e ficar em diálogo constante com os empresários do setor. “As regulações devem ser conversadas com a indústria, não impostas de cima para baixo”, diz.

Já no lado das fabricantes, deve-se aumentar o investimento em segurança, diz Von Zuben,do Cert.br. “É necessário que elas conheçam mais dessa área e considerem seriamente os requisitos de segurança de seus produtos. Também é importante que estejam cientes de que vulnerabilidades acontecem e que tratá-las rapidamente é essencial para reduzir danos.”

Os consumidores também podem tomar atitudes simples para reduzir os riscos. Comprar de fornecedores confiáveis, evitando preços muito abaixo da média do mercado, manter os sistemas operacionais dos equipamentos atualizados e trocar as senhas com regularidade são um bom começo.