• Série de Módulos Universitários E4J: Cibercrime

• Módulo 1: Introdução à Cibercriminalidade
  

• Introdução e Objetivos de Aprendizagem

• Questões Chave

• • Conceitos básicos de computação
    
  • Conectividade global e tendências de uso da tecnologia
    
  • Cibercrimes em resumo
    
  • Tendências da cibercriminalidade
    
  • Prevenção de cibercrimes
    
  • Conclusão
  • Referências

• Exercícios

• Exemplo de Estrutura de Aula
  

• Leitura Essencial

• Leitura Avançada

• Avaliação dos Estudantes
  

• Materiais de Ensino Adicionais
  

•  

• Tradução portuguesa publicada em 23 de março de 2021

•  

 Este módulo é um recurso para professores 

Tendências da cibercriminalidade

Agências regionais e internacionais persecução penal (por exemplo, a Europol e a Interpol) e organizações regionais (por exemplo, a União Africana e a Organização dos Estados Americanos) têm publicações sobre tendências da cibercriminalidade e de cibersegurança. Tais tendências também podem ser identificadas a partir de relatórios anuais, análises de dados de várias ferramentas oficiais de mensuração de criminalidade e pesquisas sobre vitimização: por exemplo, o Sistema Nacional de Notificação Baseado em Incidentes (dos Estados Unidos); a Pesquisa Social Geral (do Canadá); o Censo Criminal para a Inglaterra e o País de Gales (Reino Unido). Tais ferramentas de mensuração de crimes e essas pesquisas sobre vitimização variam de acordo com os tipos de dados coletados e analisados e quanto aos métodos usados para a coleta e análise desses dados.

Empresas de segurança cibernética e outras entidades privadas especializadas em segurança, riscos empresariais, ou análise de ameaças em todo o mundo publicam relatórios sobre as tendências da cibercriminalidade e segurança cibernética com base no histórico de incidentes de cibersegurança e seus tipos, frequência e impactos. Por exemplo, em 2018, a extorsão digital (ransomware) foi identificada como uma tendência da criminalidade cibernética pela TrendMicro (TrendMicro, 2018). Nesse tipo de crime cibernético, os sistemas informáticos são infectados por um código malicioso (malware) e os dados neles contidos são tornados indisponíveis e inacessíveis aos proprietários ou aos usuários legítimos até que um resgate seja pago ao cibercriminoso. Embora os ataques de ransomware não sejam novos, o número, a frequência, a intensidade e o alcance desses ataques têm aumentado. Os autores desse tipo de cibercrime visavam inicialmente pessoas físicas e exigiam pequenas somas de dinheiro; depois passaram a visar pessoas jurídicas e, finalmente, outras vítimas nos setores público e privado que prestam serviços essenciais (hospitais, por exemplo). Uma ocorrência deste último tipo se deu com o ataque do ransomware WannaCry, de 2017, que afetou aproximadamente 150 países (Reuters, 2017), inclusive mais de 80 instituições do Serviço Nacional de Saúde (NHS) somente na Inglaterra, “causando o cancelamento de quase 20.000 consultas, adiando 600 cirurgias gerais e fazendo com que cinco hospitais simplesmente tivessem de desviar ambulâncias, pois não podiam lidar com mais casos nas suas emergências” (Hern, 2017). A Avaliação de Riscos da Criminalidade Organizada na Internet, publicada pela Europol em 2017, também identificou o ransomware como uma tendência da cibercriminalidade.

Com o advento de novas tecnologias (por exemplo, Internet das coisas, drones, robôs, carros autônomos), novas tendências de cibercriminalidade serão identificadas. Além disso, como revelou a Avaliação de Riscos da Criminalidade Organizada na Internet, de 2017, da Europol, as medidas repressivas e de cibersegurança também afetam os cibercrimes e as táticas, instrumentos e alvos dos cibercriminosos. Essas medidas, portanto, também influenciarão e impactarão as tendências futuras da criminalidade cibernética.    

Desafios técnicos

Existem várias razões técnicas que dificultam o combate aos cibercrimes. A primeira é a determinação da autoria (para mais informações, consulte o Módulo 5 sobre Cibercrime quanto à investigação em crimes virtuais). Um computador conectado à Internet pode se comunicar com qualquer outro computador também conectado à rede. Normalmente, pode-se identificar o endereço IP público de um computador (Cisco, 2016) quando esse computador se conecta ao nosso dispositivo. O endereço IP é um número universal, normalmente único, que nos permite identificar de que país e com que provedor de serviços de Internet o computador se conecta. O problema é que existem várias maneiras de um invasor ocultar seu endereço IP ou até simular uma conexão a partir de um endereço IP diferente. Além disso,  cibercriminosos podem usar uma variedade de ferramentas para evitar sua detecção pela Polícia e anonimizar seu acesso e ocultar sites do submundo da Internet (darknet) (Para mais informações sobre essas ferramentas e a darknet, consulte o Módulo 5 sobre investigação de cibercrimes). 

A segunda questão técnica diz respeito aos softwares. Programas de computador são softwares. Os aplicativos (apps) de um telefone ou tablet são softwares. Os serviços aos quais nos conectamos na Internet, como um site, também são softwares. Softwares costumam apresentar vulnerabilidades (Securelist, 2018). Uma vulnerabilidade pode ser uma falha de programação ou uma configuração incorreta que permite a cibercriminoso fazer algo que não deveria ser capaz de fazer, como obter os dados do cartão de crédito de um cliente bancário. 

As empresas de software podem ter dificuldade de detectar vulnerabilidades, especialmente aquelas relativas a grandes programas informáticos que são atualizados com frequência. Às vezes, os cibercriminosos identificam uma vulnerabilidade antes mesmo da empresa que criou o software (ou seja, uma vulnerabilidade de primeira hora ou zero-day vulnerability); para mais informações, consulte Zetter, 2014). De acordo com Bilge e Dumitras (2012), “enquanto a vulnerabilidade permanece ignorada, o software afetado não pode ser corrigido e os produtos antivírus não podem detectar o ataque através da verificação baseada em assinatura” (p. 1). A empresa programadora toma conhecimento do vício do produto quando esse tipo de vulnerabilidade é explorada por cibercriminosos para atacar a confidencialidade, a integridade ou a disponibilidade do software e ou para atingir seus usuários. 

Em 2017, a Equifax, uma empresa dos EUA que presta serviços de proteção ao crédito, perdeu “dados pessoais sensíveis” de 143 milhões de americanos devido a uma vulnerabilidade de software (Timberg, et al., 2017). Essa vulnerabilidade foi explorada por três meses, até ser corrigida. As vulnerabilidades que levam à perda de dados são relativamente comuns, mesmo para grandes corporações, porque é difícil criar, configurar e proteger sistemas digitais adequadamente (essas dificuldades são exploradas no Módulo 9 sobre cibersegurança e prevenção contra o cibercrime: aplicações e medidas práticas). 

Outro desafio técnico está na infraestrutura de tecnologia da informação virtualizada (por exemplo, a nuvem). Quando a infraestrutura de uma organização é movida para uma nuvem (cloud computing), isso implica que: 

a) a pessoa jurídica transfere parte da responsabilidade pela segurança cibernética para o provedor do serviço de armazenamento na nuvem (por exemplo, a segurança do sistema físico, a segurança do centro de processamento de dados); 

b) quando violações ocorrem, a pessoa jurídica precisa coordenar-se com o provedor do serviço de armazenamento na nuvem para investigar os incidentes de segurança, o que pode levar a desafios técnicos e jurídicos (os desafios jurídicos do processamento de dados em nuvem são explorados em mais detalhes no Módulo 7 sobre cooperação internacional contra o cibercrime).

Desafios jurídicos

Os cibercrimes são infrações penais transnacionais e seus autores e vítimas podem estar em qualquer lugar do mundo em que exista uma conexão à Internet. Por esse motivo, a investigação de cibercrimes normalmente depende do acesso a dados fora do país e seu compartilhamento através das fronteiras. Tais dados podem ser obtidos se forem retidos ou preservados pelos prestadores de serviços e existirem meios que permitam aos órgãos de persecução penal acessá-los. Os principais óbices jurídicos à investigação de cibercrimes e à propositura de ações contra cibercriminosos são: os diferentes sistemas jurídicos nacionais; as variações da legislação doméstica sobre crimes cibernéticos; as diferentes regras probatórias e de processo penal (por exemplo, o procedimento mediante o qual as autoridades policiais podem acessar provas eletrônicas; por exemplo, com ou sem uma ordem legítima, como um mandado de busca e apreensão); variações no escopo e na aplicabilidade geográfica dos tratados regionais e multilaterais sobre crimes cibernéticos; e diferenças nas abordagens quanto à proteção de dados e ao respeito aos direitos humanos. Essas dificuldades jurídicas são analisadas com mais detalhe no Módulo 3, sobre marcos jurídicos e direitos humanos, e no Módulo 10 sobre privacidade e proteção de dados.

Desafios éticos

Os órgãos de persecução penal (objeto do Módulo 5 sobre investigações de cibercrimes) devem investigar os cibercrimes e os crimes tradicionais, de acordo com a lei e princípios éticos. Cumpre-lhes obter, analisar e interpretar as provas desses crimes (consulte o Módulo 6 sobre aspectos práticos das investigações de cibercrimes e computação forense). Desafios éticos também se apresentam no uso das tecnologias da informação e da comunicação (TIC) por indivíduos, grupos de indivíduos, pessoas jurídicas, instituições e Administração Pública. Exemplificativamente, o uso ético das TIC exige a abstenção de práticas capazes de prejudicar terceiros, seus sistemas e dados informáticos e implica respeitar o estado de direito e os direitos humanos (para mais informações sobre a importância da integridade e da ética, consulte também a série de módulos universitários do programa E4J sobre Integridade e Ética). O caso Cambridge Analytica produziu valiosas lições sobre a necessidade de observar as questões éticas que envolvem a coleta de dados e o uso de plataformas sociais. Especificamente, a imprensa revelou que a empresa de processamento de dados Cambridge Analytica: 

(…) adquiriu dados pessoais de usuários do Facebook por meio de um pesquisador terceirizado, Aleksandr Kogan, que criara um aplicativo com um questionário para coleta de dados que informava aos usuários (expressamente) que a recolha das informações teria fins acadêmicos, uma alegação que o Facebook não verificou e que não correspondia à verdade. Embora apenas 305 mil pessoas tenham respondido ao questionário e tenham consentido em ter seus dados coletados, seus amigos também tiveram seus perfis perscrutados, elevando o número estimado de pessoas afetadas a 87 milhões (AMA, 2018). 

O incidente da Cambridge Analytica expôs um comportamento antiético por parte dos responsáveis pela coleta massiva de dados pessoais que foram utilizados de maneira não prevista pelos usuários que concordaram em fornecê-los e também usados sem qualquer autorização por parte de outros usuários que nunca consentiram em ter quaisquer de suas informações sequer coletadas. Mesmo que o que a Cambridge Analytica e seus cúmplices fizeram não seja considerado ilegal, suas condutas são antiéticas (para obter informações sobre as diferenças e as relações entre ética e direito, consulte o Módulo 12 sobre Integridade, Ética e Direito, da série de módulos universitários sobre Integridade e Ética).

Desafios operacionais

Um dos principais desafios operacionais das investigações sobre crimes cibernéticos está relacionado à cooperação com outros países. A cooperação internacional em investigações de cibercrimes exige a existência de harmonia legislativa entre os países cooperantes (para obter informações adicionais, consulte o Módulo 11 da série universitária do programa E4J sobre Crime Organizado). Ferramentas como tratados de assistência jurídica mútua (ou seja, acordos pelos quais as partes concordam em cooperar para a investigação e a persecução de crimes previstos em seus ordenamentos jurídicos domésticos; Garcia & Doyle 2010; Maras, 2016) podem ser usados para apresentação de pedidos formais de assistência de um país a outro. No entanto, as solicitações de auxílio internacional podem levar muito tempo e podem não produzir resultados úteis, como os de prevenir o crime ou produzir provas para uso em juízo ou nos tribunais. Os desafios operacionais são explorados com mais detalhes no Módulo 7 sobre cooperação internacional contra o cibercrime. Os desafios operacionais também estão presentes devido ao deficit na capacidade nacional (especialmente da perspectiva dos países em desenvolvimento) de lidar com a cibercriminalidade (consulte o Módulo 5 sobre investigação de cibercrimes, o Módulo 7 sobre cooperação internacional contra o cibercrime e o Módulo 8 sobre cibersegurança e prevenção de cibercrimes: estratégias, políticas e programas).

Seguinte: Prevenção de cibercrimes

Regressar ao início