Bruno Horta Soares
Desde que aconteceu o apagão que deixou a Península Ibérica às escuras, começaram a surgir os habituais rumores, que foi um ciberataque, que “foram os russos”, “isto é obra dos chineses” ou, na melhor das hipóteses, isto foi algum daqueles líderes com nomes que soam a vilões de filmes de ação. A verdade é que, entre o café da manhã e os debates nas redes sociais, parece que ganhámos todos um duplo mestrado relâmpago em ciber defesa e cibersegurança.
Ora, vamos lá dar algum rigor à arte de especular, porque se vamos ter teorias da conspiração, ao menos que sejam boas!
Primeiro, vamos assumir duas possibilidades para simplificar: ou foi um ciberataque, ou foi a senhora da limpeza que desligou o cabo errado para ligar o aspirador. Ambas plausíveis, mas só uma delas tem potencial para inspirar séries da Netflix.
No caso mais prosaico, o do aspirador, não estaríamos perante um ciberataque porque o vetor de ataque seria físico e os recursos afetados também. No entanto, a empresa responsável pela infraestrutura elétrica pode ser considerada uma third party para toda a sociedade e como a consequência seria a indisponibilidade de recursos digitais essenciais, então estaríamos sim perante incidentes de segurança em todas as organizações afetadas. Talvez o menor dos problemas tenha sido o ataque inicial em si, o verdadeiro drama foi a bola de neve que se seguiu e que, claramente, não era um risco devidamente identificado nem mitigado pela sociedade em geral.
Mas avancemos para o cenário excitante e digno de um romance de espionagem: O ciberataque.
Para começar, convém explicar o que é uma Ameaça APT — Advanced Persistent Threat. APTs não são ataques barulhentos de ocasião, são discretos, inteligentes, persistentes e, claro, têm sempre um Ator/Agente por trás. No caso de uma APT o cenário divino é excluído por isso só sobra o Humano. Este ator pode ser um Estado, um grupo organizado ou até uma organização privada com interesses próprios, financeiros, ideológicos ou ambos.
A seguir vem o conceito de Campanha, porque uma APT não é um evento isolado: é uma narrativa, uma cadeia de eventos com um propósito claro. Recordemos o caso do Stuxnet, um malware sofisticado que se infiltrou em sistemas industriais para atrasar o programa nuclear iraniano. Nunca se soube oficialmente quem esteve por trás, mas o objetivo era evidente e o impacto cirúrgico.
Se quisermos realmente construir uma boa teoria da conspiração, não basta nomear o inimigo, é preciso explicar o Porquê?. Uma APT não funciona como um míssil: é plantada com antecedência, às vezes durante anos, à espera do momento certo. Por exemplo, o que se vê quando o acesos à informação e sistemas são bloqueados num ataque de ransomware é apenas o clímax, a campanha começou muito antes, no silêncio dos logs e das vulnerabilidades ignoradas.
Vamos, então, admitir que a infraestrutura elétrica ibérica tinha um malware latente. A pergunta é: por que razão o ator decidiu ativá-lo agora? Podemos considerar três hipóteses de narrativas em condições:
1. Foi um ataque à empresa da rede elétrica. Motivação: dinheiro. Um ciber-criminoso acedeu aos sistemas, exigiu um resgate, a empresa não pagou, e ele materializou o impacto. Sinceramente? Pouco provável, um arsenal deste calibre não se desperdiça por chantagem barata.
2. Um ataque à sociedade. Motivação: demonstração de força e desestabilização. Aqui entramos no domínio da cyber warfare. Um Estado-nação ou alguém mandatado para tal, decide mostrar ao mundo (ou a adversários específicos) que tem poder para desligar um país. E escolhe Portugal e Espanha por serem membros da NATO mas com menor peso geoestratégico, maximizando a disrupção sem escalar demasiado o conflito. Esta hipótese é sedutora, pode ser relacionada com o contexto da guerra na Ucrânia e com os atritos globais entre superpotências. Mas levanta dúvidas: porquê atacar um membro da NATO, mesmo periférico, sem uma declaração clara?
3. Uma prova de conceito comercial. Motivação: negócio. Uma organização não-governamental, ou até um grupo mercenário digital, detém uma ciber-arma (APT) e decide mostrá-la ao mundo. Faz uma demonstração controlada com um apagão localizado e nos dias seguintes inicia as negociações com Estados ou empresas interessadas. É o cenário James Bond: discreto, eficaz, e com um final de negociação à porta de um hotel suíço.
Seja qual for a teoria preferida, há uma conclusão inevitável: o problema já não é só tecnológico, é político, económico e social
Neste contexto, a sociedade não tem apenas de entender o que é uma APT, um vetor de ataque, uma vulnerabilidade ou o impacto de uma cadeia de abastecimento digital, ficamos todos reféns da especulação e dos ataques de desinformação.
Este episódio pode também servir como ponto de partida para a discussão sobre os orçamentos da defesa na Europa. Fala-se muito em investir em tanques, aviões e soldados, mas, num mundo onde desligar um país pode ser feito com um clique (ou por uma atualização de firmware maliciosa), talvez seja tempo de priorizar a proteção das infraestruturas digitais e serviços essenciais.
Não estamos apenas a falar de Cibersegurança, que abrange a identificação, proteção, deteção, resposta e recuperação face a incidentes que comprometam a confidencialidade, integridade e disponibilidade de ativos digitais. Estamos a falar de Ciberdefesa, um conceito mais amplo e estruturado, frequentemente associado ao domínio da defesa nacional, que envolve capacidade de antecipação estratégica, resposta coordenada a ameaças persistentes e, muitas vezes, articulação com forças armadas e agências de segurança. A Cibersegurança é transversal e essencial a qualquer organização; a Ciberdefesa é crítica quando o que está em causa são os interesses soberanos e a resiliência de um Estado.
Portanto, da próxima vez que ouvirem alguém atirar uma teoria da conspiração divital para cima da mesa, não descartem de imediato, mas pelo menos perguntem: qual é o vetor de ataque? Qual o ator? Qual o objetivo da campanha? Se a resposta for “porque sim”ou “vi num filme”, é especulação barata, mas se vier acompanhada de uma análise plausível dos Porquês? e dos Comos?, então, ao menos, temos uma teoria de conspiração em condições.
E quem sabe… talvez se soubermos contar melhores histórias, talvez fiquemos melhor preparados para a próxima vez que as luzes se apagarem.
