Opinião

‘Malware as a Service’: entenda o que é e proteja-se

Medidas de prevenção ajudam a agir no momento de crise

29 de setembro de 2021

Por Iara Peixoto Melo*

Artigo publicado originalmente no Estadão

Provavelmente, você já escutou falar de Sofware as a Service (SaaS), certo? Pois bem, o Malware as a Service (MaaS) segue o mesmo conceito. Malfeitores disponibilizam na internet a contratação de softwares maliciosos capazes de realizar ataques.

Este tipo de ação já era conhecido nas camadas mais profundas da internet, como a Deep Web e a Dark Web. Entretanto, cada vez mais este tipo de serviço tem aparecido nas camadas mais superficiais da internet, sendo possível encontrá-los até mesmo por meio dos buscadores mais conhecidos.

A contratação de um Malware as a Service permite que pessoas que não possuem o conhecimento técnico necessário para executar um cyber ataque, contratem uma solução na internet que viabiliza o ataque a uma determinada empresa ou pessoas. Os sites que oferecem estes serviços prometem driblar os mecanismos de segurança comerciais e mencionam até mesmo updates periódicos dos softwares maliciosos.

De acordo com Paulo Baldin, gerente sênior de cyber segurança e privacidade da Alvarez e Marsal, os crimes cibernéticos que visam roubar e sequestrar os dados se multiplicam dia após dia e representam um grande risco à segurança dos sistemas de organizações e pessoas físicas. Uma infraestrutura corporativa sem proteção cibernética adequada pode ser facilmente atacada sem que a invasão seja detectada e comprometer a integridade de dados internos, expondo as corporações e causando prejuízos financeiros, como ocorre no sequestro de informações (ransomware).

A prevenção contra este tipo de ação inicia-se nas ações cotidianas realizadas pelas empresas e indivíduos.

Para proteger seus dispositivos e consequentemente os seus dados pessoais é recomendável, por exemplo: criar uma rotina de backup dos seus dados armazenados; ativar a criptografia nos dispositivos utilizados; criar senhas fortes; habilitar a verificação de senhas em duas etapas quando permitido; limitar o fornecimento de dados pessoais aos casos estritamente necessários; atualizar os aplicativos e sistema operacional de seus dispositivos sempre que disponibilizada uma nova versão; e verificar se todos os seus dados foram efetivamente apagados dos dispositivos (celulares, laptops etc.) antes de descartá-los ou vendê-los.

Além das medidas preventivas que podem ser adotadas, é importante ressaltar que, do ponto de vista jurídico, os ataques podem ser enquadrados como crimes. A internet não é tão anônima quanto as pessoas por vezes imaginam e muitas vezes é possível chegar ao autor através de uma investigação apropriada. Crimes virtuais são tão reais quanto os demais.

No Brasil, a Lei 12.731/2012 (mais conhecida como “Lei Carolina Dieckmann”) tipificou diversos delitos informáticos. A invasão de dispositivos informáticos sem autorização expressa ou tácita do titular é um destes delitos.

A comunicação desses delitos às autoridades policiais é extremamente importante para que as medidas investigativas sejam adotadas e colabora para que as ações sejam direcionadas a coibir estas práticas. Atualmente, existem delegacias de polícia especializadas na repressão de crimes informáticos. 

Vale ressaltar ainda que, caso o ataque atinja dados pessoais, este ato pode constituir um incidente nos termos da Lei 13.709/2018 (LGPD). Neste caso, será necessário avaliar se o incidente deverá ser reportado à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e se os titulares deverão ser comunicados.

De todo modo, o suporte de profissionais de cyber segurança e advogados especialistas em direito digital certamente serão de grande valia para que a coleta das provas e informações necessárias seja feita da maneira correta. Esta etapa influenciará diretamente nas medidas judiciais que poderão ser tomadas posteriormente.

Uma dica valiosa é já pesquisar com quais profissionais você quer contar nesta situação e, se possível, já deixar um contrato guarda-chuva assinado para que você possa acionar a empresa rapidamente. Em uma situação de incidente, cada minuto vale ouro e saber quem você irá acionar em caso de incidente pode economizar um tempo importante.

Infelizmente, não podemos evitar totalmente a ocorrência de cyber ataques. Mas podemos adotar medidas de prevenção que nos auxiliem a agir no momento de crise.

*Iara Peixoto Melo, coordenadora da área de Proteção de dados e Privacidade do Chenut Oliveira Santiago Advogados

Notícias Relacionadas

Opinião

Vazamento de dados mostra que implementação da ANPD é urgente

Sanções administrativas estão suspensas até o próximo ano

Opinião

Lavagem de criptoativos na legislação brasileira

Corretoras e Sistema Financeiro devem garantir o bom uso da tecnologia