Durante mais de uma década, os fabricantes de spyware governamental defenderam-se das críticas dizendo que a sua tecnologia de vigilância se destina a ser utilizada apenas contra criminosos graves e terroristas, e apenas em casos limitados.
As evidências recolhidas de dezenas, senão centenas de casos documentados de abuso de spyware em todo o mundo, contudo, mostram que nenhum destes argumentos é verdadeiro.
Jornalistas, activistas dos direitos humanos e políticos têm sido repetidamente alvo de ataques tanto em regimes repressivos como em países democráticos. O exemplo mais recente é um consultor político que trabalha para políticos de esquerda em Itália, que se revelou a vítima mais recentemente confirmada do spyware Paragon no país.
Este último caso mostra que o spyware está a proliferar muito para além do âmbito daquilo que normalmente consideramos ataques “raros” ou “limitados”, visando apenas algumas pessoas de cada vez.
“Acho que há algum mal-entendido no cerne das histórias sobre quem é alvo desse tipo de spyware governamental, ou seja, se você for o alvo, você será o Inimigo Público Número Um”, disse Eva Galperin, diretora de segurança cibernética da Electronic Frontier Foundation, que estuda spyware há anos, ao TechCrunch.
“Na realidade, como a segmentação é tão fácil, temos visto governos utilizarem malware de vigilância para espiar um vasto leque de pessoas, incluindo opositores políticos relativamente menores, ativistas e jornalistas”, disse Galperin.
Existem vários motivos que explicam por que o spyware muitas vezes acaba nos dispositivos de pessoas que, em teoria, não deveriam ser visadas.
A primeira explicação está na forma como os sistemas de spyware funcionam. Geralmente, quando uma agência de inteligência ou de aplicação da lei compra spyware de um fornecedor de vigilância – como NSO Group, Paragon e outros – o cliente governamental paga uma taxa única para adquirir a tecnologia e, em seguida, reduz as taxas adicionais para futuras atualizações de software e suporte técnico.
A taxa inicial geralmente é baseada no número de alvos que a agência governamental pode espionar a qualquer momento. Quanto mais alvos, maior será o preço. Documentos vazados anteriormente da agora extinta Hacking Team mostram que alguns de seus clientes policiais e governamentais poderiam atingir desde um punhado de pessoas até um número ilimitado de dispositivos ao mesmo tempo.
Embora alguns países democráticos normalmente tivessem menos alvos que pudessem vigiar de uma só vez, não era raro ver países com registos questionáveis em matéria de direitos humanos com um número extremamente elevado de alvos simultâneos de spyware.
Atribuir um número tão elevado de alvos simultâneos a países com um apetite tão forte pela vigilância praticamente garantiu que os governos visariam muito mais pessoas fora do âmbito apenas de criminosos e terroristas.
Contate-nos
Você tem mais informações sobre spyware governamental? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.
Marrocos, os Emirados Árabes Unidos (duas vezes) e a Arábia Saudita (várias vezes) foram todos apanhados a atacar jornalistas e activistas ao longo dos anos. A pesquisadora de segurança Runa Sandvik, que trabalha com ativistas e jornalistas que correm o risco de serem hackeados, é curadora de uma lista cada vez maior de casos de abuso de spyware em todo o mundo.
Outra razão para o elevado número de abusos é que, especialmente nos últimos anos, o spyware – como o Pegasus da NSO ou o Graphite da Paragon – torna extremamente fácil para os clientes governamentais atingirem com sucesso quem quiserem. Na prática, esses sistemas são essencialmente consoles onde a polícia ou funcionários do governo digitam um número de telefone e o resto acontece em segundo plano.
John Scott-Railton, pesquisador sênior do Citizen Lab que investigou empresas de spyware e seus abusos durante uma década, disse que o spyware governamental traz uma “enorme tentação de abuso” para clientes governamentais.
Scott-Railton disse que o spyware “precisa ser tratado como a ameaça à democracia e às eleições que é”.
A falta geral de transparência e responsabilização também contribuiu para que os governos utilizassem descaradamente esta sofisticada tecnologia de vigilância, sem medo das consequências.
“O fato de termos visto peixes relativamente pequenos como alvo é particularmente preocupante porque reflete a relativa impunidade que o governo sente ao implantar este spyware excepcionalmente invasivo contra oponentes”, disse Galperin ao TechCrunch.
Em termos de responsabilização das vítimas, há boas notícias.
A Paragon fez questão de cortar publicamente os laços com o governo italiano no início deste ano, argumentando que as autoridades do país recusaram a ajuda da empresa na investigação de abusos supostamente envolvendo seu spyware.
O Grupo NSO revelou anteriormente em tribunal que desconectou 10 clientes governamentais nos últimos anos por abuso de sua tecnologia de spyware, embora se recusasse a dizer quais países. E não está claro se estes incluem o governo mexicano ou saudita, onde houve inúmeros casos documentados de abuso.
Do lado dos clientes, países como a Grécia e a Polónia lançaram investigações sobre abusos de spyware. Os Estados Unidos, durante a administração Biden, visaram alguns fabricantes de spyware, como Cytrox, Intellexa e NSO Group, impondo sanções às empresas – e aos seus executivos – e colocando-os em listas de bloqueio económico. Além disso, um grupo de países maioritariamente ocidentais, liderado pelo Reino Unido e pela França, está a tentar usar a diplomacia para travar o mercado de spyware.
Resta saber se algum destes esforços irá restringir ou limitar de alguma forma o que é hoje um mercado global multibilionário, com empresas mais do que satisfeitas em fornecer spyware avançado a governos com um apetite aparentemente interminável para espiar praticamente toda a gente que queiram.
