LGPD cria “tabela” para crackers extorquirem empresas

LGPD cria “tabela” para crackers extorquirem empresas

Navegadores que garantem anonimato e criptomoedas dificultam rastreabilidade de cibercriminosos

Publicado em 11 de fevereiro de 2020

Na data em que se comemora o Dia da Internet Segura o cenário para as empresas brasileiras não poderia ser mais desafiador. A multa prevista para quem desrespeitar a nova Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto, varia de 2% do faturamento bruto da companhia até R$50 milhões, por infração. Para os especialistas do setor, uma definição do valor do “resgate” pelas informações vazadas.

O alerta é de André Luiz Marques, diretor executivo da divisão de segurança da Think; e Felipe Galofaro, diretor operacional da Elytron Security e sócio de João Lucas Brasio, considerado pelo Google um dos melhores hackers do mundo por 8 anos consecutivos. Ao contrário dos crackers, que quebram sistemas de segurança, os hackers usam as habilidades para elaborar e modificar softwares e hardwares de computadores, desenvolvendo novas funcionalidades ou adaptando as antigas.

“O efeito colateral da lei é que deram uma ‘tabela’ para os crackers e quando a LGPD entrar em vigor, podemos ter uma enxurrada de extorsões”, destaca André Marques, da Think, empresa de soluções e serviços especializados de infraestrutura de TI que atende clientes como Aché Laboratórios, Unimed e Makro Atacadista.

“Os crackers sabem o preço da informação no mercado negro. Também podem divulgar as informações vazadas aos poucos, para extorquirem mais de uma vez, pedindo, por exemplo, 10% do valor da multa, que é só a ponta do iceberg: tem a imagem da empresa, queda das ações na bolsa, processos de clientes contra a companhia etc”, reforça Felipe Galofaro, da Elytron Security, especializada em consultoria e auditoria de segurança da informação.

Com a aproximação da LGPD o movimento de crackers na dark web tem se intensificado, de acordo com os especialistas em segurança digital. Esta movimentação intensa desde o segundo semestre de 2019 no ambiente não-rastreável e criptografado da dark web pode indicar que cibercriminosos estão invadindo sistemas de segurança de empresas brasileiras e baixando dados para extorquirem as companhias, com a ameaça de vazamentos de informações de clientes quando a nova lei passar a valer no país.

O uso de navegadores como o TOR, que garante anonimato aos acessos à dark web e deep web (páginas da internet que os mecanismos de pesquisa não conseguem encontrar), e pedidos de pagamento pelos dados em criptomoedas, como bitcoins, são outros complicadores para as empresas. “Os atacantes ficam anônimos e conseguem movimentar o dinheiro sem deixar rastro”, diz Galofaro.

Outro problema é que muitas empresas que já foram atacadas nem sabem que tiveram dados roubados. Para Marques, a dica é sempre realizar teste de vulnerabilidade, fechar as portas vulneráveis e restaurar o funcionamento do sistema, para demonstrar que o vazamento de informação aconteceu antes da entrada da nova lei. “O problema é que pouquíssimas empresas estão se preparando”.

Boas práticas

Algumas ações preventivas podem ajudar na tentativa de frear a ação dos crackers na dark web que querem baixar dados das empresas. Entre elas: manter os softwares atualizados; ter ferramentas de proteção e monitoramento, como anti-vírus e WAF (Web Application Firewall), sistema que funciona como uma barreira que bloqueia e protege o servidor contra ciberataques; e colocar engenheiros de segurança testando o sistema com frequência.

“O Brasil não tinha a cultura de segurança cibernética e já somos o segundo país no mundo que mais recebe ataques de crackers. É importante ter boas práticas de segurança de informação, realizar testes de vulnerabilidade e colocar a segurança como cultura, para nos tornarmos mais eficazes”, comenta Galofaro.

Texto: Andrea Martins

Imagem: Divulgação | Luis Simione | Experience Club