José Estêvão de Melo
Engenheiro Informático

O assalto ao Louvre demonstrou, uma vez mais, que o elo mais fraco da segurança digital continua a ser o fator humano. Os erros encontrados eram tão básicos que parecem ficção: um servidor a correr um sistema operativo com mais de 20 anos, um sistema de videovigilância protegido pela palavra-passe “Louvre” e uma infraestrutura que já nem era suportada pelo fabricante. Para agravar, existiam relatórios, alguns com vários anos, que alertavam para estas vulnerabilidades sem que nada tivesse sido feito.

Estas falhas são inteiramente evitáveis, mas continuam a repetir-se nos mais variados setores. A cibersegurança parece frequentemente um tema extremamente complexo, e por vezes é; existem ataques sofisticados que exigem enorme conhecimento técnico e criatividade singular. No entanto, a maioria das intrusões bem-sucedidas explora erros simples: passwords iguais ao nome do utilizador, combinações numéricas triviais, reutilização de credenciais em múltiplos serviços ou ausência de atualizações básicas. Basta que um único portal seja comprometido para que contas noutros sistemas fiquem também em risco.

E estes problemas não se limitam ao mundo digital. Num silo de mísseis balísticos intercontinentais nos Estados Unidos, soldados deixaram a porta de segurança para o centro de controlo e comando aberta porque não queriam cumprir o protocolo completo de acesso. Outro caso emblemático envolveu a aplicação Strava: ao partilharem rotinas de corrida, militares revelaram inadvertidamente a localização, o tamanho e até a função provável de edifícios em bases ultrassensíveis, incluindo a Área 51 e instalações no Afeganistão e na Síria.

Uma justificação comum que encontro para o pouco cuidado com a segurança digital, é a ideia de que “ninguém vai atacar uma empresa pequena, porque não tem nada de valor”. Este é um mito perigoso. Mesmo que não apreciemos o valor que os nossos dados têm para os outros, eles têm valor para nós. Uma base de dados de faturação contém créditos e informação essencial para a operação de qualquer PME; se for cifrada num ataque de ransomware, a empresa pode ficar paralisada e incapaz de cobrar valores em aberto.

Pior ainda: as PME são, de facto, o alvo preferencial deste tipo de ataques. São vistas como mais vulneráveis, com defesas mais fracas e maior probabilidade de pagar para recuperar a atividade. O custo médio de recuperação pode atingir dezenas de milhares de euros, e cerca de 60% das empresas afetadas encerram nos seis meses seguintes ao ataque. Para os criminosos, atacar cem pequenas empresas é mais rentável do que tentar penetrar numa grande organização com equipas de segurança dedicadas.

Este fenómeno tornou-se ainda mais grave com o surgimento do modelo Ransomware-as-a-Service (RaaS). Tal como nos serviços de software legítimos, os operadores desenvolvem e mantêm o malware e alugam-no a afiliados. Estes, por sua vez, não precisam de grandes conhecimentos técnicos: utilizam o kit fornecido, exploram credenciais fracas ou realizam campanhas de phishing simples e lançam o ataque. Os lucros são divididos entre operador e afiliado, o que transforma o cibercrime numa indústria global altamente lucrativa e acessível a criminosos com baixo nível de especialização.

Todos estes exemplos, desde bases militares a museus e pequenos restaurantes, ilustram uma verdade fundamental: não importa quão avançada seja a tecnologia, ela pode ser anulada pela negligência mais básica. Uma porta de aço de várias toneladas é inútil se alguém decide deixá-la aberta. A firewall mais cara do mundo é irrelevante se o acesso privilegiado depende de uma password fraca.

E o problema não está apenas nas grandes instituições. Está no nosso quotidiano. Quantos de nós alteramos a palavra-passe do router que recebemos do fornecedor? Quantos cafés mantêm redes Wi-Fi abertas ou partilham a mesma rede entre clientes e sistemas internos? Quantas empresas configuram redes separadas, mas sem o isolamento e filtragem adequados, permitindo que qualquer utilizador externo aceda a conteúdos ilegais e expondo-se a responsabilidades legais por negligência?

Há um ditado que diz: uma corrente é tão forte quanto o seu elo mais fraco. Nada é mais verdadeiro na segurança digital. E, por isso, podemos dizer que “somos todos Louvre”: porque de uma forma ou de outra, muitos de nós ignoramos aspetos essenciais da nossa própria proteção digital.