Programas como este também são conhecidos como malware – instalam-se no dispositivo do alvo e conseguem monitorar atividades ou promover alterações no funcionamento, muitas vezes sem deixar vestígio.
By Yasmin Curzi de Mendonça, Julia Iunes Monteiro, Walter Britto Gaspar e Kaline Santos
Desenvolvido pela empresa israelense de cibersegurança NSO Group, o spyware “Pegasus” tem sido objeto de polêmica nos últimos meses. O software, que tem como função invadir celulares para espionar pessoas, amedronta por não ser facilmente detectável e rastrear absolutamente todas as atividades do aparelho em que é instalado. Em uma comparação ilustrativa com o contexto não-digital feita pelo Prof. Ivar Hartmann (INSPER) no podcast Big Data Venia, mais do que como um “grampo telefônico”, ter o programa instalado em seu celular seria como ter um policial 24h monitorando as atividades de um indivíduo – sem, necessariamente, que este tenha cometido algum ilícito.
Programas como este também são conhecidos como malware – instalam-se no dispositivo do alvo e conseguem monitorar atividades ou promover alterações no funcionamento, muitas vezes sem deixar vestígio. O Pegasus, por sua vez, é considerado um dos programas de espionagem mais avançados, já que pode ser utilizado em diversos dispositivos com sistemas operacionais diferentes – até mesmo no iOS, da Apple, conhecido por ter diversas barreiras à invasão de terceiros e instalação de vírus.
Para além de todo o monitoramento realizado pelo dispositivo, o mais grave do malware da organização israelense é que ele não precisa de nenhuma ação do usuário para que este tenha seu dispositivo infectado. São as invasões conhecidas como “zero clique”.
Foi justamente este o caso, em 2019, que movimentou um processo do grupo Facebook contra a NSO Group. O Pegasus teria aproveitado uma vulnerabilidade no recebimento de chamadas do WhatsApp para se instalar nos dispositivos de 1.400 usuários do aplicativo de mensagens em um período de apenas 2 semanas. O processo pede que a NSO Group seja proibida de acessar o WhatsApp e demais serviços do Facebook. A companhia de redes sociais também requereu uma indenização pelos prejuízos que as ações de espionagem teriam causado. Outras big techs como Microsoft e Google se juntaram a esse processo em dezembro de 2020. Antes disso, já havia casos registrados do uso do spyware da NSO desde 2015, passando pelo México, Emirados Árabes Unidos, Reino Unido, Canadá e outros países.
Em sua defesa, a NSO afirma publicamente que o sistema é comercializado apenas com agências governamentais aprovadas por Israel e tem como fim apenas o combate a “terroristas e criminosos”. A empresa também afirma que não tem acesso direto aos dados de seus clientes.
Potenciais vítimas da vigilância
As revelações feitas pela Anistia Internacional em parceria com a organização Forbidden Stories, baseadas em perícia técnica auditada pelo CitizenLab da Universidade de Toronto, mostram que o software é potencialmente responsável pela invasão de milhares de aparelhos. Uma listagem de 50.000 nomes e números de telefones, dentre eles jornalistas, ativistas, funcionários públicos e agentes políticos de vários países, seria parte do processo de direcionamento, infecção e vigilância baseado no Pegasus. Investiga-se ainda a possibilidade do software ter espionado líderes políticos de mais de uma dezena de países, como os Presidentes da França, do Iraque e da África do Sul, além de diplomatas e embaixadores das Nações Unidas.
As organizações puderam examinar 67 dispositivos com suspeita de ataques, incluindo os de alguns dos quase 200 jornalistas identificados na listagem. Os resultados indicaram 37 incidentes de segurança, sendo 23 infectados e 14 com tentativas malsucedidas de ataques. Dentre os potenciais clientes da NSO identificados a partir da lista, destacam-se regimes autoritários acusados de perseguição a jornalistas e ativistas.
Como resultados totais, mais de 180 jornalistas em 21 países, incluindo Índia, México, Arábia Saudita, França, Marrocos, Hungria e Azerbaijão foram afetados por, pelo menos, 12 clientes da NSO Group. Figuras políticas também foram alvos do malware, como no caso de Rahul Gandhi, rival do primeiro-ministro da Índia, Narendra Modi. Rahul Gandhi foi duas vezes selecionado como alvo de vigilância junto a diversos políticos, jornalistas e ativistas críticos ao governo de Modi. Segundo os dados divulgados pela Anistia Internacional, ao todo foram alvos do malware 13 presidentes, 10 primeiros-ministros e um rei.
As operações, extremamente invasivas permitem o acesso a mensagens, gravação de tela e voz, arquivos, localização e contatos da vítima, violando não só o direito à privacidade e ao sigilo das comunicações privadas, como também as garantias processuais penais da presunção de inocência e a necessidade de mandados judiciais, seja para a quebra de sigilo das telecomunicações, seja para a realização de atividades de busca e apreensão.
Como já mencionado, esta não é a primeira vez que o Pegasus ganha manchetes devido a casos de espionagem, embora a proporção do caso atual alcance uma nova ordem de grandeza. Mesmo assim, é bom lembrar que não é nem mesmo o primeiro escândalo global envolvendo tecnologias de vigilância e espionagem e o nome de autoridades políticas.
Basta lembrar que o Marco Civil da Internet buscou reforçar a aplicação de garantias constitucionais no espaço digital motivado pelos episódios de espionagem revelados pelo caso Snowden. À época, Snowden, ex-funcionário da NSA, havia revelado que o governo dos EUA utilizava o programa de espionagem Prism para monitorar sistematicamente a atividade online de milhares de brasileiros, inclusive da então Presidenta da República, Dilma Rousseff, bem como da Chanceler alemã Angela Merkel.
O caso traz à memória, ainda, as práticas de vigilância em massa empregadas pelo Reino Unido, também reveladas por Snowden e consideradas pela Corte Europeia de Direitos Humanos violação dos direitos de privacidade e liberdade de expressão dos cidadãos, em denúncia apresentada à época por organizações da sociedade civil.
Retornando ao Pegasus, vale notar que, apesar de o Brasil não constar dentre os prováveis clientes da NSO a partir da lista vazada, uma reportagem do UOL revelou que um representante do grupo NSO participava de procedimento licitatório do Ministério da Justiça e Segurança Pública para aquisição de tecnologia de coleta de dados.
Assim como ocorreu com o caso Snowden para o Marco Civil da Internet, os riscos levantados pelo caso Pegasus podem ser tomados como um alerta relevante para reforçarmos não apenas a importância da privacidade e da preservação das garantias processuais penais no espaço digital, como também a necessidade de um sistema de proteção nacional a casos de espionagem e vigilância estrangeira online.
Uma medida recentemente adotada pelo governo federal brasileiro para a proteção de dados governamentais é o Decreto nº 10.748/2021, que visa instituir uma rede de gestão e cooperação entre os órgãos da administração pública federal para prevenir e tratar incidentes cibernéticos. Esse tipo de medida pode ser importante também para o combate de iniciativas de espionagem, podendo divulgar alertas e informações sobre esses tipos de ataques, bem como promover maior celeridade na resposta a esses incidentes. Segundo a União Internacional de Telecomunicações (UIT), tais medidas e novos direcionamentos para enfrentar riscos cibernéticos fizeram com que o Brasil tenha subido 53 posições no Índice Global de Segurança Cibernética 2020, recentemente, passando a figurar no 18º lugar.
Importante ressaltar que a segurança cibernética depende não só do desenvolvimento de sistemas eficientes de proteção da soberania nacional, como também de que os processos de investigação e persecução penal realizados pelos Estados respeitem a soberania dos demais países. A tecnologia não deve ser utilizada como um cavalo de troia para burlar as garantias constitucionais dos países, mas pode, sim, ser utilizada como um mecanismo para viabilizar o acesso a informações, de acordo com os parâmetros internacionais de proteção de dados e direitos humanos.
Neste sentido, existem convenções internacionais criadas justamente com o objetivo de possibilitar o acesso ágil e legítimo a dados que estejam sob jurisdição estrangeira. A Convenção de Budapeste sobre Crimes Cibernéticos (Convenção sobre Cibercrime), em vigor desde 2004, por exemplo, estabelece procedimentos eficientes de cooperação internacional, como o auxílio mútuo entre os países membros para busca e apreensão de dados e provas digitais. A pauta está sendo atualmente discutida na Câmara dos Deputados e espera-se que o ingresso do Brasil como país signatário possa trazer grandes benefícios.
O Pegasus à luz do ordenamento brasileiro
Ao permitir a interceptação de dados privados sem o atendimento a requisitos básicos de um devido processo legal e determinação judicial (art. 5˚, XII, CRFB/88), a utilização de um sistema desproporcionalmente invasivo seria totalmente contrária ao ordenamento constitucional brasileiro – que possui os princípios da legalidade (art. 5˚, II, CRFB/88) e da presunção de inocência (art. 5˚, LVII, CRFB/88) como elementos basilares. O sigilo das comunicações (art. 5˚, XII, CRFB/88) também é direito fundamental garantido pela Constituição brasileira.
A inviolabilidade da correspondência e o sigilo das comunicações só podem ser restringidos em hipóteses excepcionalíssimas, como na vigência de estado de sítio (art. 139, III, CRFB/88). Como disposto até mesmo na lei de interceptação telefônica (Lei nº 9296/96) “a interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça”. Ao destacar “comunicações de qualquer natureza”, a legislação abrange, inequivocamente, as comunicações virtuais.
Em relação à LGPD, ainda que o legislador tenha optado por não contemplar a aplicação da lei no âmbito da segurança pública, apontando a necessidade de que a matéria seja tratada em lei específica (art. 4, inciso III, alínea “a”) seus princípios norteadores também deverão abarcar a legislação superveniente, tendo em vista a compreensão de que privacidade e proteção de dados pessoais são direitos fundamentais. Desse modo, em seu parágrafo 1˚ do artigo 4º dispõe a lei:
“o tratamento de dados pessoais previsto no inciso III [tratamento de dados realizado para fins de: segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais] será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei” (grifos nossos).
Portanto, princípios de devido processo, necessidade e proporcionalidade deverão incidir no âmbito da persecução penal e de fins investigativos. Mais que isso, a finalidade, a adequação, a necessidade e os demais princípios da proteção de dados definidos na LGPD, bem como os direitos de acesso, retificação, cancelamento etc. determinados pela lei, deverão ser observados.
A regulação do tratamento de dados para os fins do inciso III do art. 4º da LGPD ainda é mero anteprojeto de lei, recentemente apresentado à Câmara pela Comissão de juristas formada com a finalidade específica de propor regulação para o tema.
O caso do Pegasus é preocupante, ainda mais considerando-se que não é o único de que se tem notícia – e que pode haver outros que nunca venham a público. Tratando-se de um problema de alcance internacional e que, pela própria natureza da tecnologia aplicada, transpõe barreiras de nacionalidade, são necessárias abordagens locais e globais para seu enfrentamento. Diante disto, cabe relembrar a responsabilidade que Estados e empresas têm em proteger e respeitar direitos humanos, como o direito à vida privada e o direito à liberdade de expressão, e em remediar e mitigar violações que ocorram.
Mais do que aguardar a regulação de um tema tão sensível para iniciar uma jornada de adequação, é possível e necessário que o arcabouço jurídico existente embase ações para enfrentar os desafios da vigilância digital. Esforços de due diligence empresarial devem incluir preocupações com direitos humanos, o que inclui a consideração do uso que será atribuído às tecnologias que se comercializa em contextos autoritários ou seu impacto sobre populações vulneráveis.
Respostas como a da Amazon Web Services, que suspendeu os serviços de nuvem prestados à NSO em face do mais recente escândalo, dão uma mostra do que se deve esperar diante de uma ameaça aos direitos fundamentais de escala global como a ora tratada. Além disso, governos devem garantir a capacidade de seus cidadãos de obter informações necessárias para conhecer a proporção da violação que sofreram e meios de reparação. Mais que isso, seria razoável, e talvez necessário, falar-se em uma moratória da venda de produtos e serviços dessa natureza até que princípios e regulações adequadas estivessem acordados em âmbito global.
Precisaremos de um esforço conjunto para que a regulação possa ocorrer. As recomendações de segurança individual ainda importam significativamente – por exemplo, no Twitter, apenas 2,3% dos usuários possuem verificação em duas etapas ativa e o uso de senhas fracas são alguns dos problemas globais nesta seara. Neste sentido, é ainda importante a pauta da educação digital para que pessoas comuns possam compreender a importância do uso de dispositivos seguros, de não fazer download de qualquer aplicativo, de atentar às políticas de privacidade, entre outros. No entanto, não podemos contar apenas com o letramento digital e com o pleno consentimento em um país desigual como o Brasil – onde até mesmo o acesso à internet não é direito garantido a todos. Nem sempre as pessoas vão conseguir compreender o que está em jogo no “tradeoff” entre prestação de bons serviços e cessão de dados pessoais.
Campanhas de conscientização sobre privacidade e autonomia dos dados são imprescindíveis para que possamos compreender o que verdadeiramente está em jogo quando optamos pela personalização de conteúdo. Mas o uso malicioso de dados pessoais, sem a finalidade devida, o abismo informacional e a assimetria que permite vícios de consentimento, precisam ser objetos de regulação. É neste ponto que as instituições públicas e órgãos regulatórios pertinentes, tais como a ANPD, a SENACON, o CADE, o MPF, entre outros, podem e devem intervir.
Publicado originalmente em 29/07/2021
Fonte: Portal FGV