O sistema de monitoramento usado pela Abin, o FirstMile, desenvolvido pela empresa israelense Cognyte, consegue fazer o rastreamento dos usuários cujos números são inseridos no sistema por dentro da rede da operadora, e não por app com acesso à localização, explica Pedro Amaral, pesquisador do Instituto de Direito e Tecnologia do Recife (IP.Rec). A denúncia feita pelo jornal O Globo mostra que a Agência Brasileira de Inteligência (Abin) adquiriu o sistema no final do governo Temer e, com Bolsonaro, iniciou o monitoramento de alvos utilizando o rastreamento.
Fontes da Anatel ouvidas por este noticiário dizem que a agência ainda está tentando entender os detalhes do problema apontado pela matéria, mas reconhecem que se houver alguma vulnerabilidade da rede que exponha a localização dos usuários, isso deverá ser endereçado no contexto do GT Ciber, criado para acompanhar questões relacionadas à defesa cibernética das redes. "Pensando nos moldes analógicos, essa ferramenta cria um grampo nas redes de telecomunicações", disse Pedro Amaral, sobre o funcionamento do sistema israelense.
Amaral não soube afirmar se a tecnologia também tem acesso a dados da Anatel, mas não acharia isso algo impossível, até porque os dados de localização e licenciamento das torres são públicos. "Nós do IP.Rec fizemos um estudo sobre as ferramentas de monitoramento da mesma fornecedora, a Cognyte, e vimos que eles atuam dessa forma. E diversos órgãos brasileiros adquiriram essa tecnologia", afirmou o pesquisador do IP.Rec.
Uma fonte da Abin confirmou que quando a empresa apresentou para o órgão a ferramenta, revelou que ela opera dessa maneira, por meio de elementos internos da rede. "Eles explicaram que ela funciona por meio da triangulação das torres de telecomunicações. Tanto é que quando você está com o celular em um lugar com várias torres, a localização sempre é mais precisa, porque você não sai do raio de alcance da infraestrutura. Agora, quando você está em um lugar com poucas torres, a localização fica um pouco mais imprecisa, até mesmo inexistente, em alguns casos", disse a fonte. Essa informação normalmente é oferecida pelos operadores de redes móveis a determinadas aplicações por meio de APIs (intefaces de rede), mas elas, em teoria, não deveriam devolver dados individualizados de qualquer usuário (apenas daqueles que consentissem), não permitem a localização de um cliente específico apenas pelo número e só são abertas mediante assinatura de termo de utilização entre as operadoras e os desenvolvedores de aplicações. De acordo com a reportagem do O Globo, o que o sistema FirstMile faz é localizar qualquer usuário (até 12 mil simultâneos) bastando inserir no sistema um número, sem nenhuma ordem judicial ou contato direto com a operadora.
"Não sei explicar ao certo como eles conseguem acesso a essa rede das operadoras. Mas é algo que preocupa, porque podemos ter a qualquer momento nossa geolocalização monitorada por meio das redes das teles, inclusive com histórico, sem sabermos", prosseguiu a fonte.
Ela também reforçou que é uma forma diferente de monitoramento, porque não é preciso instalar algum aplicativo no celular. "Agora, o que é monitorado é o aparelho. Isso significa que os dados que o contratante da empresa israelense recebe é a movimentação do aparelho. E pelo que me lembro, o único dado acesso é o da geolocalização", explicou a fonte.
Paulo Rená, pesquisador do Instituto de Referência em Internet e Sociedade (IRIS) e doutorando em Direito, Estado e Constituição na Universidade de Brasília, lembra que os gastos do governo federal em aquisição de ferramentas de monitoramento, o que ele chama de "hacking governamental", subiu de R$ 6 milhões em 2015 para R$ 75 milhões em 2021, segundo os dados públicos.
"Atualmente, não temos regras para essas práticas. Temos regras para constituição de provas analógicas, como o grampo, por exemplo. No estudo que participei pela organização IRIS, observamos que todos os 27 estados da federação contratam algum tipo de serviço de monitoramento. Existem hoje funcionando no Brasil aproximadamente 20 soluções", disse o pesquisador.
"O estudo sobre hacking governamental que fizemos pelo IRIS mostra um cenário assustador. No Brasil, não tem regulamentação sobre o tema", diz. Teletime contatou a Conexis Brasil Digital, entidade que reúne as grandes operadoras de telecomunicações do Brasil para se pronunciar sobre o assunto, mas até o fechamento dessa edição a entidade não deu um posicionamento. A Anatel confirmou oficialmente apenas que fará uma investigação para saber mais detalhes sobre o caso. (Colaborou Samuel Possebon)