Sob o ponto de vista do Google, esta medida será um facilitador para suas ações de marketing online, responsável por sua maior fonte de renda, facilitando o intercâmbio de dados coletados em qualquer de um dos seus serviços que passarão a ser compartilhados sem qualquer discriminação ou filtragem com os demais.

Estudo da ONG YouGov for Big Brother Watch (que monitora a transparência das empresas e defende a privacidade dos usuários) apontou que apenas 12% dos usuários britânicos do Google se deram ao trabalho de ler o novo documento. Outros 47% afirmaram desconhecer as mudanças que estão sendo feitas. É recomendável que as pessoas leiam a íntegra e tenham conhecimento da nova política de privacidade do Google.

De fato, o Google não está mudando de postura agora. Sempre foi assim. Tudo que ele fazia continuará sendo feito. A mudança está na unificação das regras que sempre existiram. Entretanto, sob o ponto de vista do usuário haverá um maior risco quanto à possibilidade do cruzamento de dados inseridos por este e daí revelar um perfil extremamente detalhado contendo as preferências e interesses dos seus usuários.

Além disso, é bom ter em mente que não se trata apenas de um contrato de adesão, mas de uma política de privacidade que não comporta qualquer transigência a favor do usuário, a não ser deixar de usar os serviços do Google. Causa estranheza também o fato de que a coleta de dados pessoais não identificados poderão ser agregados e compartilhados com outros parceiros tais como agências de marketing digital, editores, dentre outros. Com isso será possível repassar informações relativas ao histórico de pesquisa, preferências sexuais, interesses pessoais, assuntos relativos à saúde e outras informações relativas à esfera de privacidade dos usuários, desde que os mesmos tenham espontaneamente cedido tais dados para o Google por meio de seus serviços.

A vigência desta política entra em vigor em nosso país no momento em que a legislação brasileira ainda encontra-se pouco detalhada sobre os limites da coleta, tratamento e compartilhamento de dados pessoais na internet. O único dispositivo que zela pela privacidade dos dados restringe-se ao artigo 5° inciso 10 da Constituição Federal. Vinte e quatro anos depois, convivemos em um cenário onde os dados pessoais são indiscutivelmente uma mina de ouro a favor das empresas que dominam a infraestrutura da internet. O Estado brasileiro é refém deste particular, porque ainda não foi capaz de aprovar uma lei que controla o exercício dessa atividade.

O prenúncio de mudança neste cenário poderá vir ainda em um futuro remoto com a aprovação do Marco Civil da Internet, embora a meu ver, a atual redação seja extremamente protetiva ao interesse das empresas que dominam a infraestrutura da internet em detrimento das garantias dos direitos de privacidade do cidadão. Até que este cenário seja efetivamente modificado com a vigência de uma lei que de fato possa limitar as atividades dessas empresas e proteger o cidadão quanto a eventuais abusos, conviveremos com o slogan do tipo “você pode confiar no Google” ou “não seja mal” embora saibamos que a efetividade deste discurso não transmita uma total relação de confiança.

No meu ponto de vista, a iniciativa do presidente Barack Obama ao criar o projeto de proteção de dados de caráter pessoal na internet – que defenderá uma série de interesses dos usuários, seguindo o modelo da Declaração dos Direitos dos Cidadãos do país – é um despertar importante da sociedade, mas, ainda sim, somente um projeto. É fundamental que as empresas tenham compromisso da transparência quanto à coleta, tratamento e compartilhamento de dados, pois há risco de abusos que nem sempre serão fáceis de serem comprovados.

Afinal de contas, até que ponto o Estado brasileiro vai deixar de exercer sua soberania e exercer um controle sobre as atividades das empresas que nos controlam do mundo digital?

Com a popularização do teletrabalho mediante o uso inúmeros recursos telemáticos ou informáticos como celulares que acessam a internet (smartphones), tablets, computadores e vários serviços de comunicação a distância tais como Skype, Msn, Facebook, Twitter, Gtalk e e-mail; todos os comandos, meios de controle e supervisão de empregados, passam a estar equiparados, para fins de subordinação jurídica, aos meios pessoais e diretos de comando.

Esta mudança impactará diretamente nos critérios de apuração do sobreaviso ou hora cheia, isto é, nas situações em que a relação de emprego comum se realiza totalmente à distância, cujo período o empregado estiver sujeito a controle, comando ou supervisão a partir dos dispositivos móveis de comunicação.

Para adaptar a empresa esta mudança cultural os empregadores devem tomar imediatas medidas para reduzir os riscos de demandas trabalhistas pelo uso descontrolado dos dispositivos móveis de comunicação. Na prática, significa criar uma Política de Segurança da Informação, que é uma norma interna para disciplinar a conduta de empregados, prestadores de serviço e colaboradores quanto ao uso da infraestrutura de tecnologia da informação, que cada vez mais se torna recurso básico e indispensável na relação de emprego. A efetividade jurídica da Política de Segurança da Informação não demanda uma legislação específica, pois se trata de um contrato escrito pactuado entre os envolvidos e qualquer controvérsia será apreciada pelo Judiciário.

Recomendo a seguir algumas orientações básicas que devem ser consideradas na elaboração da Política de Segurança da Informação quanto ao teletrabalho:

1. É de extrema importância que as condições do exercício do teletrabalho esteja circunstanciada na Política de Segurança da Informação da empresa e que esta minuta seja vinculada com o contrato de trabalho. Este pacto deverá ter ciência inequívoca dos envolvidos quanto a sua utilização.

2. Nenhuma regra será efetiva se a empresa deixar de adotar o monitoramento da jornada de trabalho do funcionário à distância. É importante que empregador adote algum mecanismo de controle sistêmico, que seja possível registrar os dias e horários em que o empregado esteve conectado. Dessa forma, o empregador poderá ter o controle e a preservação da prova das atividades que foram exercidas.

3. Este monitoramento deve estar imune a eventuais violações contra a burla de funcionários, com emprego de senhas de acesso, criptografia ou identificação biométrica se possível.

4. É importante que se esclareça que com a vigência desta nova lei, o simples fato do empregado responder um e-mail fora do horário de expediente não configurará hora extra. Para que isto ocorra é necessário que o empregador tenha exigido na demanda enviada por e-mail a realização de uma tarefa fora do horário de trabalho para que esteja configurado hora extra.

5. Se o smartphone e o notebook, por exemplo, forem ferramentas de trabalho do empregado, a empresa deve fornecer todo o equipamento, manutenção e arcar com todos os custos envolvidos, embora deva seu uso ser disciplinado pela Política de Segurança da Informação.

6. A empresa deve mapear de forma clara quais são os dispositivos móveis que são de uso cotidiano de cada profissional, para que seja possível distinguir como cada um deve fazer uso da infraestrutura de tecnologia da informação. Ressalte-se que as pessoas que exercerem cargo de confiança não estão vinculadas as mudanças efetuadas pela Lei 12.551.

7. Capacitar os envolvidos quanto ao uso correto dos recursos dentro e fora do horário de trabalho.

8. É sempre recomendável que a empresa exerça um controle sobre o bloqueio de acessos externos à rede da empresa fora do horário de trabalho.

Caso a empresa não adote imediatamente as medidas sugeridas, o risco quanto as reclamações trabalhistas poderá ser maior, pois prevalecerá o total descontrole quanto a capacidade gerencial de controlar as atividades do teletrabalho.

Na Califórnia, existe uma lei que pune usuários que criam perfis falsos na internet. A lei prevê multa de até US$ 1 mil ou um ano de prisão para pessoas que criarem perfis “fakes” em redes sociais, publicarem comentários em fóruns da internet ou enviarem e-mails se passando por outra pessoa.

E no Brasil, criar um perfil falso é considerado um ilícito? A legislação brasileira sobre esta matéria não é tão detalhista e contextualizada quanto a norte-americana, o que não significa dizer que exista impunidade para tais atos. O perfil exibicionista do brasileiro vem causando diversos problemas jurídicos em decorrência de sua presença online, sobretudo nas redes sociais. A incidência dos perfis falsos de brasileiros tem aumentado e por este motivo tem sido recorrente o uso não autorizado de imagens de terceiros, ataques à reputação na mídia digital, expondo as pessoas ao ridículo, e, por estes motivos, em alguns casos, sendo punidos pela legislação brasileira.

O Twitter, Facebook e Orkut têm sido alvo de inúmeros perfis falsos tanto de pessoas famosas, mas também de pessoas comuns, usuários dessas redes sociais que tem perfis falsos criados para servir de alvo contra a sua honra. Tendo em vista futuros projetos para aferir mais confiabilidade do perfil das pessoas que trafegam pelas redes sociais, Facebook e Google iniciaram uma campanha no exterior para apagar alguns perfis de aparência falsa devido a transformação deste ambiente numa futura lucrativa plataforma de comércio eletrônico. No Entanto, a realidade enfrentada no Brasil é de amplo descontrole dos provedores quanto a criação de perfis falsos.

Para enfrentamento dos perfis falsos de acordo com legislação brasileira é preciso identificar algumas situações:

1. Inexiste na legislação brasileira tipo penal que defina que a criação de perfil falso na internet seja punível. Este ato em si viola as regra dos Termos de Serviço do site de relacionamento, que obriga o criador do perfil zelar pela integridade dos dados cadastrais. A punição será apreciada e aplicada pelo provedor que poderá culminar com a retirada do perfil.

2. Apurar se a pessoa que criar o perfil falso com o intuito do anonimato adota uma imagem da vítima para atribuí-la ao seu perfil falso. Se a pessoa que teve sua foto utilizada indevidamente neste perfil falso, descobrir este fato e julgar que houve danos a sua imagem terá legitimidade e meios para comprovar o alegado e obter uma indenização judicial.

3. Se internauta cria um perfil falso, incorpora a personalidade de outras pessoas e manifesta em nome de outrem, inserindo declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar, criar obrigação ou alterar a verdade sobre fato juridicamente relevante pode estar configurado crime de falsidade ideológica.

4. O resultado dos ataques à honra de terceiros gerados por criadores de perfis falsos na internet que buscam o anonimato tecnológico para caluniar, difamar e injuriar será punido nos termos previstos no Código Penal. Este ilícito poderá ter repercussão na esfera cível ante a comprovação do dano causado à reputação da vítima sendo passível de indenização de danos morais.

5. Outra hipótese relativa ao resultado da ação criminosa relativa a este tema, se refere ao furto de dados relativos a identidade de terceiros, muitas vezes conceituado equivocadamente como roubo de identidade por alguns sites de tecnologia. Segundo a legislação penal brasileira, o termo correto nestes casos é furto e não roubo, pois a diferença que o legislador brasileiro atribuiu entre ambos versa sobre a incidência de grave ameaça ou violência a pessoa. Nos casos envolvendo dados, em regra o que ocorre é furto pelo vazamento de informações e nem sempre uso de violência para tal ato que se caracterizaria como roubo.

Este ilícito se caracteriza em duas etapas. Primeiro, alguém tem acesso aos dados da vítima, sem que haja qualquer abordagem direta ou indireta com a vítima para alcançar o resultado. Em segundo lugar, o criminoso utiliza estas informações para se fazer passar pela vítima e cometer fraudes e outros ilícitos em nome desta. O furto de identidade online é um grave problema que está avançando em grandes proporções nos últimos anos, sobretudo em decorrência do aumento de serviços prestados pelo meio eletrônico.

Os criminosos vêm sofisticando suas estratégias de engenharia social por meio eletrônico, ou seja, um meio intelectual e fraudulento, para mascarar a realidade e enganar conquistando a confiança da vítima detentora de dados, sejam senhas ou outras informações importantes os quais são o alvo do golpe. Este ilícito pode ser usado por qualquer meio de comunicação e já existe há décadas. Em se tratando do ambiente eletrônico é utilizado a partir de e-mails, sites falsos, acessos não autorizados, para que os criminosos se passem por organizações ou pessoas de credibilidade para utilizarem de dados da identidade de terceiros para praticarem ilícitos.

O resultado deste golpe quando ocorre a interatividade entre o criminoso e a vítima vem sendo punido pela prática de estelionato estabelecida no conhecido artigo 171 do Código Penal. O Projeto de lei de Crimes Cibernéticos (84/1999) prevê o acréscimo uma conduta ilícita ainda mais abrangente e específica para as práticas comuns no ambiente eletrônico.

Atualmente, o ato de enviar spam ou phishing, isto é envio de mensagens não solicitadas, caracterizadas por fraudes tentativas de vantagem indevida para acesso de senhas, fotos e músicas e outros dados pessoais, em que o criminoso se faz passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, por email, mensagem instantânea, SMS, e outros meios de comunicação, não é punível pela legislação brasileira.

Entretanto, o projeto de lei de Crimes Cibernéticos pretende definir como ilícito a conduta de divulgação não autorizada de vírus, mensagens, outros meios de comunicação ou sistema informatizado, que vise o favorecimento econômico do agente ou de terceiros em detrimento de outrem, aprovando o estelionato eletrônico. Está previsto ainda o agravante nos casos em que o agente se valer de nome falso ou da utilização da identidade de terceiros para a prática de estelionato, cuja pena será aumentada.

O furto de identidade online é uma prática abominável que demandará a criação de novos hábitos de monitoramento contínuo dos dados pessoais e da reputação na mídia digital.  Veja a seguir dicas para efetivar um plano de blindagem digital quanto a estes ilícitos:

- Armazenar dados importantes ou pessoais preferencialmente em sistemas especializados em gerenciamento de senhas como 1password, Norton Indentity Safe, ou pelo menos em arquivos ou diretórios com acesso mediante palavras chaves.

- Busque informações e aprenda como identificar visualmente mensagens eletrônicas ou sites que estejam associados com o spam e phishing.

- Apenas efetue transações financeiras online em sites seguros cujo endereço da página (URL) comecem por https, ou que estejam autenticados por empresas de segurança de informação confiáveis.

- Mantenha instalado e atualizado um firewall, antivírus e antispyware para monitorar eventuais inserções de códigos maliciosos.

- Monitore si próprio diariamente pelas ferramentas de busca. Aprenda a usar o Google Alerts. Esta pode ser uma ferramenta inicial e gratuita, que irá ajudá-lo a acessar em tempo real novas inserções relacionadas ao seu nome auxiliando-o a detectar incidentes envolvendo os seus dados pessoais.

- Caso o fato se relacionar com as hipóteses acima mencionadas procure um advogado para que possa agir em curto espaço de tempo para enfrentar o ilícito antes que os danos estejam fora de controle.

Nem sempre a tipificação da conduta ilícita norte-americana para punir os criadores de perfis falsos na internet é idêntica a adotada pela legislação brasileira. Entretanto, a punibilidade em nosso país para esta prática já existe e transforma num campo minado a conduta daqueles que ainda acham que a internet é uma zona sem lei e que a tecnologia favorece ao anonimato.

Numa rápida pesquisa no Google, é possível encontrar empresas que anunciam a venda de informações confidenciais de diversos bancos de dados do Brasil, como os dos Detrans (Departamentos Estaduais de Trânsito) e de empresas privadas como seguradoras de veículos e operadoras de telefonia. Na região central de São Paulo é possível comprar por R$ 250 cadastro com lista telefônica e do INSS.

Segundo levantamento da Symantec realizado em 2008, as informações de cartões de créditos são as mais comercializadas pelos criminosos virtuais. A venda online de dados confidenciais movimentou US$ 276 milhões no respectivo ano.

O rastreamento para identificação de infratores não é uma tarefa simples, mas e possível de acontecer.

A legislação brasileira poderá punir quem comercializa ou quem compra dados confidenciais pela prática de estelionato ou furto qualificado de dados. Quem compra poderá incorrer também em falsidade ideológica caso faça adulteração em documento, público ou particular, com o fito de obter vantagem, para si ou para outrem, ou mesmo para prejudicar terceiro.

E recomendável que as empresas redobrem suas atenções para a segurança dos dados armazenados, não só investindo em sistemas de proteção, monitoramento e auditoria de acessos. É importante também a implantação de uma política de segurança da informação entre colaboradores, funcionários, prestadores de serviços e o público em geral para criar regras claras e punir infratores que possam vazar a informação.

Para enfrentar estes incidentes, não bastará ao cidadão ter controle sobre a divulgação excessiva de dados pessoais pelo meio eletrônico, caso as entidades que hospedam esta informação não tomarem medidas que possam assegurar o monitoramento dos dados armazenados e a punição para os infratores.

Mesmo diante da escassa informação técnica já divulgada pelos responsáveis dos sites atacados detalhando o alcance do dano causado, ao que parece, a natureza dos ataques visava, em regra, os seguintes objetivos: A pichação virtual “website defacement”, caracterizada pela quebra da proteção de segurança dos sites para efetivar uma mudança visual da aparência do site, com a troca de imagens e registro da marca do hacker que efetuou o ataque; a invasão da rede interna das entidades, via acesso não autorizado e consequente tentativa de furto de informações sigilosas; disparo de inúmeros acessos simultâneos originados de vários computadores, denominados zumbis, situados em localidades diversas, para sobrecarregar o sistema até derrubá-lo. Tais procedimentos são também conhecido por ataques de negação de serviços do tipo DDoS – Distributed Denial of Service ou DoS – Denial of Service.

É um equívoco imaginar que estes foram os primeiros ataques disparados contra estes sites. As iniciativas de proteção e enfrentamento aos incidentes de segurança da informação são medidas estratégicas de defesa imprescindíveis para qualquer entidade que se viu envolvida nestes atos. Porém, os recentes ataques, mesmo sendo considerados por alguns experts como sendo de limitado potencial danoso, evidenciaram novamente que os sites governamentais, ao contrário do que ocorre no setor bancário, ainda prescindem de investimentos de segurança da informação, para reduzir a vulnerabilidade, sobretudo quanto aos ataques de negação de serviços.

O combate a estes incidentes deverá ocorrer com o somatório da investigação de perícia forense para identificação dos indícios que poderão conduzir a identificação de autoria, que, caso seja alcançada, redundará em possíveis medidas judiciais a serem adotadas contra os hackers.

No meu ponto de vista, o maior desafio a ser enfrentado será a identificação de autoria. Embora seja uma tarefa difícil, mas não devemos considerar como impossível. É certo que em se tratando de ataques com o uso de diversos computadores, o exame deverá realizado pelos registros eletrônicos.

Estes poderão desvendar a origem geográfica dos ataques, que inclusive poderá ter sido simulada pelo uso de alguns recursos tecnológicos, além das mensagens publicadas sobre os ataques nas contas dos hackers no Twitter.

Embora este serviço não tenha sede no Brasil, o que o torna, a princípio, inalcançável por uma ordem judicial brasileira para fornecimento de dados cadastrais dos seus usuários, pode ser que venha a cooperar com as autoridades investigadoras brasileiras, conforme está previsto em seu termo de serviço. Certamente a investigação ora comandada pela Policia Federal e por alguns órgãos militares deverá contar com a colaboração de outros países.

Se a investigação identificar que um hacker seja domiciliado no exterior, teremos poucas chances de punição pela lei brasileira, pois inexiste tratados de extradição para estes crimes. Entretanto, se o mesmo for domiciliado no Brasil as chances de punição serão maiores.

Uma vez identificada a autoria quais seriam as punições cabíveis contra os hackers?

A análise do fato nos remete a avaliação que algumas condutas ainda prescindem de definição como crime pela legislação brasileira, enquanto que outras já poderão ser punidas.

As condutas que ainda não se tornaram crime na legislação brasileira estão previstas no PL 84/99, tramitando há 12 anos no Congresso Nacional. Não há estimativa de prazo para sanção deste projeto de lei devido a impasses políticos, sobretudo de manifestações de alguns grupos que defendem que o PL ainda não estaria maduro para ser votado, ou mesmo que o correto seria aguardar a tramitação do Projeto de Lei denominado Marco Civil da Internet ,que sequer ainda foi remetido para o Congresso Nacional.

As condutas ilícitas previstas no PL 84/99 que poderiam punir os hackers seriam: acesso não autorizado a sistema informatizado; obtenção, transferência ou fornecimento não autorizado de dado ou informação; divulgação ou utilização indevida de informações e dados pessoais; inserção ou difusão de código malicioso; Interrupção ou perturbação de serviço informático; falsificação de dados eletrônicos públicos ou particulares; estelionato eletrônico; dano a dado eletrônico alheio e atentado contra serviços de utilidade pública.

Entretanto, outras condutas já poderiam ser imputadas contra os infratores, com base no artigo 265 do Código Penal, que pune aquele que atentar contra a segurança ou serviço de utilidade pública. O crime prevê pena de reclusão de 1 a 5 anos e multa.

Se desta invasão tiver ocasionado danos a infraestrutura do site ou da rede interna dos sistemas, poderá incidir o crime de dano previsto no artigo 163 do Código Penal, cuja punição será de 1 a 6 meses e multa. Se constatada a vulnerabilidade da reputação das instituições envolvidas no ataque, poderá ainda ocorrer a incidência de reparação de danos materiais e morais.

Caso estas invasões tenham possibilitado o acesso dos hackers a dados sigilosos, este resultado poderá concorrer para que estes venham a obter vantagens ilícitas a partir destas informações. Nestes casos poderão estar sujeitos a diversas penalidades, tais como: divulgação de segredo, preceituado no artigo 153 do Código Penal, cuja pena é de detenção de um a seis meses, ou multa; extorsão, artigo 158, pena de reclusão de quatro a dez anos e multa; estelionato, artigo 171, com reclusão de um a cinco anos e multa.

As lições que se depreendem desta onda de ataques cibernéticos, é que os sites governamentais estão mais vulneráveis que os bancos para enfrentar estes incidentes e demandam maior investimento em segurança da informação. A identificação de autoria pode ser difícil, mas não é impossível. A aplicação da lei brasileira só será possível se os hackers identificados tiverem domicílios no Brasil. A legislação brasileira pode punir algumas condutas que poderão acontecer em decorrência do resultado dos ataques e não o ato propriamente dito.

Mesmo que admitamos que os hackers tenham atacados os sites governamentais com objetivo de expor as vulnerabilidades dos sistemas de proteção de dados e não para furtar dados sigilosos, ou danos de maiores, é inegável que estes concorreram, ainda que de forma imotivada, para pautar a necessidade do Congresso Nacional de desatar o nó político que se criou nos últimos tempos para finalizar a tramitação do projeto de lei de crimes cibernéticos.

É certo que o Poder Legislativo Brasileiro tem uma tradição de acelerar os trâmites dos Projetos de Lei a partir de alguns escândalos midiáticos, mas a meu ver, nada justifica mais uma vez, o retardamento da tramitação do Projeto de Lei de Crimes Cibernéticos, em detrimento da aprovação do Marco Civil da Internet cuja remessa ao Congresso sequer ainda ocorreu.

Não discuto a inegável importância do Marco Civil cujo debate está focado na necessária proteção de dados do cidadão brasileiro, mas se analisarmos o regimento interno do Congresso Nacional, concluiremos que a versão atual do Projeto de Lei de Crimes Cibernéticos, teve recentemente sua redação alterada para a supressão de alguns artigos devido a um acordo político e adequação da linguagem tecnológica.

Entretanto, é importante frisar que não será possível nova modificação do texto do PL 84/99 para inserção de novas condutas ilícitas ou alteração da dosimetria das penas já preceituadas.

A insegurança jurídica que o cidadão brasileiro convive com as fraudes eletrônicas demanda que a tramitação do PL 84/99 prossiga após a realização nova audiência pública designada para o mês de julho, para votação em Plenário no mês de agosto e posterior sanção presencial.

Até quando os estratosféricos prejuízos de 900 milhões de reais, originado pelas fraudes eletrônicas divulgados pela FEBRABAN e as humilhações destes atentados e pichações virtuais não serão suficientes para que possamos ter uma lei que possa punir estes ilícitos?

Em segurança da informação, denomina-se “Engenharia Social” as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora-se as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.

Segundo informado pelo site Computerworld, no mês passado, o laboratório de ferramentas analíticas e de computação, Oak Ridge descobriu que um malware sofisticado de roubo de dados havia se infiltrado em suas redes. A invasão teve origem em um e-mail de phishing enviado para cerca de 600 funcionários. A mensagem foi “disfarçada” para parecer um comunicado sobre mudanças de benefícios do departamento de recursos humanos. Quando alguns empregados clicaram em um link anexado no e-mail, o malware foi baixado para seus computadores. Esses tipos de e-mails tem sido o método preferido para invadir redes corporativas. Os e-mails de phishing são personalizados, localizados e desenvolvidos de maneira a parecer como se tivessem se originado de uma fonte confiável.

Para se ter uma noção da gravidade desse problema, um relatório semestral de segurança na internet realizado pela Microsoft e divulgado esta semana, encontrou evidências de um aumento de 1.200% nos ataques de phishing em 2010. De acordo com o estudo da Microsoft, estes ataques representavam, um ano antes, menos de 10% de todas as fraudes cometidas por meio de sites de relacionamento. No fim de 2010, esta proporção aumentou para 85%. Recente pesquisa da ESET, empresa européia de segurança digital, apontou que o Brasil lidera o número de tentativas de roubo de dados bancários pela Internet na América Latina. No Brasil, a grande maioria dos ataques de phishing é projetada para o roubo de credenciais bancárias.

A prevenção destes ataques deverá demandar inicialmente desconfiança do conteúdo divulgado e posterior checagem de fontes dos fatos narrados por meio de outros ambientes que não seja exclusivamente o digital. É necessário que as informações divulgadas a cerca do perfil em sites de relacionamentos sejam restritas ao foco dos temas ali tratados, ou seja, o usuário deve definir qual postura ele quer adotar naquela rede social: pessoal ou profissional.

No Brasil, a criação e propagação de phishing ainda não é tipificada como crime na legislação. O projeto de lei de Crimes Cibernéticos (PL 84/1999) que tramita há 12 anos no Senado propõe tipificar esta prática como um crime de estelionato eletrônico. O PL prevê em seu Art. 6° punição com multa e prisão de até quatro anos quem difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado. No entanto, temos que ressaltar que o phishing pode ser utilizado como um meio para praticar outros ilícitos que já estão tipificados no Código Penal, tal como crime de dano, falsidade ideológica dentre outros.

O retorno das operações está previsto para o dia 4 de maio, pois a Sony está reconstruindo a rede PSN, que será liberada junto com uma atualização de firmware para o PS3, deixando os consoles compatíveis. Segundo informa o site INFO, a base de dados da PSN irá mudar, deslocando servidores e equipamentos para uma nova área. Este é um dos motivos da demora para a normalização do serviço.

Enquanto isto, no blog oficial do PlayStation, a Sony publicou uma lista com perguntas e respostas para os usuários e, ainda, informa que uma empresa especializada em segurança está auxiliando na investigação do problema.

Estima-se que este incidente tenha sido o de maiores proporções relativo ao vazamento de dados de cartões de crédito de usuários em rede. Aproximadamente 77 milhões de pessoas foram afetadas e estão correndo risco de serem vítimas de fraudes eletrônicas.

Segundo Larry Ponemon, fundador e presidente do Ponemon Institute (especializada em proteger informações armazenadas em redes de computadores), o roubo poderia custar mais de 1,5 bilhão de dólares à Sony, o equivalente a uma média de 20 dólares para cada um dos 77 milhões de usuários cujos dados podem ter sido comprometidos.

É provável que os prejuízos não se limitem a queda das ações da Sony, mas também afete a crediblidade da sua reputação no concorrido mercado de jogos online, bem como os danos à sua marca. De acordo com reportagem da revista Forbes, o prejuízo da Sony com o vazamento desses dados poderia ultrapassar os 24 bilhões de dólares.

Há suspeitas quanto a um eventual relacionamento com outro fato ocorrido recentemente. Em princípio de abril, o site de fãs de videogame PlayStation Lifestyle informou que um grupo que se denomina Anonymous havia conduzido ataques contra páginas e serviços online da Sony, como vingança contra os esforços da empresa para reprimir os hackers.

“Escolher um taco de beisebol para um ninho de vespas, nunca seria uma estratégia recomendável e a estratégia da Sony para defender sua propriedade intelectual foi desajeitada e provocou uma “opção nuclear”, disse Phil Lieberman, especialista em segurança na computação.

Segundo o site Techno News, o ataque à rede online de jogos da Sony foi do tipo Denial of Service, ou seja, de negação de serviço (também conhecido como DoS). É uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Os alvos típicos são servidores web e visam tornar as páginas hospedadas indisponíveis na internet.

Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga de acessos. Os ataques de negação de serviço são feitos geralmente de duas formas:

1. Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.

2. Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.

Conforme já noticiado pelo site IDGNow, os usuários da Playstation Network já começaram a reportar fraudes em cartão de crédito com compras, saques não autorizados e cobranças fraudulentas. Na Califórnia, o site especializado em games “IGN” já está processando a Sony por conta da invasão de hackers à rede de games online.

No Brasil a situação se difere, pois a Sony não dispõe de acesso ao serviço dentro do território nacional. Este controle é identificado a partir do número IP da máquina que tenta o acesso. A empresa barra o cadastramento de usuários brasileiros detectando o IP de origem daquela máquina que tenta se cadastrar. O que significa que usuários que tentam acessar o serviço no Brasil, a princípio poderiam estar salvos quanto a qualquer risco relacionado a violação de seus dados em decorrência desta restrição que a própria Sony exerce.

Em contrapartida, os brasileiros que possuem cartão de crédito internacional ou algum registro de endereço nos Estados Unidos, que poderiam, assim, driblar a restrição cadastral e efetivar o registro no PSN, correriam algum risco em relação à violação dos dados do seu cartão de crédito.

Para os que fazem parte desse grupo, a recomendação é de monitorar as transações que são registradas no seu cartão de crédito. Diante de qualquer circunstância em que se caracterize alguma irregularidade, entrar imediatamente em contato com a central do seu cartão de crédito, comunicando-lhe que possui cadastro na PlayStation Network e que está vulnerável a eventuais fraudes.

Isto não significa que os usuários terão direito de reivindicar reparação de danos na Justiça Brasileira. Segundo o Termo de Serviço da Rede PSN, o sistema não está disponível no Brasil e qualquer declaração de um usuário que acessa a partir do território nacional pode gerar, inclusive, a hipótese de falsidade dos dados cadastrais, ocasionando ilegitimidade para propor uma ação indenizatória.

Portanto, ao brasileiro que acessa a Rede Playstation Network ou Qriocity, a partir do território nacional, utilizando um IP originário neste país, que tenha burlado o seu cadastro ao colocar informações falsas acerca de si próprio, com violação das condições previstas no Terno de Serviço, para ter acesso aos serviços da Sony, não é recomendável que busque reparação de danos com suporte na legislação brasileira, devido à restrição do acesso a este serviço em nosso país.

Com a crescente utilização das mídias sociais pelas empresas, muitas se vêem diante de um problema: como estabelecer limites e monitorar conteúdos que trafegam na rede corporativa?

O que prevalece até então tem sido o bloqueio de sites tais como Twitter, Linkedin, YouTube, Facebook e Orkut. Porém esta medida por si só, não isenta a empresa de se preocupar em manter uma estratégia contínua de blindagem digital da sua marca, reputação e de todo o patrimônio digital, que poderão vazar por meio de pendrives, acessos remotos ou não autorizados, smartphones ou mesmo o emprego por métodos de burla dos filtros de conteúdo por parte de terceiros.

O que efetivamente pode gerar resultados minimizando o risco de incidentes é o somatório do emprego de ferramentas tecnológicas adequadas que possam monitorar o conteúdo e os acessos da rede, somado a uma estratégia da elaboração de uma política de segurança da informação que demanda revisão periódica, para fixar limites do uso da infraestrutura de TI, concomitante com um plano de conscientização dos envolvidos sobre os riscos em compartilhar dados corporativos e de caráter confidencial nas redes sociais.

Uma boa prática recomendada seria adotar uma semana anual de prevenção de incidentes de tecnologia da informação nas empresas, a exemplo do que já acontece com a semana de prevenção dos acidentes de trabalho, de modo a conscientizar, fomentar o debate sobre o tema, em busca de uma reflexão se as regras de utilização da infraestrutura de TI está em sintonia com os sistemas adotados.

O que diferencia as empresas em relação aos prováveis incidentes que serão gerados a partir das redes sociais será o poder de reação para reduzir o impacto do dano causado, isto demanda o monitoramento constante com as ferramentas adequadas, a conscientização dos empregados, a preservação das provas e a tomada das medidas jurídicas cabíveis de forma célere para evitar a disseminação de conteúdos ilícitos.