O elo mais fraco da cibersegurança? Pode ser o seu e-mail pessoal

Isto é importante porque a vida de altos funcionários não é dividida em caixas separadas. As suas vidas profissional e pessoal, contactos, calendários e métodos de recuperação de contas muitas vezes misturam-se de formas que criam aberturas para os atacantes. Uma caixa de e-mail privada pode conter detalhes de viagens, listas de contactos, avisos legais, registos financeiros ou links para redefinir senhas. Mesmo que não haja ficheiros confidenciais guardados ali, um invasor ainda pode obter algo valioso: contexto. Em operações cibernéticas, contexto é poder. Ajuda os criminosos a aplicar fraudes, ajuda os espiões a mapear relações e ajuda os engenheiros sociais a criar mensagens que parecem reais o suficiente para enganar até os alvos mais cautelosos.

As provas gerais são difíceis de ignorar. O Centro de Queixas de Crimes na Internet do FBI disse que os americanos relataram mais de 12,5 mil milhões de dólares em perdas com cibercrimes em 2023, um valor recorde. Muitos desses casos não começaram com malware sofisticado. Começaram com phishing, invasão de contas, roubo de identidade e falsificação de identidade. O relatório de longa data da Verizon sobre investigações de violações de dados concluiu repetidamente que o fator humano está presente na maioria das violações, seja através de credenciais roubadas, engenharia social ou simples erro. A Google e a Mandiant também alertam há anos que a tomada de controlo de contas muitas vezes começa com hábitos de autenticação fracos, e não com código avançado.

Este padrão vai muito além dos Estados Unidos. No Reino Unido, o Centro Nacional de Cibersegurança tem insistido para que tanto funcionários públicos como cidadãos comuns protejam as suas contas de e-mail pessoais, porque elas podem servir de porta de entrada para sistemas maiores. Na Alemanha e em França, agências de cibersegurança emitiram avisos semelhantes depois de campanhas ligadas a grupos apoiados por estados terem usado comunicações pessoais e contas na nuvem para traçar o perfil dos seus alvos. Mesmo quando o objetivo não é uma invasão direta, os atacantes podem recolher informação suficiente de uma conta pessoal para lançar uma campanha de pressão, uma tentativa de chantagem ou uma operação de falsificação de identidade convincente.

Porque é que as contas pessoais são tão vulneráveis? Parte da resposta é psicológica. As pessoas geralmente são mais cuidadosas no trabalho porque sabem que estão a ser vigiadas, treinadas e auditadas. Em casa, agem mais depressa. Clicam em links nos telemóveis, usam senhas antigas, ignoram alertas de segurança e tratam as plataformas que conhecem como se fossem seguras. A mesma pessoa que nunca abriria um ficheiro estranho num portátil do governo pode aprovar um pedido de login sem pensar enquanto faz o jantar. Essa falha de atenção é exatamente o que os atacantes exploram.

Outra razão é estrutural. A vida digital moderna baseia-se na interligação. Uma conta de e-mail pessoal pode ser o endereço de recuperação para contas bancárias, aplicações de mensagens, compras, armazenamento na nuvem e redes sociais. Um número de telemóvel pode desbloquear códigos de autenticação de dois fatores. Um calendário familiar pode revelar planos de viagem. Uma lista de contactos pode identificar assistentes, familiares, médicos, advogados e colegas de trabalho. Para um alto funcionário público, essa teia torna-se ainda mais útil para um atacante. Pode revelar quem atacar a seguir e que história contar.

Isto não é uma preocupação hipotética. A publicação, em 2016, de e-mails roubados a figuras políticas de topo dos EUA mostrou como contas pessoais e de campanha podiam tornar-se armas de segurança nacional e política. Nos anos seguintes, investigadores e agências de inteligência documentaram repetidas tentativas de grupos ligados a outros países para atacar funcionários, jornalistas, dissidentes e especialistas em políticas públicas através de plataformas pessoais, em vez de canais oficiais. A Microsoft descreveu como atores apoiados por estados muitas vezes começam com ataques de "password spraying", roubo de "tokens" ou phishing contra utilizadores individuais, porque é mais barato e mais discreto do que atacar uma rede defendida de frente.

As consequências podem espalhar-se rapidamente. Primeiro, vêm os danos diretos para o alvo: mensagens roubadas, contactos expostos, detalhes pessoais divulgados e possível fraude financeira. Depois, vêm os danos institucionais. Os colegas podem receber mensagens falsas que parecem de confiança. As equipas de segurança podem ter de investigar se os sistemas internos foram afetados indiretamente. Os adversários podem explorar o incidente para minar a confiança do público, sugerindo incompetência ou uma falha mais profunda, mesmo que a violação tenha sido limitada. Para os líderes das forças de segurança e dos serviços de inteligência, esse dano à reputação acarreta o seu próprio risco. Pode enfraquecer a confiança internamente e enviar sinais para o exterior.

Existe também um problema democrático mais profundo. É muitas vezes dito aos cidadãos que a cibersegurança nacional é principalmente um assunto de agências de elite, ferramentas secretas e defesas de milhares de milhões de dólares. Mas incidentes que envolvem contas pessoais mostram que a cibersegurança pública está ligada a hábitos digitais comuns. Se altos funcionários podem ser expostos através do mesmo tipo de fraquezas que afetam milhões de lares, então a resiliência cibernética não é apenas uma questão técnica. É uma questão cívica. Depende de hábitos, de escolhas de design e de as plataformas tornarem a segurança forte o padrão, em vez de um extra opcional.

A boa notícia é que muitas das melhores defesas não são um mistério. Especialistas em segurança há muito que insistem para que as pessoas usem gestores de senhas, senhas únicas, autenticação multifator resistente a phishing e contas de e-mail separadas para funções importantes, como a recuperação de contas. A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA tem destacado o valor das chaves de segurança de hardware para pessoas em risco elevado, incluindo funcionários públicos, jornalistas e ativistas. A Apple, a Google e a Microsoft oferecem agora programas de proteção de contas mais fortes, mas ainda exigem que os utilizadores se inscrevam e os mantenham.

As instituições também precisam de deixar de tratar a segurança de dispositivos e contas pessoais como uma questão secundária e embaraçosa. Para altos funcionários, deveria fazer parte da gestão de risco padrão. Isso significa revisões de segurança regulares das contas pessoais, orientações mais fortes para os familiares, uma separação mais clara entre as funções públicas e a comunicação privada, e regras de reporte rápido quando se suspeita de uma falha de segurança pessoal. Estes passos podem parecer intrusivos, mas a alternativa é pior. Os atacantes já perceberam que a fronteira da rede é a vida humana que está ligada a ela.

Há aqui uma lição que vai além de uma falha de segurança noticiada ou de uma manchete. As falhas de cibersegurança nem sempre chegam com a força de uma cena de cinema. Muitas vezes, elas entram de fininho através de uma aplicação familiar, de um login de rotina ou de uma mensagem privada que parece demasiado banal para ser temida. É por isso que as contas pessoais são tão importantes. Elas já não estão fora do perímetro de segurança. Em muitos casos, elas são o perímetro. E até que os líderes, as instituições e o público aceitem isso, a próxima invasão continuará a parecer-se menos com uma cena de guerra digital e mais com o dia a dia.