Dentro da cartilha empregada por governos autocráticos contra as democracias ocidentais, encontra-se a infeliz prática de atacar digitalmente ativistas. Na semana passada, houve relatos do uso dessa tática na Venezuela, com o emprego do ataque conhecido como "doubleswitch" (dupla mudança). As vítimas foram Milagros Socorro, conhecida jornalista e escritora, e também Miguel Pizarro, deputado oposicionista ao governo Maduro.

Milagros e Pizzaro tiveram suas contas em redes sociais capturadas por hackers, que no processo tiveram também acesso a todos seus dados pessoais e todas suas comunicações privadas, iniciando na sequência uma campanha de exposição de ambos. Nos dois casos as contas eram verificadas e com um grande número de seguidores. Um prato cheio para quem quer manipular a esfera pública.

O ataque "doubleswitch" dá-se de várias formas. São especialmente vulneráveis os usuários que não implementaram ainda mecanismo de verificação por meio de dois fatores (por exemplo, senha e SMS recebido por celular). As técnicas usadas para descobrir a senha da conta são muitas: phishing, engenharia social, ataque a servidores de DNS e assim por diante. Em outras palavras, se você não acionou ainda o mecanismo de dupla verificação na sua conta, pare de ler este artigo agora e faça isso.

O problema -evidenciado pelo caso venezuelano- é que em países autocráticos até mesmo o mecanismo de verificação por dois fatores (por meio de mensagens de SMS) é também frágil e pode ser explorado. A razão é que esses ataques são conduzidos por atores estatais, ou seja, o próprio governo ou agentes a ligados a ele.

Nesses casos há muito pouco que o usuário comum possa fazer para se defender. Atores estatais autocráticos perdem os limites e conseguem manipular diretamente a infraestrutura da rede. Podem dessa forma interceptar facilmente as mensagens de SMS enviadas. Para isso, implementam técnicas de hackeamento como o nefasto "man in the middle" (homem no meio), que insere um servidor pirata, uma falsa torre de celular, ou até mesmo um clone do celular da vítima, no meio da comunicação, com o intuito de interceptar o SMS enviado e confirmar a segurança da conta.

Esse tipo de prática põe em risco inclusive o próprio setor bancário, que usa esse mesmo tipo de técnica para a segurança das transações financeiras. Em outras palavras, esse tipo de prática precisa ser fortemente combatida pelo Estado, e não empregada ou promovida por ele.

Por essa razão é essencial determinar legalmente quais são os limites de atuação do Estado sobre a infraestrutura da internet e das redes de comunicação. É preciso impedir que agentes estatais se transformem em "hackers" de ocasião desgovernados, pondo em risco a integridade dos usuários e por tabela, da própria democracia. Nesse contexto, é preciso lembrar da célebre pergunta: Quem vigia os vigilantes? A resposta é óbvia: o direito.

Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITSrio.org). Mestre em direito por Harvard. Pesquisador e representante do MIT Media Lab no Brasil.

Fonte: coluna jornal FSP