Em seu escritório, em um dos andares superiores da sede do comitê organizador dos Jogos Olímpicos de Paris, Franz Regul não tem dúvidas do que está por vir.
“Seremos atacados”, disse Regul, que lidera a equipe responsável por barrar ameaças cibernéticas contra os Jogos Olímpicos de Verão do hemisfério norte deste ano em Paris.
Empresas e governos em todo o mundo têm agora equipes como as de Regul, que operam em “salas espartanas” equipadas com bancos de servidores, telas e com luzes indicadoras que alertam sobre um ataque hacker. No centro de operações de Paris, existe até um sinal vermelho para alertar o pessoal sobre o perigo mais grave.
Até agora, disse Regul, não houve perturbações graves. Mas à medida que os meses até às Olimpíadas se reduzem a semanas e depois a dias e horas, ele sabe que o número de tentativas de pirataria informática e o nível de risco aumentarão exponencialmente. Ao contrário das empresas e dos governos, que planeiam a possibilidade de um ataque, Regul disse que sabia exatamente quando esperar o pior.
“Não são muitas as organizações que podem te dizer que serão atacadas em julho e agosto”, disse ele.
As preocupações com a segurança em grandes eventos como as Olimpíadas geralmente se concentram em ameaças físicas, como ataques terroristas. Mas à medida que a tecnologia desempenha um papel crescente na implementação dos Jogos, os organizadores olímpicos encaram cada vez mais os ataques cibernéticos como um perigo mais constante.
As ameaças são múltiplas. Especialistas dizem que grupos de hackers e países como Rússia, China, Coreia do Norte e Irão têm agora operações sofisticadas capazes de desativar não apenas redes informáticas e Wi-Fi, mas também sistemas de bilhetes digitais, scanners de credenciais e até sistemas de cronometragem de eventos.
Histórico de Ataques
Os temores sobre ataques de hackers não são apenas hipotéticos. Nos Jogos Olímpicos de Inverno de Pyeongchang 2018, na Coreia do Sul, um ataque bem-sucedido quase atrapalhou os Jogos antes que pudessem começar.
O ataque cibernético começou em uma noite fria, quando os fãs chegaram para a cerimônia de abertura. Os sinais de que algo estava errado surgiram de repente. A rede Wi-Fi, ferramenta essencial para transmissão de fotografias e cobertura de notícias, caiu repentinamente. Simultaneamente, o aplicativo oficial das Olimpíadas para smartphone – aquele que continha os ingressos dos torcedores e informações essenciais sobre transporte – parou de funcionar, impedindo a entrada de alguns torcedores no estádio. Os drones de transmissão foram aterrados e as televisões conectadas à Internet destinadas a mostrar imagens da cerimônia em todos os locais ficaram em branco.
Mas a cerimônia prosseguiu e os Jogos também. Dezenas de responsáveis pela segurança cibernética trabalharam durante a noite para repelir o ataque e corrigir as falhas, e na manhã seguinte havia poucos sinais de que uma catástrofe tivesse sido evitada quando os primeiros eventos começaram.
Desde então, a ameaça às Olimpíadas só cresceu. A equipe de segurança cibernética dos últimos Jogos de Verão do hemisfério norte, em Tóquio, em 2021, relatou que enfrentou 450 milhões de tentativas de “eventos de segurança”. Paris espera enfrentar de 8 a 12 vezes esse número, disse Regul.
Talvez para demonstrar a escala da ameaça, os responsáveis pela segurança cibernética de Paris 2024 utilizam livremente a terminologia militar. Descrevem “jogos de guerra” destinados a testar especialistas e sistemas, e referem-se ao feedback de “veteranos da Coreia” que foi integrado nas suas defesas em evolução.
Especialistas dizem que vários fatores e ações estão por trás da maioria dos ataques cibernéticos, incluindo criminosos que tentam reter dados em troca de um resgate lucrativo e pessoas que protestam e querem destacar uma causa específica. Mas a maioria dos especialistas concorda que apenas os Estados/Nação têm a capacidade de realizar os maiores ataques.
O ataque de 2018 em Pyeongchang foi inicialmente atribuído à Coreia do Norte, vizinho antagónico da Coreia do Sul. Mas especialistas, incluindo agências dos EUA e da Grã-Bretanha, concluíram mais tarde que o verdadeiro culpado – agora amplamente aceite como sendo a Rússia – utilizou deliberadamente técnicas concebidas para atribuir a culpa a outra pessoa.
Este ano, a Rússia é mais uma vez o maior foco.
A seleção russa foi excluída dos Jogos Olímpicos após a invasão da Ucrânia em 2022, embora um pequeno grupo de russos individuais possa competir como atletas neutros. A relação da França com a Rússia azedou tanto que o Presidente Emmanuel Macron acusou recentemente Moscovo de tentar minar os Jogos Olímpicos através de uma campanha de desinformação.
O C.O.I. (Comité Olímpico Internacional) também apontou o dedo às tentativas de grupos russos de prejudicar os Jogos. Em novembro, o C.O.I. emitiu uma declaração incomum dizendo que foi alvo de “postagens de notícias falsas” difamatórias depois que um documentário apresentando uma narração gerada por IA, supostamente do ator Tom Cruise, apareceu no YouTube.
Mais tarde, uma postagem separada no Telegram imitou uma notícia falsa transmitida pela rede francesa Canal Plus e transmitiu informações falsas de que o C.O.I. estava planejando excluir equipes israelenses e palestinas das Olimpíadas de Paris.
No início deste ano, russos tentando pregar uma peça – fazendo-se passar por um alto funcionário africano – conseguiram chegar a Thomas Bach, presidente do C.O.I., por telefone. A ligação foi gravada e divulgada no início deste mês. A Rússia aproveitou os comentários de Bach para acusar as autoridades olímpicas de se envolverem numa “conspiração” para manter a sua equipa fora dos Jogos.
Em 2019, segundo a Microsoft, hackers russos atacaram as redes informáticas de pelo menos 16 organizações desportivas e antidoping nacionais e internacionais, incluindo a Agência Mundial de Anti-Doping, que na altura estava preparada para anunciar punições contra a Rússia relacionadas com o seu estado- programa de doping apoiado.
Três anos antes, a Rússia tinha como alvo as autoridades antidoping nos Jogos Olímpicos de Verão do Rio de Janeiro. De acordo com as acusações de vários oficiais da inteligência militar russa apresentadas pelo Departamento de Justiça dos Estados Unidos, os agentes nesse incidente falsificaram redes Wi-Fi de hotéis usadas por autoridades antidoping no Brasil para penetrar com sucesso nas redes de e-mail e bancos de dados de sua organização.
Ciaran Martin, que foi o primeiro chefe-executivo do centro nacional de segurança cibernética da Grã-Bretanha, disse que o comportamento passado da Rússia a tornou “a ameaça perturbadora mais óbvia” nos Jogos de Paris. Ele disse que as áreas que podem ser visadas incluem programação de eventos, transmissões públicas e sistemas de bilheteria.
“Perturbação em Massa”
“Imagine se todos os atletas chegassem na hora certa, mas o sistema de varredura dos iPhones no portão falhasse”, disse Martin, que hoje é professor da Escola de Governo Blavatnik da Universidade de Oxford.
“Você segue em frente com o estádio meio vazio ou atrasamos?” ele adicionou. “Mesmo se ser colocado naquela posição onde você tem que adiar ou ter atletas de classe mundial no maior evento de suas vidas se apresentando em frente a um estádio meio vazio – isso é absolutamente um fracasso.”
Regul, chefe da segurança cibernética de Paris, recusou-se a especular sobre qualquer nação específica que possa ter como alvo os Jogos deste verão. Mas ele disse que os organizadores estavam se preparando para combater métodos específicos de países que representam uma “forte ameaça cibernética”.
Este ano, os organizadores de Paris têm conduzido o que chamaram de “jogos de guerra” em conjunto com o C.O.I. e parceiros como a Atos, parceira tecnológica oficial dos Jogos, para se prepararem para ataques. Nesses exercícios, os chamados “hackers éticos” são contratados para atacar os sistemas existentes para os Jogos, e “recompensas por bugs” são oferecidas àqueles que descobrem vulnerabilidades.
Anteriormente, os hackers atacaram organizações esportivas com e-mails maliciosos, personas fictícias, senhas roubadas e malware. Desde o ano passado, os novos contratados do comitê organizador de Paris passaram por treinamento para detectar golpes de phishing.
“Nem todo mundo é bom”, disse Regul.
Em pelo menos um caso, um membro da equipe dos Jogos pagou uma fatura em uma conta após receber um e-mail se passando por outro oficial do comitê. Membros da equipe de segurança cibernética também descobriram uma conta de e-mail que tentava se passar pela conta atribuída ao chefe do Paris 2024, Tony Estanguet.
Mais milhões de tentativas estão chegando. Os ataques cibernéticos têm sido tipicamente “armas de irritação em massa, em vez de armas de destruição em massa”, disse Martin, o ex-oficial britânico de segurança cibernética.
“Na pior das hipóteses”, disse ele, “eles têm sido armas de perturbação em massa”.
Fonte: The New York Times
