Sobre o ataque cibernético – Ransoware

Renato Leite Monteiro (*)

Na última sexta-feira (12, o mundo presenciou talvez o maior ataque cibernético da história.

O que parecia ser um ataque a um hospital na Inglaterra se mostrou uma operação sincronizada com vítimas em mais de 70 países, inclusive no Brasil. Sistemas de computadores inteiros conectados à Internet foram comprometidos; acessos à bancos de dados, e-mails, arquivos internos de empresas e instituições públicas, redes de telefonia.

Todos aparentemente receberam a mesma tela: um pedido de resgate para que os dados e os sistemas fossem liberados. Caso este não fosse pago em bitcoins, moeda criptográfica que dificulta o rastreamento dos responsáveis, os dados seriam apagados e os sistemas comprometidos de forma grave, que poderiam ocasionar danos, muitos deles irreversíveis, como o apagamento de arquivos inteiros com informações confidenciais e sensíveis.

Tal modalidade de ataque cibernético é denominada de ransonware, situação em que as informações armazenadas em computadores são criptografadas e um resgate em bitcoins é exigido para que a chave que permitiria novamente o acesso ao sistema seja entregue.

Até onde se tem conhecimento, os responsáveis pelo ataque se aproveitaram de uma falha no sistema Windows, que já havia sido consertada pela empresa, mas o fato de muitos não atualizarem seus sistemas, até mesmo grandes empresas, os tornou vulneráveis em uma escala nunca antes vista.

Até onde se tem conhecimento, os ataques mais graves ocorreram na Inglaterra, que teve a maioria dos seus hospitais comprometidos, e à empresa espanhola Telefônica, que presta serviços no mundo inteiro, atingindo não só os sistemas internos da companhia, mas também de seus clientes, inclusive no Brasil.

No país, diversos sistemas de várias empresas privadas e instituições públicas foram atingidos, paralisando-os. Várias repartições liberaram mais cedo os seus funcionários pois a comunicação interna via e-mail e o acesso aos arquivos poderia ou já estava comprometida. O Tribunal de Justiça de São Paulo determinou que todos os seus computadores fossem desligados. Vários sites foram tirados do ar, por precaução.

Sob um enfoque jurídico, qualquer pessoa, física ou jurídica, que eventualmente sofra danos por ter tido seus sistemas atingidos pode responsabilizar a empresa fornecedora dos serviços impactados.

Por exemplo, caso uma empresa venha a ter suas operações paralisadas porque a sua fornecedora de serviços de e-mail foi atingida, e em decorrência sofrer um prejuízo econômico, esta pode acionar judicialmente a provedora de serviços de Internet e requisitar uma indenização por lucros cessantes, principalmente se restar comprovado que o dano se deu pelo fato da companhia não ter tomado as precauções de segurança necessárias, como atualizar os seus sistemas visando sanar uma fragilidade.

Em um mundo globalizado dependente da manutenção de uma infraestrutura digital, ataques cibernéticos que podem ser lançados contra infraestruturas críticas por qualquer pessoa em qualquer lugar do mundo tornam-se ameaças que podem trazer resultados catastróficos. Entretanto, nossos governos, polícias, órgãos de repressão e entidades privadas não estão preparados para combater essa guerra.

(*) -É professor de Direito Digital da Universidade Presbiteriana Mackenzie.