Seu roteador antigo virou a cena de crime favorita da internet

Roteadores são as portas de entrada da vida digital. Eles conectam laptops, celulares, câmeras, smart TVs, consoles de videogame, monitores de bebê e uma pilha crescente de aparelhos domésticos ligados à internet. Mesmo assim, são tratados como se fossem papel de parede. Depois que o Wi-Fi funciona, a maioria das pessoas nunca mais faz login. Esse hábito criou um alvo enorme e fácil. Agências de segurança em vários países alertam há anos que roteadores antigos e sem atualizações estão sendo incorporados em botnets, usados como pontos de apoio para espionagem ou explorados para redirecionar o tráfego e roubar dados. Nos Estados Unidos, o FBI alertou repetidamente sobre roteadores domésticos e de escritórios comprometidos. O Centro Nacional de Cibersegurança do Reino Unido fez o mesmo. Isso não é pânico exagerado. É uma fraqueza bem conhecida, escondida à vista de todos.

A evidência não é sutil. Em 2018, o malware VPNFilter infectou centenas de milhares de dispositivos de rede em todo o mundo, incluindo roteadores usados em residências e pequenas empresas. Pesquisadores da Cisco associaram a campanha a uma operação sofisticada, e o FBI mais tarde pediu que as pessoas reiniciassem os dispositivos afetados enquanto medidas mais amplas eram tomadas. Reiniciar era apenas uma solução temporária. A lição maior foi brutal: o hardware de internet do dia a dia havia sido silenciosamente transformado em arma em larga escala. Anos antes, a botnet Mirai mostrou o que acontece quando dispositivos conectados e inseguros são deixados expostos. Em 2016, ela ajudou a tirar do ar grandes serviços online, mobilizando um enorme exército de dispositivos comprometidos. A Mirai ficou famosa por abusar de senhas padrão fracas em câmeras e outros aparelhos, mas o ponto principal permanece. Equipamentos de internet baratos e negligenciados podem ser transformados em infraestrutura de ataque.

Desde então, o problema não desapareceu. Ele evoluiu. Os invasores nem sempre precisam de falhas de segurança complexas. Às vezes, eles usam as credenciais de login padrão que os proprietários nunca alteraram. Às vezes, usam vulnerabilidades conhecidas em firmwares antigos que os fabricantes corrigiram há muito tempo, supondo que alguém se deu ao trabalho de instalar a atualização. E, às vezes, não há correção alguma, porque o dispositivo atingiu o fim de sua vida útil e o fabricante simplesmente o abandonou. O grupo de consumidores Which?, no Reino Unido, e a Internet Society destacaram uma realidade básica, mas perturbadora: muitos dispositivos conectados são vendidos com promessas de suporte fracas, prazos de atualização incertos ou recursos de segurança que os compradores comuns nunca aprendem a usar.

É aqui que o mercado falhou, e falhou feio. Dizem aos consumidores para serem mais responsáveis online, mas eles compram produtos que tornam a responsabilidade impraticável. As configurações do roteador geralmente estão escondidas atrás de interfaces confusas. As atualizações de segurança podem exigir instalação manual. As páginas de suporte são difíceis de encontrar. Os avisos de fim de vida útil são obscuros. Alguns provedores de internet fornecem hardware que os clientes mal entendem e não podem substituir facilmente. Isso não é um erro do usuário no sentido comum. É uma escolha de design da indústria. O sistema assume a negligência e depois se surpreende quando os criminosos a exploram.

Pequenas empresas estão especialmente expostas. Elas geralmente usam equipamentos de rede de nível doméstico ou de escritório mais antigos porque são baratos e familiares. Podem não ter uma equipe de TI dedicada. Podem usar o mesmo roteador por anos, enquanto armazenam registros de folha de pagamento, dados de clientes e informações de pagamento por trás dele. Quando esse dispositivo é comprometido, o dano pode se espalhar silenciosamente. Os criminosos podem interceptar o tráfego, instalar malware, recrutar o dispositivo para uma botnet ou usá-lo como ponto de partida para invadir sistemas mais valiosos. A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) alertou repetidamente que dispositivos de borda, como roteadores e firewalls, são alvos atraentes porque ficam no limite das redes e geralmente são mal monitorados.

Há também uma questão de segurança nacional que merece mais atenção do público. Grupos apoiados por governos não perseguem apenas gigantes da defesa ou agências de inteligência. Eles frequentemente exploram hardware comum conectado à internet porque é eficiente e escalável. Nos últimos anos, governos ocidentais emitiram avisos conjuntos sobre grupos de espionagem que visam roteadores, firewalls e dispositivos VPN de grandes fabricantes. A questão não é que todo roteador antigo esteja sob vigilância ativa do estado. Seria imprudente afirmar isso. A questão é que esses dispositivos são reconhecidos como alvos estratégicos porque comprometê-los pode oferecer discrição, persistência e acesso. Isso deveria alarmar qualquer um que pense que apenas instituições de alto perfil importam.

As consequências atingem as pessoas comuns primeiro. Um roteador invadido pode deixar as conexões lentas, direcionar os usuários para sites falsos por meio de alterações maliciosas de DNS, expor o tráfego de navegação ou deixar dispositivos domésticos inteligentes vulneráveis a abusos. Em uma casa de família, isso pode significar que os dispositivos das crianças, os laptops de trabalho e as comunicações privadas compartilham o mesmo portal de acesso contaminado. Em uma clínica, loja ou escritório local, pode significar interrupção real dos negócios e uma recuperação cara. A cibersegurança é frequentemente vendida como uma guerra abstrata na nuvem. Na realidade, ela pode começar com uma caixa de plástico desatualizada ao lado da televisão.

Existem soluções, e elas não são misteriosas. A primeira é muito simples: substitua os roteadores antigos antes que eles falhem, não depois. Se um dispositivo não recebe mais atualizações de segurança, deve ser tratado como uma infraestrutura de internet insegura, não como uma pechincha. Os compradores devem preferir fabricantes que declaram claramente suas políticas de atualização. A segunda é alterar as senhas de administrador padrão e desativar o gerenciamento remoto, a menos que seja realmente necessário. A terceira é instalar as atualizações de firmware prontamente, quer o dispositivo tenha vindo de uma loja ou de um provedor de internet. Agências como a CISA e o NCSC também recomendam desativar recursos não utilizados, usar criptografia Wi-Fi forte e reiniciar os dispositivos quando há uma ameaça ativa crível, embora uma reinicialização por si só nunca seja suficiente se a fraqueza subjacente permanecer.

Mas a ação individual não é suficiente. Reguladores e fabricantes precisam parar de fingir que a segurança é um recurso premium opcional. Algum progresso finalmente está visível. A Lei de Segurança de Produtos e Infraestrutura de Telecomunicações do Reino Unido visa senhas padrão inseguras e outras falhas básicas em produtos conectados. A Lei de Resiliência Cibernética da União Europeia busca transferir as obrigações de segurança para os fabricantes. Essas medidas são importantes porque o modelo atual está de cabeça para baixo. Os consumidores não deveriam precisar de vigilância de nível especializado para possuir equipamentos básicos de internet com segurança.

A velha fantasia da cibersegurança diz que o perigo chega através de um único clique imprudente. Às vezes, chega. Mas a realidade mais desconfortável é que o risco muitas vezes está embutido nos dispositivos que as pessoas são instruídas a confiar e depois esquecer. O roteador no canto não é mais uma infraestrutura entediante. É um território disputado. E a cada ano que continuamos a tratá-lo como um eletrodoméstico em vez de um dispositivo de segurança, damos aos criminosos mais uma vitória fácil.