Cidades pequenas se tornam o principal alvo de extorsão cibernética

Os números ajudam a explicar essa mudança. A empresa de cibersegurança Sophos constatou repetidamente em seus relatórios anuais de ransomware que governos estaduais e locais, saúde e educação continuam entre os setores mais atingidos. Nos Estados Unidos, o Centro de Análise e Compartilhamento de Informações Multi-Estatal, que apoia governos estaduais, locais e tribais, alerta há anos que o ransomware continua sendo uma das ameaças mais prejudiciais para os órgãos públicos locais. As agências federais têm reforçado essa visão. O Centro de Reclamações de Crimes na Internet do FBI registrou bilhões de dólares em perdas anuais com crimes cibernéticos em toda a economia, mas esses números provavelmente subestimam os danos a instituições locais, que muitas vezes não relatam os ataques ou não medem o custo total do tempo de inatividade.

O que torna esses ataques tão prejudiciais não é apenas o pedido de resgate em si. É o que para de funcionar quando um sistema local fica inoperante. Em uma cidade, isso pode significar que os registros judiciais se tornam indisponíveis. Em outra, os pagamentos de impostos congelam, os sistemas de emergência ficam mais lentos ou a equipe escolar perde o acesso aos arquivos dos alunos. Em 2023, autoridades de vários municípios dos EUA revelaram incidentes cibernéticos que interromperam serviços de rotina por dias ou semanas. No Reino Unido, os conselhos locais também enfrentaram sérias perturbações digitais nos últimos anos, com alguns sendo forçados a voltar a usar processos em papel depois que os sistemas foram desativados. Para os moradores, o resultado não é um problema abstrato de computador. São salários atrasados, licenças adiadas, consultas canceladas e serviços públicos que de repente parecem frágeis.

Os criminosos entendem essa pressão. Uma grande corporação pode ter sistemas de backup, seguro cibernético, advogados externos e uma equipe de segurança dedicada. Um escritório de um condado em uma área rural muitas vezes não tem nada disso. Muitas agências locais ainda dependem de software antigo, hardware sem suporte e equipes de TI pequenas que se desdobram para cuidar de tudo, desde sistemas de folha de pagamento até o Wi-Fi público. Em alguns lugares, uma ou duas pessoas são efetivamente responsáveis por toda a vida digital de uma cidade. Essa é uma tarefa quase impossível quando grupos criminosos operam como empresas, com suporte ao cliente, negociadores e ferramentas de malware prontas para uso.

Pesquisas mostram que essas fraquezas são generalizadas. Um relatório de 2023 do Centro de Segurança na Internet descreveu os governos locais como tendo recursos limitados e sendo cada vez mais visados. Análises separadas do Government Accountability Office também alertaram que muitos setores de infraestrutura crítica, incluindo sistemas de água, enfrentam grandes lacunas de cibersegurança. O problema é especialmente grave em comunidades menores. Cidades grandes podem ao menos atrair apoio estadual ou federal após um incidente. Lugares menores muitas vezes sofrem em relativo silêncio.

Os sistemas de água mostram por que isso importa para além da papelada. Nos últimos anos, autoridades dos EUA alertaram repetidamente que as fraquezas cibernéticas em instalações de água potável e de esgoto poderiam criar riscos reais à segurança pública. A Agência de Proteção Ambiental e outras agências apontaram práticas de senhas ruins, software desatualizado e sistemas de acesso remoto expostos como problemas recorrentes. Em 2021, um hacker invadiu o sistema de tratamento de água em Oldsmar, na Flórida, e tentou brevemente aumentar a quantidade de hidróxido de sódio na água. A alteração foi detectada antes que causasse danos, mas o caso se tornou um exemplo claro de como uma violação cibernética pode rapidamente passar para o mundo físico. Também mostrou como um modesto serviço público local, e não um alvo nacional gigante, pode se tornar o local de um sério susto de segurança pública.

As escolas contam uma história parecida. Elas guardam registros extremamente pessoais sobre crianças e famílias, mas muitos distritos têm orçamentos de segurança limitados. Nos últimos anos, distritos em estados como Minnesota, Califórnia e Nova York relataram incidentes de ransomware ou roubo de dados afetando frequência, folha de pagamento, registros de aconselhamento e arquivos de educação especial. A violação não é apenas técnica. Torna-se pessoal rapidamente. Uma família pode de repente se preocupar que os registros de saúde de uma criança, seu endereço ou histórico disciplinar estejam circulando online. Para as crianças, o dano pode durar muito tempo depois que as aulas são retomadas.

Por que isso está acontecendo agora? Uma razão é a economia simples. Os cibercriminosos querem alvos que provavelmente pagarão. Governos locais e instituições públicas geralmente fornecem serviços essenciais e não podem ficar inativos por muito tempo. Isso cria pressão para restaurar os sistemas rapidamente, mesmo que as autoridades digam publicamente que não negociarão. Outra razão é o acesso. Os invasores não precisam mais de habilidades de elite para lançar uma campanha prejudicial. A disseminação do "ransomware como serviço" diminuiu a barreira de entrada. Grupos criminosos podem comprar ferramentas, alugar infraestrutura e dividir os lucros. Isso tornou a extorsão mais escalável e implacável.

Há também uma lacuna nas políticas públicas. O investimento em cibersegurança ainda tende a favorecer instituições maiores, com orçamentos maiores e vozes políticas mais fortes. Enquanto isso, agências locais precisam defender sistemas eleitorais, registros públicos, dados policiais, serviços públicos e escolas com regras de aquisição e níveis de pessoal que não acompanham a ameaça. Nos Estados Unidos, o Congresso e as agências federais aumentaram os subsídios e programas de apoio nos últimos anos, incluindo ajuda ligada à infraestrutura crítica e ao planejamento de cibersegurança estadual. Mas muitos especialistas dizem que a ajuda continua desigual e lenta demais para acompanhar o ritmo dos ataques.

As consequências são fáceis de subestimar porque se espalham pela vida cotidiana. Um ataque de ransomware a uma cidade pequena nem sempre vira notícia global. Mas para os moradores locais, pode significar a suspensão da venda de um imóvel, o atraso no envio de uma ambulância, o fechamento de uma biblioteca ou a perda de confiança de que a cidade pode proteger registros básicos. Ataques repetidos também corroem a confiança nas instituições públicas. Se uma escola, hospital ou escritório do condado não consegue proteger sua própria rede, as pessoas perguntam, com razão, o que mais está em risco.

Existem soluções, e elas são menos glamorosas do que muita gente pensa. A higiene cibernética básica ainda importa. Orientações federais de agências como a CISA há muito tempo enfatizam alguns passos cruciais: autenticação multifator, backups offline, segmentação de rede, atualizações de software em dia e treinamento regular da equipe. Esses passos não são perfeitos, mas reduzem drasticamente o risco. O mesmo vale para o planejamento da recuperação antes que uma violação aconteça. As comunidades precisam de sistemas de backup testados, planos de emergência claros e acordos de ajuda mútua para que um escritório local não tenha que enfrentar um ataque sério sozinho.

O dinheiro também importa. A cibersegurança local não pode depender de doações pontuais após uma crise. Precisa de financiamento estável, serviços compartilhados e modelos de apoio regional que permitam que comunidades menores acessem especialistas em defesa que nunca poderiam contratar por conta própria. Alguns estados começaram a se mover nessa direção, oferecendo operações de segurança centralizadas, monitoramento de ameaças e suporte de resposta a incidentes para condados e distritos escolares. Esse modelo merece um apoio mais amplo.

O maior equívoco é pensar que a extorsão cibernética é um problema principalmente de empresas ricas e capitais distantes. Na realidade, a linha de frente muitas vezes passa por cidades pequenas, sistemas escolares modestos e serviços públicos locais que as pessoas usam todos os dias e mal pensam neles, até que falhem. É por isso que esta história importa. Quando o cibercrime atinge instituições locais, ele não rouba apenas dados. Ele interrompe os sistemas comuns que fazem uma comunidade se sentir segura, funcional e real.