Muitos dos ataques mais eficazes não são, portanto, obra de um génio adolescente, fechado numa cave, com borbulhas no rosto, a “hackear” apenas pela notoriedade, nem de cibercriminosos altamente sofisticados. Um exemplo simples é a conhecida fraude “Olá pai, olá mãe”, que não depende de código avançado nem de falhas complexas em software. Depende de algo muito mais simples e previsível: a forma como pensamos e reagimos.
No início do mês, li uma notícia acerca de um idoso que foi sistematicamente enganado por um burlão… tocou-me especialmente a solidão a que votámos os mais velhos, mas também a falta de literacia digital que nos atinge a todos. Quando se fala de ciberataques, a imagem mais comum continua a ser a do hacker isolado, encapuçado, rodeado de ecrãs e com capacidades quase “mágicas”. No imaginário coletivo, trata-se de alguém tecnicamente brilhante, mas socialmente distante, capaz de ultrapassar todas as proteções e atacar qualquer sistema informático.
É provável que tenhamos sido formatados por Hollywood e por filmes em que um hacker “dos bons ou dos maus” digita com a rapidez de um datilógrafo da década de 80 comandos atrás de comandos, preferencialmente num ecrã preto com letras verdes fluorescentes. Podemos dizer que essa imagem está sobrevalorizada. Hoje, como ontem, a fraqueza, ou seja, a vulnerabilidade mais explorada continua a ser humana e não técnica.
Muitos dos ataques mais eficazes não são, portanto, obra de um génio adolescente, fechado numa cave, com borbulhas no rosto, a “hackear” apenas pela notoriedade, nem de cibercriminosos altamente sofisticados. Um exemplo simples é a conhecida fraude “Olá pai, olá mãe”, que não depende de código avançado nem de falhas complexas em software. Depende de algo muito mais simples e previsível: a forma como pensamos e reagimos.
Na prática, o principal ponto de entrada não é o sistema. Somos nós. E, em cibersegurança, isto tem um nome: engenharia social. Apesar do termo técnico, a ideia é simples: levar alguém a tomar uma decisão contra o seu próprio interesse, através de técnicas de manipulação.
E aqui está o ponto crítico: na maioria dos casos, não é preciso “invadir” nada. Basta que alguém abra a porta, tal como de certa forma fez o idoso na notícia. E, ao pensarmos “quem vai abrir a porta?”, a resposta é bem simples: nós (todos) abrimos essa porta com mais frequência do que gostamos de admitir.
E antes que nos foquemos em “isso comigo não acontecia”, é importante sublinhar o quão lestos somos a abrir portas quando confiamos demasiado rápido ou quando reagimos sem pensar. Neste sentido, convém sublinhar que os ataques mais eficazes não exploram sistemas, exploram emoções. Vulnerabilidades que, muitas vezes, nem reconhecemos em nós, como medo, urgência, curiosidade ou confiança, tornam-se vantagem para os cibercriminosos.
Já todos recebemos uma mensagem que parece vir do banco, uma solicitação que exige uma reação urgente, com uma ameaça de interrupção de acesso à nossa conta e um link para confirmar dados que o nosso banco já devia ter. Nada disto, em abono da verdade é novo, a nuance está na escala e qualidade dos ataques a que estamos sujeitos presentemente. Os criminosos também recorrem a ChatGPTs e afins e, com a ajuda da Inteligência Artificial, tornou-se relativamente simples criar mensagens mais credíveis, personalizadas e praticamente indistinguíveis das legítimas.
Se antes os erros denunciavam facilmente um ataque, hoje isso deixou de ser uma garantia. É cada vez mais difícil dizer “isto parece falso”. Os atacantes têm mais ferramentas do que nunca e, muitas vezes, tudo parece real. Tudo parece confiável.
A qualidade nos textos, antes mal escritos ou mal traduzidos, bem como a facilidade em criar vídeos ou áudios que parecem comprovar a identidade de pessoas que se fazem passar por amigos e familiares, torna o problema muito mais sério. Ninguém dá nada a ninguém contínua a ser um ensinamento válido.
Provavelmente a culpa é também de quem atua na área, nos quais me incluo. Talvez nos percamos em demasia nos chavões técnicos… Talvez nos tenhamos esquecido de que falamos para e com utilizadores que falam português e não uma qualquer linguagem de programação. Durante muito tempo, a cibersegurança foi ensinada como um tema técnico: antivírus, firewalls, sistemas de proteção… E isso não é interface para ajudar ninguém.
Comecemos pelo mais simples, não há segurança absoluta, quando muito existem camadas de segurança que podemos ir adicionando a nós próprios ou aos nossos sistemas. Não se compra segurança. Segurança é, em primeiro lugar, atitude. Segurança começa antes da tecnologia, no comportamento de cada um de nós. E essa camada extra de segurança é alcançada com a capacidade de parar antes de reagir e de questionar antes de confiar. É urgente perceber que o risco não está apenas “lá fora”, mas também na forma como decidimos. No fundo, a questão nunca foi saber se somos inteligentes o suficiente para evitar um ataque. É perceber que somos previsíveis o suficiente para cair num.
E é precisamente por isso que o maior hacker não está no computador.
Está na nossa cabeça.