• Série de Módulos Universitários E4J: Cibercrime

• Módulo 5: Investigação de Cibercrimes
  

• Introdução e Objetivos de Aprendizagem

• Questões Chave

• • Denúncia de cibercrimes
    
  • Quem  investiga os cibercimes?
  • Obstáculos à investigações de cibercrimes
    
  • Gestão do conhecimento
  • Conclusão
  • Referências

• Exercícios

• Exemplo de Estrutura de Aula
  

• Leitura Essencial
  

• Leitura Avançada
  

• Avaliação dos Estudantes
  

• Materiais de Ensino Adicionais
  

•  

• Tradução portuguesa publicada em 23 de março de 2021

•  

 Este módulo é um recurso para professores 

Quem investiga os cibercrimes?

Os primeiros responsáveis por uma investigação de cibercrime devem preservar as provas digitais no local desse crime, o que pode corresponder ao alvo ou alvos do cibercrime próprio ou à tecnologia da informação e da comunicação usada para o cometimento de um cibercrime impróprio. A primeira pessoa na cena do crime pode ser um agente policial, um perito digital, um militar, um investigador privado, um especialista em tecnologia da informação, ou um empregado ao qual caiba responder a incidentes de cibercriminalidade. Isso mostra que o setor público e o setor privado e as agências de segurança nacional investigam cibercrimes em graus variados. Independentemente de quem é esse primeiro responsável na cena do crime, as medidas de busca e apreensão de tecnologias da informação e da comunicação (TIC) devem observar a legislação nacional, e os métodos usados para obter provas digitais a partir dessas TIC devem ser válidos e confiáveis para garantir sua admissibilidade em juízo (Maras, 2014; ver o Módulo 4 sobre introdução à computação forense, para obter mais informações sobre a validade e a confiabilidade das evidências digitais). 

Órgãos de Justiça Criminal

Autoridades da justiça criminal, como policiais, promotores, procuradores e juízes, são responsáveis pela prevenção, mitigação, detecção, investigação, acusação e julgamento de crimes cibernéticos. Os órgãos competentes para casos de cibercrime variam de país para país. No Reino Unido, por exemplo, mais de uma instituição investiga cibercrimes, o que inclui agências regionais de persecução criminal e a Unidade Nacional de Crimes Cibernéticos, que faz parte da Agência Nacional de Crimes (NCA) (Global Cyber Capacity Capacity Center, 2016c). Por outro lado, apenas um órgão investiga cibercrimes em Serra Leoa, a Unidade de Prevenção de Crimes Cibernéticos da Polícia (Global Cyber Capacity Capacity Center, 2016d); no Equador, a Unidade de Investigações de Crimes Tecnológicos da Direção Nacional da Polícia Judiciária e Investigativa é responsável por investigar cibercrimes (Banco Interamericano de Desenvolvimento, 2016, p. 72); e na Islândia, a unidade de computação forense da Polícia Metropolitana de Reykjavik (Global Cyber Security Capacity Center, 2017c). 

Além disso, em alguns países, várias instituições têm competência concorrente para a investigação de um mesmo crime cibernético, o que dependerá da espécie de infração sob investigação. Por exemplo, em Chipre, fraudes financeiras on-line são investigadas pelo Departamento de Investigação Criminal e pela Unidade de Crimes Financeiros da Polícia de Chipre (Global Cyber Security Capacity Center, 2017b). Muitos países designam pontos de contato oficiais como resultado das diferentes competências em relação a crimes cibernéticos. Em Chipre, por exemplo, o ponto de contato da rede 24/7 é a Unidade de Combate ao Cibercrime (Centro Global de Capacidade de Segurança Cibernética, 2017b). 

Os profissionais da justiça criminal devem ter conhecimento especializado (isto é, informações necessárias para executar suas tarefas), habilidades (ou seja, experiência em uma determinada área) e atitudes (ou seja, emprego de conhecimentos e habilidades para executar uma tarefa), aptidões conhecidas coletivamente como KSAs ou CHA (consulte o quadro "Exemplo de KSAs do Cybercrime Investigator" abaixo), além daqueles necessários para investigar, processar ou julgar casos criminais comuns. Por exemplo, policiais devem ser capazes de investigar crimes cibernéticos e outros crimes que envolvam incidentalmente tecnologias da informação e comunicação (por exemplo, um smartphone pode ser usado para armazenar provas de crime) e lidar adequadamente com as TIC durante a investigação, de modo a identificar, obter, preservar e analisar as provas digitais de uma maneira que garanta sua admissibilidade em juízo (Iniciativa Nacional para Carreiras e Estudos em Cibersegurança, s.d.). A competência dos órgãos de persecução criminal para investigar cibercrimes depende do país e varia de órgão para órgão dentro de um mesmo país. Por exemplo, na República do Quirguistão, os órgãos policiais enfrentam dificuldades para investigar cibercrimes devido à falta de KSAs especializados, treinamento e recursos humanos e financeiros (Global Cyber Security Capacity Center, 2017a). Em Madagascar, um relatório de 2017 revelou que, embora não houvesse "nenhuma unidade especializada em crimes cibernéticos na estrutura dos órgãos de persecução criminal (…), alguns membros da Polícia Nacional e da Gendarmaria trabalhavam especificamente com este tema" (Global Cyber Security Capacity Center, 2017a, p. 33). Por outro lado, na França, existem várias unidades especialmente treinadas para realizar investigações de crimes cibernéticos, como, por exemplo, Les investigateurs en Cybercriminalité (ICC ) e o N-TECH, parte da Gendarmaria Nacional (para relatórios sobre outros países, consulte o portal de capacitação em cibersegurança do Centro Global de Capacidade de Cibersegurança).

Outras autoridades da justiça criminal, como procuradores, promotores e juízes, também devem ter conhecimentos especializados de cibercrime e computação forense, um “ramo da ciência forense que se concentra no processo penal e no direito probatório aplicados a sistemas e dispositivos informáticos” (Maras, 2014, 29) (tema discutido no Módulo 4 sobre introdução à computação forense, bem como no Módulo 6 sobre aspectos práticos das investigações de cibercrimes e computação forense). Tal como ocorre com os órgãos policiais, a qualidade da formação dos magistrados judiciais e do Ministério Público varia de país para país e também dentro de um mesmo país. Por exemplo, a Procuradoria do Reino Unido está preparada para processar crimes cibernéticos, ao passo que, conforme dados de 2016, procuradorias locais não tinham treinamento ou recursos para fazê-lo (Global Cyber Security Capacity Center, 2016c). Em 2017, Serra Leoa revelou que seus procuradores e juízes não tinham os KSAs e os recursos necessários para processar e julgar cibercrimes (Global Cyber Security Capacity Center, 2016d). Da mesma forma, na Islândia, tais magistrados recebiam apenas capacitações ocasionais em questões de cibercrime, ainda assim de forma voluntária (Global Cyber Security Capacity Center, 2017c). É necessário capacitar as autoridades do sistema de justiça com informações básicas sobre crimes cibernéticos e perícias digitais, inquirição de peritos e admissibilidade de provas digitais em processos judiciais. Com referência ao ano de 2017, o Senegal relatou que seus juízes não passavam por esse tipo de capacitação (Global Cyber Security Capacity Center, 2016b). 

Além das instituições nacionais de justiça criminal, órgãos regionais, como a Agência da União Europeia para a Cooperação Policial (Europol) (que promove a cooperação policial na União Europeia) e a Eurojust (que promove a cooperação judiciária na União Europeia), e organizações internacionais, como a INTERPOL (Organização Internacional de Polícia Criminal, competente para a cooperação internacional de cunho policial), auxiliam ou facilitam investigações transnacionais de crimes cibernéticos. Num caso, o compartilhamento de inteligência e recursos da Europol com Estados Membros da União Europeia levou à prisão de um criminoso conhecido por vender notas falsas de 50 euros nos mercados clandestinos na Internet (Europol de 2018c). 

Agências de Segurança Nacional

Agências de segurança nacional podem realizar investigações de cibercriminalidade. Em alguns países, os militares podem conduzir apurações de crimes cibernéticos, enquanto em outros tais investigações cabem a agências de inteligência ou diretórios especializados nacionais). No entanto, o envolvimento de agências de segurança nacional em investigações de crimes cibernéticos depende da infração sob apuração, do(s) alvo(s) dessa infração ou de seus autores. Por exemplo, os militares podem investigar crimes cibernéticos que tenham alguma conexão com interesses militares, isto é, crimes cibernéticos cometidos contra seu pessoal, seus bens ou informações e os cibercrimes cometidos por militares. Os Estados Unidos são um exemplo; o país têm um órgão especializado para a investigação de violações ao Código Uniforme de Justiça Militar. Além de investigar cibercrimes (ou, ao menos, participar de alguma forma das investigações desses crimes), as forças armadas e outras agências de segurança nacional podem ser responsáveis por identificar, mitigar, prevenir e responder a crimes cibernéticos direcionados aos seus sistemas, redes e dados ou a sistemas que contenham informações classificadas (consulte o Módulo 14 sobre Cibercriminalidade Política: Hacktivismo, Terrorismo, Espionagem, Campanhas de Desinformação e Atos de Guerra no espaço virtual). 

Agências de segurança nacional em todo o mundo desenvolveram ou estão desenvolvendo suas capacidades de defesa cibernética, ou seja, as medidas destinadas a detectar e prevenir crimes cibernéticos e a mitigar o impacto desses crimes (Maras, 2016) e suas capacidades ciberofensivas, isto é, as medidas desenhadas “para penetrar nos sistemas inimigos e causar defeitos ou danos" ou para responder a um ataque cibernético (Maras, 2016, p. 391). É o reconhecimento do ciberespaço como um outro domínio de guerra, o chamado quinto domínio, que se acresce ao terrestre, marítimo, aéreo e espacial; também conhecido como domínio das operações (ver o box “Você Sabia?” abaixo), que levou as agências de segurança nacional a um maior envolvimento no ciberespaço (Smeets , 2018; Kremer, 2014; Kallender e Hughes, 2017). Por exemplo, nos Estados Unidos, a identificação de um quinto domínio de guerra levou à criação do Comando Cibernético dos Estados Unidos (USCYBERCOM). Outros países, como Holanda, Alemanha, Espanha, Coreia do Sul e Japão, criaram comandos cibernéticos equivalentes ou centros ou unidades de defesa cibernética (Smeets, 2018; Kremer, 2014; Kallender e Hughes, 2017; Ingeniería de Sistemas para a Defensa de España, s.d.). A Organização do Tratado do Atlântico Norte (OTAN) também reconheceu o ciberespaço como o quinto domínio da guerra (NATO CCDCE, 2016).

Setor privado

O setor privado desempenha um papel fundamental para a detecção, prevenção, mitigação e investigação de crimes cibernéticos porque detém e administra predominantemente as infraestruturas críticas, isto é, aquelas consideradas essenciais para o funcionamento da sociedade, sendo um dos principais alvos de muitos cibercrimes próprios (aqueles que visam comprometer a confidencialidade, integridade e disponibilidade de sistemas, redes, serviços e dados, como o acesso ilegal, a distribuição de malware e os ataques de negação de serviço dos tipos DoS e DDoS) e cibercrimes impróprios, como fraude financeira on-line, crimes relacionados à falsa identidade e subtração de dados e segredos comerciais, para citar alguns (para obter mais informações sobre esses crimes cibernéticos e outras formas de delinquência digital, consulte o Módulo 2 sobre espécies comuns de cibercrimes). 

De acordo com a Resolução 2341 (2017) do Conselho de Segurança das Nações Unidas, “cada um Estado define o que constitui uma infraestrutura crítica” no seu território. Como tal designação depende de cada Estado, existem diferenças entre os países no que diz respeito à identificação de tais infraestruturas críticas. Por exemplo, a Austrália designou oito setores como infraestrutura crítica: saúde, energia, transporte, água, comunicações, alimentos, bancos, e governo da Commonwealth) (Departamento de Assuntos Internos da Austrália, s. d.). Já os Estados Unidos designaram 16 setores: químico; instalações comerciais; comunicações; fabricação crítica; barragens; base industrial de defesa; serviços de emergência; serviços financeiros; energia; alimentos e agricultura; instalações governamentais; saúde; tecnologia da informação; reatores, materiais e resíduos nucleares; sistemas de transporte; e sistemas de água e esgoto) (Departamento de Segurança Interna dos EUA, s.d.)

As “redes e sistemas de comando e controle destinados a suportar processos industriais” de infraestrutura crítica são conhecidos como sistemas de controle industrial (ICS) (ENISA, s.d.). De acordo com a Agência Europeia para a Segurança das Redes e da Informação (ENISA): 

Os ICS passaram por uma transformação significativa de sistemas proprietários e isolados em arquiteturas abertas e tecnologias padrão altamente interconectadas com outras redes corporativas e a Internet. Atualmente, os produtos ICS são baseados principalmente em plataformas de sistemas embarcados padrão, aplicadas a vários dispositivos, como roteadores ou modems a cabo, e costumam usar softwares comerciais prontos para uso. Isso resultou em redução de custos, facilidade de uso e permitiu o controle e o monitoramento remotos a partir de vários locais. No entanto, uma desvantagem importante derivada da conexão com intranets e redes de comunicação é o aumento da vulnerabilidade a ataques baseados em redes de computadores (ENISA, s.d.). 

São essas vulnerabilidades, bem como as resultantes de medidas inadequadas de segurança física e de pessoal – como, por exemplo, a possibilidade de um indivíduo introduzir uma unidade de memória infectada numa infraestrutura crítica (IC) e conectá-la fisicamente a sistemas de IC – que possibilitam a prática de cibercrimes contra tais infraestruturas. (Veja o Módulo 9 sobre Cibersegurança e Prevenção do Cibercrime: Aplicações e Medidas Práticas para mais informações sobre as medidas concretas cibersegurança). 

Tendo em vista que normalmente empresas privadas detêm e gerenciam infraestruturas críticas, tornando-se alvos preferenciais de cibercriminosos, são elas que estão em melhor posição para adotar medidas de segurança destinadas a identificar de forma proativa cibercrimes e cibercriminosos em um esforço para prevenir ou ao menos mitigar cibercrimes, bem como para responder a eles (para obter mais informações sobre as medidas implementadas para prevenir, mitigar e responder a cibercrimes, consulte o Módulo 9 sobre Cibersegurança e Prevenção do Cibercrime: Aplicações e Medidas Práticas). A forma pela qual o setor privado implementa tais medidas depende da organização, do tipo de pessoa jurídica, de seus recursos humanos, financeiros e técnicos e das atividades que desempenha. 

O setor privado também realiza investigações privadas de crimes cibernéticos. Empresas privadas são vulneráveis a ameaças internas (como crimes cibernéticos cometidos por funcionários ou executivos da própria empresa ou organização) e a ameaças externas (como os crimes cibernéticos cometidos por pessoas com alguma ligação com a pessoa jurídica – por exemplo, um fornecedor ou cliente – ou por aqueles sem vínculo algum com a pessoa coletiva) (Maras, 2014, p. 253). Quando ocorre um crime cibernético, as pessoas jurídicas atingidas geralmente não o relatam às autoridades policiais. Isto, no entanto, depende da espécie de cibercrime, dos recursos humanos, técnicos e financeiros da pessoa jurídica de direito privado e do impacto que esse cibercrime provoca na entidade vítima comparativamente ao impacto que a notificação do cibercrime causaria (por exemplo, dano potencial à reputação da empresa ou a perda de confiança do consumidor) (Maras, 2014; Maras, 2016).

Como os órgãos de persecução criminal, pessoas jurídicas de direito privado também conduzem investigações em resposta a um crime cibernético que tenha sido detectado ou reportado. O objetivo desta apuração interna é obter informações sobre o incidente e iniciar um processo contra o(s) autor(es) do(s) cibercrime(s). Dependendo do tamanho e dos recursos da empresa privada vítima, a investigação pode ser conduzida por investigadores do seu próprio corpo de funcionários ou por investigadores contratados no mercado (Maras, 2014). Indivíduos especializados em investigações cibercriminais vêm de órgãos da indústria, organizações comerciais e empresas privadas fornecedoras de serviços de segurança, investigação e computação forense (Hunton, 2012). Às vezes, profissionais da tecnologia da informação e especialistas em perícia digital, que integram o setor não governamental, têm sido contratados por empresas e entidades privadas para coletar e preservar provas digitais. No entanto, esses profissionais podem não ter os KSAs necessários para conduzir investigações de crimes cibernéticos e tratar adequadamente as provas digitais desses crimes para garantir sua admissibilidade em juízo (Maras, 2014).   

Parcerias público-privadas e forças-tarefa

O setor privado tem recursos humanos, financeiros e técnicos para conduzir investigações de crimes cibernéticos e pode ajudar agências de segurança nacional, autoridades policiais e outras instituições governamentais em questões de cibercriminalidade. Diante disso, internacionalmente, inúmeras parcerias público-privadas têm sido desenvolvidas para aprimorar a capacidade dos países de investigar crimes cibernéticos (Shore, Du e Zeadally , 2011). Um bom exemplo é o Centro Integrado Cibernético (Cyber Fusion Center) da INTERPOL, que reúne especialistas em cibersegurança e crimes cibernéticos de ambos os setores, para que trabalhem juntos para produzirem inteligência útil e para que compartilhem tais informações com os stakeholders relevantes (INTERPOL, s.d.). A TrendMicro, uma empresa de cibersegurança e defesa; a Kaspersky, provedora de cibersegurança e antivírus; e outras empresas privadas que lidam com crimes cibernéticos ou cibersegurança ou são provedores de serviços e conteúdo da Internet ou outras empresas de Internet, trabalham em estreita colaboração com a INTERPOL (INTERPOL, s.d.). A Organização do Tratado do Atlântico Norte (OTAN) também coopera com seus aliados em geral e com a União Europeia e a indústria, em particular, através do seu Acordo Técnico sobre Ciberdefesa e sua Parceria Cibernética com a Indústria. 

Parcerias público-privadas (PPPs) também têm sido instituídas nos vários países. Nos Estados Unidos, a Aliança Nacional de Capacitação e Computação Forense (National Cyber Forensics and Training Alliance) reúne especialistas em assuntos de crimes cibernéticos do governo, das universidades e do setor privado para detectar, mitigar e combater o cibercrime (NCFTA, s.d.). No Japão, institui-se uma PPP semelhante ao NCFTA: o Centro de Controle do Cibercrime (Cybercrime Control Center) (JC3, 2014). Na Europa, a parceria “2Centre” aproxima órgãos policiais, universidades e o setor privado. Essa PPP começou com centros nacionais na Irlanda e na França e expandiu-se para incluir organismos em outros países europeus; em 2017, Grécia, Espanha, Bélgica, Estônia, Lituânia, Bulgária e Inglaterra tinham centros (Rede de Centros de Excelência em Cibercrimes para Treinamento, Pesquisa e Educação, s.d.). 

Além das PPPs, têm sido criadas forças-tarefas nacionais para auxiliar em investigações de crimes cibernéticos. Essas forças-tarefas permitem que diferentes forças policiais de distintas jurisdições nos países (seja no nível local, estadual ou federal ou nacional) trabalhem juntas em casos de crimes cibernéticos. Essas forças-tarefas, a depender do país ou região, também podem ser formadas por membros de universidades e empresas e organizações privadas. Um exemplo é a Força-Tarefa Conjunta Nacional de Investigações Cibernéticas (NCIJTF) do FBI, que é formada por: 

“(…) agências parceiras de várias agências de persecução criminal, da comunidade de inteligência e do Departamento de Defesa, com representantes que trabalham em conjunto em uma sede comum para cumprir a missão da organização a partir de uma perspectiva governamental integral. Como um centro cibernético interinstitucional, o NCIJTF tem a responsabilidade principal de coordenar, integrar e compartilhar informações para apoiar investigações de ameaças cibernéticas, fornecer e apoiar análises de inteligência para os tomadores de decisão da comunidade e agregar valor a outros esforços em andamento na luta contra as ameaças cibernéticas à nação” (FBI, s.d.). 

Outras forças-tarefa têm sido instituídas para lidar com crimes cibernéticos específicos. Por exemplo, a Força-Tarefa de Crimes Eletrônicos (ECTF), uma força-tarefa do Serviço Secreto dos EUA, é responsável pela prevenção, mitigação, detecção e investigação de crimes cibernéticos, inclusive daqueles cometidos contra sistemas de pagamento e suas infraestruturas críticas (Serviço Secreto dos EUA, s.d.). De acordo com a Lei Patriótica dos Estados Unidos contra o Terrorismo (US PATRIOT Act, de 2001), o Serviço Secreto dos EUA criou uma rede de Forças-Tarefas de Crimes Eletrônicos (ECTFs) por todo o país. Essas forças-tarefa trabalham com órgãos policiais locais, estaduais e federais, bem como com outros agentes da justiça criminal (como procuradores ou promotores), as universidades e o setor privado (Serviço Secreto dos EUA, s.d.). Em 2009, foi criada uma Força-Tarefa Europeia para Crimes Eletrônicos (EECTF). A EECTF coleta, analisa e divulga informações sobre as melhores práticas neste campo. 

Embora instituições da justiça criminal, agências de segurança nacional, empresas do setor privado, PPPs e forças-tarefa sejam os principais atores na condução de investigações sobre crimes cibernéticos, apurações independentes sobre tais infrações também podem ser conduzidas por organizações da sociedade civil, por jornalistas e pelas pessoas em geral. Um exemplo é o trabalho da Citizen Lab, que realizou pesquisas sobre “espionagem digital sobre a sociedade civil, documentação da filtragem na Internet e outras tecnologias e práticas que afetam a liberdade de expressão on-line, análises sobre privacidade, segurança e controles de informações nos aplicativos mais populares, e a transparência de mecanismos de prestação de contas relevantes no relacionamento entre empresas e órgãos estatais em relação a dados pessoais e outras atividades de vigilância” (Citizen Lab, s.d.). Além disso, integrantes da comunidade podem oferecer assistência não solicitada a autoridades públicas, realizando suas próprias investigações independentes on-line. É o que ocorreu após os atentados de Boston em 2013 (Nhan, Huey e Broll, 2017). Além disso, certas partes de uma investigação de crimes cibernéticos podem ser terceirizadas (como a identificação de material ilícito on-line) por meio de uma convocação pública. Esse processo é conhecido como crowdsourcing. Por exemplo, “a Europol lançou uma iniciativa de colaboração coletiva (crowdsourcing) para ampliar a busca pela origem de imagens de abuso sexual infantil com a ajuda do público em geral. Desde o início do projeto, em 1º de junho de 2017, foram enviadas à Europol mais de 22.000 dicas, o que resultou na identificação de oito crianças e na prisão de um agressor graças à ajuda de cidadãos comuns” (Europol, 2018a).

Seguinte: Obstáculos a investigações de cibercrimes

Regressar ao início