O ataque hacker ao sistema Defesa Civil Alerta no último fim de semana expôs fragilidades na segurança cibernética brasileira. Especialistas ouvidos pelo Estadão afirmam que o país precisa de uma padronização nas medidas de proteção, seguindo o exemplo dos Estados Unidos, que enfrentam há mais de uma década uma batalha para blindar seus sistemas de alerta de emergência.
Como ocorreu o ataque no Brasil
No Brasil, o ataque mirou o recém-implementado sistema Defesa Civil Alerta, que envia notificações para celulares. Alertas falsos com a palavra "misantropia" foram disparados no Distrito Federal, Paraná, Rio de Janeiro e São Paulo, gerando pânico e brincadeiras nas redes sociais. O governo identificou ao menos dez alertas disparados no possível ataque.
Breno Pauli, coordenador da Célula de Cibersegurança no Centro de Tecnologia e Sociedade (CTS) da FGV Direito Rio e integrante do Comitê Nacional de Cibersegurança, destaca que a segurança cibernética brasileira é muito fragmentada. "O Banco Central e a Anatel, por exemplo, têm medidas fortíssimas, mas em vários outros órgãos a segurança é bem mais rudimentar", afirmou.
O caso emblemático dos EUA
Nos Estados Unidos, o caso mais emblemático de invasão ocorreu em fevereiro de 2013, quando hackers burlaram a segurança do Emergency Alert System (EAS) de cinco emissoras locais em estados como Montana, Michigan, Wisconsin e Novo México. A programação foi interrompida por um alerta falso de "apocalipse zumbi", com uma voz computadorizada alertando que "corpos de mortos estavam se levantando das tumbas e atacando os vivos".
Investigações federais revelaram que os invasores exploraram falhas básicas: senhas de fábrica não atualizadas, falta de barreiras múltiplas de segurança e uso de sistemas antigos com vulnerabilidades conhecidas. Segundo especialistas, a mesma hipótese pode ter ocorrido no Brasil no fim de semana.
Lições dos EUA e medidas adotadas
Após o incidente de 2013, o governo americano criou em 2018 a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) para coordenar a defesa cibernética e proteger infraestruturas críticas — algo que ainda não existe no Brasil. Em 2022, quase uma década depois, um pesquisador de segurança demonstrou na conferência Def Con uma falha crítica que permitia assumir o controle de aparelhos de transmissão de alertas em todo o país. A Agência Federal de Gestão de Emergências (Fema) e a Comissão Federal de Comunicações (FCC) exigiram atualizações urgentes.
Entre as diretrizes adotadas estão a "higiene cibernética compulsória": atualização frequente de softwares, abolição de senhas de fábrica, monitoramento contínuo de acessos e notificação obrigatória de alertas falsos em até 24 horas. No início de 2025, a FCC criou novas diretrizes para modernizar o sistema, propondo a transição de sistemas baseados em hardware físico para soluções em nuvem com software criptografado, além de um número de identificação universal de alerta para rastrear a autenticidade de cada disparo.
Brasil discute criação de agência nacional
No Brasil, o Comitê Nacional de Cibersegurança discute a criação de uma Agência Nacional para políticas padronizadas de proteção às infraestruturas estratégicas. "Temos discutido muito isso no comitê: uma agência definiria medidas obrigatórias para os órgãos institucionais", afirmou Breno Pauli. Segundo ele, o Brasil passou por um processo de digitalização acelerado, mas as medidas de segurança não acompanharam a velocidade desses avanços.
André Luís Fonseca, professor de Inteligência Artificial aplicada da Coppead/UFRJ, concordou. "O que me chamou atenção foi o fato de não ter uma linha de aprovação, de prescindir de uma cadeia maior de autorizações", afirmou. "Me parece que o que aconteceu no Brasil foi uma falha de gestão de TI, uma política de segurança mal gerida, não um problema tecnológico."
Desafios futuros com inteligência artificial
Fonseca alerta que, com a rápida evolução das IAs, os hackers terão cada vez mais facilidade para criar softwares invasores. "Precisamos ter padrões mais rigorosos, usar também a IA para certificar o nível máximo de segurança", afirmou. "E seria importante termos uma padronização na gestão dos dados de interesse público; não podemos ter uma no Pará e outra, diferente, no Rio. Isso não faz sentido."
