Ao longo de boa parte do dia desta quarta, 31, o Portal UOL estampou como manchete a notícia de que as operadoras de telecomunicações Vivo, Claro e TIM "sabiam de ataques de software espião, mas não avisaram". A matéria se refere ao uso da rede das teles para atividades ilegais de monitoramento que teriam sido praticadas pela Abin, supostamente com conhecimento das operadoras de telecomunicações.
Mas história não é essa, conforme já tratou TELETIME nesta reportagem de outubro de 2023. Existia sim uma vulnerabilidade em um dos sistemas utilizados pelas operadoras, para viabilização do roaming de usuários, mas entre a existência desta falha e uma suposta conivência das empresas com os crimes praticados por servidores da Abin, ou mesmo o cometimento de uma prática irregular, há uma grande distância.
Quando o jornal O Globo noticiou pela primeira vez, em março de 2023, que teria havido um monitoramento indevido por meio da rede das teles, os times técnicos das empresas passaram um pente fino em suas redes para entender onde poderia estar o problema. Desconfiou-se de aplicativos maliciosos, de vazamento de informações e do uso de alguma vulnerabilidade, como essa que de fato estava sendo explorada na Sinalização 7 (SS7, para sinalização de roaming). Esta vulnerabilidade do SS7, contudo, já era conhecida entre fornecedores e engenharias das operadoras de telecomunicações e talvez as operadoras já estivessem tomando providências para corrigir o problema. O fato é que foram tomadas medidas para impedir esses acessos indevidos, como o uso de firewall devido.
Resta saber se esta vulnerabilidade estava sendo explorada com a participaçãao de uma operadora de telecomunicações de outro país (que fazia as requisições de sinalização de roaming para os números monitorados), ou por meio de acessos indevidos à base de dados de algum dos fornecedores.
Fato é que boa parte das redes de telecomunicações, sobretudo as sinalizações de roaming, é baseada em sistemas e protocolos antigos, que existe muito antes da Internet e do atual ambiente de guerra (e arapongagem) cibernética em que vivemos hoje. Ao longo de décadas, esses protocolos foram utilizados pelas operadoras de telecomunicações para assegurar a interoperabilidade entre os usuários de diferentes empresas e, a partir dos anos 90, do roaming internacional em redes de telefonia móvel.
Empresas fabricantes de sistemas de espionagem, sabendo destas vulnerabilidades, exploraram a fragilidade das redes legadas. Isso não quer dizer que não haja riscos e nem necessidade de aprimoramento dos processos, tecnologias e da própria regulamentação. Mas não se pode jogar nas costas do sistema de telecomunicações a responsabilidade pelo uso criminoso de um aparato estatal de inteligência, muito menos a atividade de empresas fornecedoras de sistemas de segurança.
Um dos aspectos da reportagem do UOL destacava que as operadoras deveriam ter informado a Anatel, o que não foi feito. Pode até ser que formalmente as operadoras devessem ter aberto algum tipo de processo de notificação, mas isso não quer dizer que a agência estivesse alheia aos problemas nem conivência das teles ou da Anatel com os crimes em curso. Aliás, diariamente as operadoras de telecomunicações têm dezenas de interações com os órgãos policiais e de Justiça para tratar de casos de escutas legais e monitoramento telemático, por exemplo. Isso está previsto na Constituição e é uma prática corriqueira, só que tratada com muita discrição por razões óbvias.
Nesse caso específico da Abin, tanto as operadoras quanto a Anatel, como todo o Brasil, ficaram sabendo da espionagem praticada pela inteligência paralela instalada em órgãos de Estado apenas por meio da imprensa e do vazamento das investigações da Política Federal. O fato de a Anatel ter instaurado processos administrativos não quer dizer que alguém cometeu nenhuma irregularidade. Quer dizer apenas que existe um processo formal aberto para apurar um episódio e se dar a chance de defesa e, sobretudo, corrigir problemas e processos para evitar casos futuros.
A Anatel se manifestou sobre o episódio, dando uma versão mais detalhada. Diz a agência:
"A Agência Nacional de Telecomunicações (Anatel), informa ter instaurado três processos administrativos a partir dos fatos noticiados pela imprensa em 14 de março de 2023, quanto ao possível monitoramento de cidadãos por meio de software espião, nas redes de empresas de telefonia móvel. Tais procedimentos priorizaram, no início, esclarecer se houve conhecimento e colaboração das prestadoras para com a Agência Brasileira de Inteligência – Abin, e apurar sobre eventuais falhas que pudessem permitir tais acessos indevidos.
As prestadoras informaram não terem conhecimento prévio ou comunicação com a Abin em relação aos fatos noticiados. Também informaram terem implementado soluções de bloqueio quanto a possíveis acessos indevidos por meio dos protocolos de interconexão internacional. Além disso, informaram terem realizado testes para confirmar a suficiência da solução.
A Anatel apura se as prestadoras perceberam eventuais tentativas de acesso indevido as informações à época em que ocorreram, e se deveriam ter notificado a Agência, ou se somente tomaram ciência posteriormente, pelas notícias de imprensa.
A adoção de soluções de segurança não necessariamente se dá por reação a incidentes ocorridos, mas também pode decorrer de medida preventiva e gestão de riscos, que é obrigação decorrente da regulamentação setorial.
As prestadoras têm prestado informações à Agência sobre o tema e foi acordada nova rodada de testes sobre a suficiência das soluções de boqueio implementadas.
A Agência informa ter requerido informações à Polícia Federal que possam contribuir para a continuidade das apurações. Eventual constatação de indícios de descumprimento de obrigações ensejam a abertura de processos sancionadores, que respeitam o devido processo legal de defesa e contraditório."