A “moda” do Cibercrime

A par e passo dos grandes temas da actualidade, o cibercrime tem sido um assunto de destaque neste novo início de ano.

Os primeiros dias de Janeiro ficaram marcados pelo ciberataque à Impresa. Semanas mais tarde à Cruz Vermelha. Já nos últimos dias, foram notícia os ciberataques ao grupo Inditex, aos Laboratórios Germano de Sousa e à Vodafone. Estes últimos, com repercussões graves na sociedade, tendo condicionado durante horas o acesso a dados de saúde e a serviços de emergência, nomeadamente devido ao corte das telecomunicações. Os alertas do Gabinete de Cibercrime da Procuradoria Geral da República têm sido constantes, mas o número de crimes praticados sob esta forma só parece aumentar.

Mas afinal porquê esta “moda” do cibercrime?

Em boa verdade, a preocupação com esta forma de criminalidade já existia antes do virar do século XXI, mas a Convenção sobre Cibercrime do Conselho da Europa, que resultou em Portugal na Lei n.º 109/2009, de 15 de Setembro conhecida por Lei do Cibercrime, foi uma das grandes primeiras medidas aqui tomadas para o combate à criminalidade informática. Sucede, que os meios tecnológicos se têm vindo a desenvolver exponencialmente nos últimos anos e, consequentemente, também a criminalidade através destes meios se tem vindo cada vez a aprimorar mais e mais.

Recentemente, com as circunstâncias pandémicas dos últimos dois anos e consequentes confinamentos sociais, grande parte da actividade económica passou a ser realizada online. Assim, tendo passado a internet a ser a base essencial do dia a dia da maioria da população, não só na esfera particular mas igualmente na esfera profissional através do trabalho remoto, também a criminalidade aproveitou as vulnerabilidades deixadas por estas mudanças e direcionou os seus padrões para tirar proveito das mesmas.

Ora, de um modo geral, os crimes ciberdependentes são todos aqueles que podem ser cometidos através de computadores, redes de computadores ou de outras formas de tecnologia de comunicação da informação, sendo impossível listar estes tipos de crime de forma exaustiva, sob pena de falhar na abrangência de todos devido à constante evolução desta área dos meios tecnológicos. Ainda assim, nas camadas empresariais, os ataques mais frequentes são realizados através de ransomware (que é um tipo de software malicioso ou malware) que restringe o acesso ao sistema afetado, como um “rapto” em troca de um resgate. O acesso é conseguido pelos criminosos, na maioria dos casos, através dos designados e-mails de phishing, enviados para o destinatário como forma de ter acesso ao sistema daquele e assim proceder à encriptação de dados. Estes e-mails tendem a ser de carácter alarmista, envolvendo o furto de cartão de crédito ou de um montante elevado de uma conta bancária. Outra forma de acesso, agora mais facilitada pela frequência do teletrabalho, é o criminoso entrar no sistema através da exploração das fragilidades dos sistemas de acesso remoto.

De acordo com o relatório Riscos & Conflitos de 2021 do Centro Nacional de Cibersegurança, o risco de uma entidade sofrer um ataque informático aumentou, em 2020, 94%. Mas, os meios preventivos que têm vindo a ser tomados pela maioria dos agentes económicos não se vislumbram suficientes para acompanhar o crescimento deste tipo de criminalidade, em parte, também, pelo facto de muitos dos ataques não serem reportados às autoridades, havendo um grande desconhecimento sobre os meios disponíveis para a denúncia.

O certo, é que estão reunidos, neste momento da actualidade, uma variedade de factores sociais que, aliados às já conhecidas “vantagens” do cibercrime (como o anonimato e possibilidade de atingir a vítima em qualquer ponto do mundo) se têm traduzido no citado aumento drástico do risco de se vir a ser vítima de um ataque deste tipo.

De realçar, que apesar de naturalmente os alvos mais noticiados destes ataques serem os grandes grupos empresariais, também as PME e as pessoas singulares não estão seguras e devem tomar as adequadas medidas preventivas para a sua proteção. Algumas medidas de segurança essenciais e que são acessíveis a todos, passam por prestar uma atenção especial em não abrir e-mails de remetentes não esperados ou não confiáveis e não carregar em links desconhecidos. Outras medidas que se podem igualmente adoptar, são o uso de métodos de autenticação dupla sempre que possível; manter uma política empresarial de clean desk (sem passwords à vista e com bloqueamento automático de sessão) ou, ao trabalhar em redes públicas, fazê-lo através de um sistema de VPN.

Nota: O autor escreve ao abrigo do antigo acordo ortográfico.