Nesta terça-feira, 28, o Brasil celebra o Dia Internacional da Proteção de Dados em meio a um cenário de cibersegurança, no mínimo, alarmante — nos últimos cinco anos, o governo federal somou quase 58.000 incidentes cibernéticos ou alertas de vulnerabilidade digital, sendo mais de 9.000 casos envolvendo vazamentos de dados em sistemas da União.
De cada cinco ocorrências de vazamentos de dados, quatro ocorreram em 2024. Na prática, as violações de segurança deste tipo cresceram mais de 21 vezes desde 2020, ano em que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, quando foram registrados 349 casos. Os dados são do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR), vinculado ao Gabinete de Segurança Institucional (GSI).
Somente no ano passado, o Banco Central foi alvo de doze vazamentos envolvendo o Pix, que tornaram públicos os dados cadastrais associados a mais de 215.000 chaves, como nome, CPF, agência e conta bancária. Em novembro, outra brecha quebrou o sigilo de 1.500 participantes de uma pesquisa da instituição financeira, que tiveram vazados endereço, telefone, renda, estado civil e hábitos de uso do sistema financeiro.
Desde 2021, brasileiros moveram 7.000 processos junto à Autoridade Nacional de Proteção de Dados (ANPD), órgão que fiscaliza o cumprimento da lei por empresas privadas, por suspeita de violação do sigilo das suas informações. Cerca de 57% das ações foram enviadas à agência apenas no ano passado.
Cenário global é de aumento de ameaças
Em termos de segurança cibernética, o Brasil não é um caso isolado. Em 2024, o mundo registrou uma média de 1.673 ciberataques por semana contra governos, empresas e cidadãos, alta de 44% em relação a 2023, segundo o relatório Cyber Security Threats da consultoria Check Point.
Os alvos mais frequentes foram instituições de educação (3.574 ataques por semana), seguido por órgãos governamentais (2.286) e pelo setor de saúde (2.210). Os vetores de ciberataques vêm se transformando nos últimos anos — entre 2021 e 2024, a parcela de ameaças enviadas por email caiu de 84% para 68%, enquanto os programas maliciosos originados da navegação da web dobraram em proporção, passando de 16% para 32%.
Entre os crimes mais comuns, destaca-se o ransomware (“programa de sequestro”, em inglês), que consiste em “sequestrar” dados sensíveis de uma empresa e exigir um resgate dos administradores para devolvê-los ao sistema. Em 2023, ao redor do mundo, três em cada quatro empresas de grande porte foram vítimas de ransomware, e os dados foram recuperados em apenas 57% dos casos, segundo o relatório Ransomware Trends Report, da consultoria global Veeam.
“Uso de tecnologia obsoleta, baixos investimentos em cibersegurança e falta de treinamento dos funcionários estão entre as causas que levam empresas a serem atacadas”, avalia José Leal Júnior, country manager da Veeam no Brasil. Mais do que contratar programas antivírus eficientes, a proteção envolve conscientizar trabalhadores, armazenar cópias seguras das informações e implementar planos de contingência e resposta às crises. “É preciso promover a ideia de resiliência de dados, que vai além da tecnologia e inclui estratégias de segurança no dia a dia”, explica.
Falta de conhecimento do usuário é principal porta para hackers
Para especialistas, o plano fundamental para prevenir ciberataques é proteger e educar o indivíduo para evitar cair em armadilhas. Embora boa parte dos ataques seja desferido por quadrilhas internacionais de hackers, usando métodos altamente organizados e sofisticados, a vulnerabilidade do usuário comum ainda é a maior vítima de crimes e porta de entrada para os invasores de empresas e governos.
“A engenharia social é o metodo mais eficaz para enganar usuários sem conhecimento básico, roubar credenciais e entrar de forma ‘legítima’ nas redes corporativas”, explica Sérgio Ribeiro, gerente de infraestrutura e segurança cibernética do Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPQD). Ele alerta para o risco, por exemplo, de utilizar uma senha única para todos os serviços pessoais e profissionais — se o hacker conseguir o código através de um email malicioso ou no vasto mercado de vazamentos da deep web, pode cruzar as informações com o email corporativo de um usuário para invadir a empresa onde ele trabalha.
O problema da cibersegurança, porém, é complexo e exige iniciativas do poder público, como estratégias nacionais para treinamento de cidadãos e o incentivo à inclusão da segurança digital no currículo da educação básica. A aprovação da LGPD, em 2018, é vista como passo importante do Brasil na abordagem à crise — em 2023, o governo criou o Comitê Nacional de Cibersegurança (CNCiber), que trabalha na elaboração de novas políticas federais sobre proteção de dados.
Para Henrique Fabretti, CEO do escritório especializado Opice Blum Advogados, o Estado tem papel crucial na educação digital da população, mas falta vontade política para impulsionar as ações em discussão em Brasília. “É preciso fortalecer a ANPD para continuar o trabalho de regulação do mercado, incentivar a participação maior da sociedade civil e elaborar políticas de Estado que sejam eficientes pelas próximas décadas”, avalia.
