A investigadora de cibercrimes Eva Galperin, 45, forjou sua carreira investigando violações de privacidade contra jornalistas e ativistas em ditaduras e situações de conflito —descobriu crimes cibernéticos no Vietnã, na Tunísia e em outros países.
A trajetória de Galperin mudou no início de 2018 ao ouvir de uma amiga que ela estava sob abuso e chantagens de um homem hacker.
A própria pesquisadora, que hoje dirige a área de cibersegurança da entidade americana de direitos nas redes EFF (Electronic Frontier Foundation), se denominava, na época, uma hacker, no sentido original: alguém que se dedica a entender e modificar sistemas de computação.
A diferença é que esse programador homem usava seu conhecimento técnico para ameaçar comprometer os computadores e smartphones da vítima. "Eu sou punk, nem tudo que fiz no passado é bonito de se ver. Ele pode destruir minha vida", teria dito a mulher a Galperin.
A especialista em cibersegurança, então, se prontificou a ajudar aquela conhecida. Primeiro, notou que os programas para fazer essa forma de espionagem em geral não eram complexos. Na ocasião, também percebeu que os antivírus comerciais não eram bons para reconhecer esses programas chamados de stalkerware.
Depois, Galperin foi ao Twitter oferecer ajuda a outras mulheres que foram abusadas sexualmente por um hacker que ameaçou comprometer o dispositivo delas. A publicação viralizou e recebeu em poucas horas dezenas de milhares de retweets, quando o X ainda se chamava Twitter.
Segundo ela, mulheres, pessoas LGBT+ e não brancas estão mais vulneráveis a esse tipo de crime.
Em conversa com a reportagem, a especialista afirma que desenvolver proteções contra esses vírus de espionagem conjugal não dá dinheiro, como soluções para empresas nem prestígio como descobrir vigilância estatal contra opositores e jornalistas.
"Não rende manchetes no New York Times ou no Washington Post."
Galperin veio ao Brasil na terça-feira (12), para abrir a principal conferência de cibersegurança da América Latina, a Mind The Sec, realizada em São Paulo.
Galperin cita palavras mágicas da cibersegurança para aparecer na capa de um jornal ou revista. "Zero click [vírus que infectam dispositivos sem cliques], dia zero [primeiro evento do vírus] e bilhões de dólares são termos sexys que garantem destaque. As empresas da área querem mostrar que são as mais sabichonas."
Os programas para espionar parceiros não usam estratégias complexas. Os mais comuns requerem que a pessoa acesse o dispositivo do cônjuge e instale o software espião, que depois fica invisível.
O vírus, então, manda informações de geolocalização, mensagens e redes sociais da vítima ao invasor.
O Brasil, por exemplo, tem seus próprios stalkerwares, como o "Web Detetive." O programa espião permite teste gratuito por 48 horas e depois cobra a partir de R$ 66 mensais (no plano semestral) para funcionar.
"Todos os planos incluem espião de WhatsApp, espião de Instagram, espião de Facebook e espião de localização", diz o site do vírus.
Existem ainda outros stalkerwares brasileiros nesse mercado, que não deveria sequer existir, já que esses aplicativos não são permitidos pelas normas da App Store (Apple) e da (Play Store).
"As pessoas baixam o instalador diretamente no site", explica a diretora da EFF. Para emular legalidade, parte desses aplicativos se apresenta como programa de controle parental, embora a propaganda de alguns desses sites cite dúvidas de traição para incentivar a compra.
"Não tem justificativa para espionar alguém sem informação e consentimento. É sempre errado", diz Galperin.
A perseguição na internet consta no Código Penal brasileiro e é considerada infração criminal desde abril de 2021.
O artigo que tipifica stalking descreve o crime como ato de "perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade".
Galperin afirma que, desde que ofereceu ajuda no Twitter, recebe pedidos de ajuda de pessoas envolvidas em diversas configurações de relacionamento. Ainda assim, os homens abusivos são os mais frequentes.
A especialista diz que a predominância masculina, branca e heterossexual nas equipes de tecnologia vulnerabiliza mulheres, pessoas LGBT+ e não brancas. "A indústria como um todo tem um viés ao visar a proteção de dispositivos, não das pessoas."
Isso não diminui, entretanto, a importância de monitorar episódios bombásticos de cibersegurança, como a invasão do iPhone de uma jornalista russa pelo app espião Pegasus, que infecta smartphones sem cliques. A ocorrência fez a Apple lançar um reparo de emergência para seus aparelhos.
O relatório feito pela organização independente Citizen Lab desencadeou uma resposta rápida da Apple que restaurou a proteção dos milhões de usuários ao redor do mundo com um reparo emergencial.
Um ataque dessa complexidade, porém, é incomum, já que achar as brechas necessárias para um programa espião funcionar sem cliques custa caro.
Em novembro de 2019, Galperin fundou a Coalizão contra Stalkerware para reforçar o combate à espionagem digital.
A diretora da EFF diz que, desde então, houve avanços a partir de decisões judiciais, treinamento de forças policiais e medidas de órgãos reguladores.
A Comissão Federal de Comércio dos Estados Unidos (FTC, sigla em inglês), por exemplo, já sancionou algumas empresas de stalkerware por exporem dados das vítimas.
No Brasil, o WebDetetive passou por um vazamento de informação em agosto, que expôs 1,5 GB de dados sensíveis de cerca de 76 mil vítimas do app.
Hoje, a eficiência dos antivírus em detecção de stalkerware também subiu e fica na média acima dos 80%. Antes de 2019, essa taxa ficava abaixo dos 50%, mostrou Galperin em apresentação no Mind The Sec.
Galperin ainda acrescenta que stalkers podem usar, além dos programas maliciosos, dispositivos físicos. Um exemplo é o localizador da Apple AirTag, que emite dados de localização em tempo real ao um iPhone, iPad, MacBook ou iMac sincronizado.
Para quem tem um smartphone da Apple, a proximidade de um novo AirTag envia um alerta. Os donos de Android não recebem esse aviso de forma automática. Sobra de alerta apenas um alarme sonoro se o dispositivo passar três dias longe do aparelho sincronizado.
"E se a pessoa espionada viver com o espião? Se elas se verem a cada três dias", questiona Galperin.
Depois de repercussão na imprensa e pressão da sociedade civil, a Apple desenvolveu o app para Android Tracker Detect, que localiza Air Trackers. O recurso não é automático, como nos aparelhos da Apple.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.