"RAMSOMWARE. TIPOLOGIA DO CRIME ORGANIZADO CIBERNÉTICO.

Honoráveis Ouvintes! Sejam muito bem-vindos a mais um episódio do Hextramuros! Sou Washington Clark dos Santos, seu anfitrião! No conteúdo de hoje, vamos abordar um dos temas mais complexos e alarmantes da era digital: o "ransomware", uma modalidade de crime cibernético na qual há o sequestro de dados e a exigência de resgates, que tem se tornado uma poderosa ferramenta para grupos criminosos em escala global! Para nos ajudar a entender melhor como este crime é estruturado, recebemos Tiago Misael de Jesus Martins, autor do artigo "Ransomware: Tipologia do Crime Organizado Cibernético", publicado na coletânea intitulada "Ransomware 360°", organizada pelos ilustres Guilherme Gueiros e Emerson Wendt. Nosso convidado é um estudioso do tema e traz uma abordagem detalhada sobre como essas operações funcionam, os desafios para as investigações e as estratégias de combate a essas redes criminosas. Dr.Tiago, na alegria por recebê-lo neste canal, com gratidão, o saúdo por aceitares ao convite! Seja muito bem-vindo! Inicialmente, peço que se apresente e, nos lecionando sobre o conceito de ransomware, conte-nos sobre a inspiração para a produção deste artigo e quais características desse tipo de crime fazem com que ele se pareça com outras modalidades praticadas por organizações criminosas e em que aspectos ele se diferencia?

Gostaria de dizer que é um prazer estar, finalmente, conseguindo lhe atender nesse podcast, que conhecia muito antes de entrarmos em contato para gravarmos essa participação, relacionada a esse pequeno artigo que escrevi e dizer que é um prazer! Eu já lhe conhecia e espero corresponder ao alto nível dos debates tratados aqui nesse podcast! Eu me chamo Thiago Misael. Sou Procurador da República do Ministério Público Federal, aqui na Paraíba. Eu trabalho com investigações financeiras. Sou Investigador Financeiro, certificado pela Association of Certified Money Laundry Specialists. Também, sou investigador de criptoativos, certificado pela Chainalysis e pela TRM. Sou instrutor de investigações sobre crimes cibernéticos e provas eletrônicas, certificado pelo “Projeto GLACY-e”, do Conselho da Europa. No Ministério Público Federal, eu desempenho as atividades relacionadas normalmente à recuperação de ativos e combate a crimes cibernéticos. Inclusive, faço parte de um grupo de atuação especial, criado, já, há muitos anos, mas aprimorado em suas funções no final do ano passado, que é o Grupo de Atuação Especial de Combate aos Crimes Cibernéticos. A gente presta auxílio aos procuradores do Brasil inteiro. Fora isso, eu, assim como você, procuro manter um diálogo aberto através de um blog! Posto ali pequenas pílulas de discussões jurídicas relacionadas principalmente à investigação financeira. O nome do blog é: investigaçãofinanceira.com.br! Inquietações que constam lá, em grande parte, quando são persistentes, terminam levando com que aprofundo para pesquisa e publique algum artigo ou livro. Não foi diferente aqui no caso do ransomware! Não só da vivência em relação à investigação de casos dessa natureza, mas algumas discussões jurídicas, que me parecem, precisam ser bem colocadas. Você me pergunta quais as características desse tipo de crime e parece até contraintuitivo dizer que, no meu ponto de vista, o ransomware é só uma embalagem tecnológica para um velho crime, conhecido como extorsão! Uma das características mais tradicionais do crime organizado é justamente o mercado da extorsão! Isso existe dentro das várias organizações criminosas que nós conhecemos hoje no Brasil. Desde as organizações voltadas para o tráfico de droga, as organizações de modelo miliciano, todas elas têm a característica da extorsão como uma de suas atividades principais e tão características do fenômeno do crime organizado! Com o ransomware não é diferente! Ele só tem uma embalagem tecnológica, mas ele é uma nova forma de se exigir uma vantagem indevida!

Em termos de organização criminosa, como você avalia a estrutura e a hierarquia das organizações criminosas que atuam com o ransomware? Existem paralelos claros com grupos do crime organizado físico, como facções ou cartéis?

Essa pergunta é excelente, Clark! Porque ela permite que a gente discuta os elementos do crime organizado e como eles se adaptam aos crimes cibernéticos, especialmente o ransomware. O crime organizado é um fenômeno social que é estudado há mais de 100 anos. Esse fenômeno tem várias compreensões, várias teorias sobre ele. A compreensão da qual eu faço parte, da qual eu me filio, é aquela que identifica o crime organizado como uma atividade empresarial, uma atividade comercial, uma atividade desempenhada com o intuito de lucro semelhante à atividade empresarial! A única diferença entre o empresário e o criminoso organizado é que o empresário fornece bens ou serviços lícitos e o criminoso organizado fornece bens ou serviços ilícitos. Essa compreensão veio de um autor americano chamado Dwight C. Smith e ele divide, para compreender o crime organizado, em alguns elementos que são típicos do fenômeno: o fato da atividade ser racionalmente planejada; ser uma atividade voltada para a provisão de bens ou serviços ilícitos - dessa característica que a gente fala sobre os mercados criminais, tais como tráfico de drogas, extorsão, disponibilização de pessoas para contrabando ou tráfico e o crime cibernético, entre outros – e, a terceira característica, é que essa atividade é assegurada pelo emprego de violência física ou psicológica ou pela corrupção de funcionários públicos! Os criminosos organizados, tal como empresários, eles organizam a força de trabalho. E essa força de trabalho criminosa, ela pode ser organizada de várias formas: ou em estruturas verticalizadas, como os tradicionais modelos de crime organizado, como a máfia italiana, as facções brasileiras. Elas são todas hierarquizadas! No entanto, com o surgimento da globalização econômica, que as pessoas começaram a transitar com mais facilidade entre os países e, sobretudo, depois, com o aumento da possibilidade de comunicação através da internet, surgiu uma forma de se organizar muito mais fluida do que esse vínculo vertical entre criminosos, que é a organização em rede. E essas organizações criminosas em rede são aquelas mais tradicionais quando se trata de crime organizado cibernético. Os criminosos organizados que se voltam à prática de crimes cibernéticos, eles normalmente estão organizados em rede. Essas redes são fluídas, elas têm uma liderança opaca, de modo que nem todos sabem quem são os líderes da empreitada e trabalham apenas em pequenas partes da empreitada criminosa. Essa característica é muito presente no crime cibernético e é usada essa distinção para falar-se até em “crime cibernético organizado”, como se fosse uma coisa diferente! No nosso ponto de vista, aqui, ele parece ser, exatamente, uma forma diferente de organização da força de trabalho criminosa.

Quais são os principais desafios enfrentados pelas autoridades ao investigar e desmantelar redes de ransomware que operam de forma transnacional, considerando as diferentes jurisdições e legislações?

As dificuldades de se investigar crimes cibernéticos são muito peculiares, no sentido de que nós temos algumas dificuldades que não existem na investigação de outros tipos de crime. Por exemplo: a fluidez dos dados digitais que são importantes para provar determinados fatos relacionados às invasões de ransomware, nós temos a possibilidade de que esses dados se percam! Quando se fala de ataques que já aconteceram há determinado tempo, nós mandamos os pedidos de cooperação internacional para outras jurisdições, as jurisdições respondem dizendo que não tem mais os dados, que as legislações nacionais não obrigam que eles mantenham esses dados por muito tempo e a cooperação chegou tarde demais! A investigação começou tarde demais! Então, isso faz com que existe sempre a necessidade de se fazer investigações muito próximas do fato e contar com a sorte de que a jurisdição para onde nós mandamos as ordens, que elas tenham esses dados. A existência ou não desses dados é um dos desafios investigativos! A outra coisa é que, em decorrência de diversas tecnologias, por exemplo: como as VPNs, os browsers anônimos - como o TOR -, nós tenhamos dificuldade até de saber onde esses dados são localizados! Às vezes não sabemos nem em que país esses dados estão custodiados e, aí, nós não podemos direcionar corretamente os pedidos de cooperação. Esse é um dos motivos. Um dos desafios investigativos também! Nenhum desses desafios, é incontornável! Com os dados que transitam por várias jurisdições, muitas vezes você não sabe onde é que um dado está em uma jurisdição, mas se ele transitou por outra, a gente pode pedir os registros daqueles dados que transitaram por uma jurisdição cooperativa, digamos assim. A outra coisa, outra dificuldade investigativa muito comum, é a diferença de leis nacionais. Nossa própria lei nacional, ela não se amolda completamente ao standart internacional existente hoje, que é a Convenção de Budapeste! Existem projetos de lei no Congresso Nacional, que pretendem ajustar a nossa legislação à Convenção de Budapeste, com um motivo muito simples, de que quanto mais países tenham legislação harmônica com a Convenção do Budapeste, mais difícil será que algum crime passe impune em determinada jurisdição! É muito importante todos falarem a mesma língua de crimes, para que a punição seja possível e homogênea em todos os países, para que não existam paraísos cibernéticos, paraísos para criminosos cibernéticos. Esse é um dos motivos e aí fica também o desejo que nós temos de que essa legislação brasileira seja aprovada e finalmente adapte e faça a colmatação das pequenas omissões que ainda existem na nossa legislação em relação ao standard internacional, que é a Convenção de Budapeste. Outro desafio investigativo é fazer funcionar a contento, tendo em consideração, em mente, que os dados telemáticos que provam crimes cibernéticos são muito voláteis, muitas vezes os mecanismos de cooperação internacional que nós temos, eles não são eficazes para a garantia desses dados. Por exemplo: alguns países eles mantêm dados telemáticos armazenados por seis meses. Seis meses não é um tempo razoável para o trâmite de um pedido de cooperação jurídica internacional direta, o “Mlat”. Normalmente esses pedidos duram muito mais tempo e significa que se nós quisermos os dados de outro país e ele só guardar por seis meses, o caminho da cooperação jurídica via “Mlat” é muito complicado, muito difícil e muito fácil de que não dê em nada! E existe também o quinto desafio investigativo - que acredito importante - é o desenvolvimento de uma relação amigável entre os órgãos públicos de investigação e as empresas privadas. Esses dados telemáticos que provam crimes cibernéticos, eles estão normalmente em posse de empresas privadas! E essa relação, tanto a empresa ter um canal por onde as ordens judiciais possam ser encaminhadas, por canais de law enforcement, quanto o atendimento dessas ordens judiciais de forma célere, rápida e completa, parece uma necessidade premente dessas investigações de crimes cibernéticos e o desenvolvimento dessa relação de confiança entre os órgãos públicos e as empresas privadas é um dos desafios a serem construídos nessa seara de investigação de crimes cibernéticos.

Com o avanço das tecnologias de criptografia e blockchain, de que forma esses elementos têm impactado o rastreamento e a responsabilização de grupos organizados que utilizam ransomware?

Me parece que são duas situações que têm impacto diferente! Primeiro, a tecnologia relacionada à criptografia: de acordo com, até a decisão do Supremo Tribunal Federal que está encaminhada, já com o voto dos dois ministros relatores - Ministra Rosa Weber e Ministro Edson Fachin -, me parece que o Supremo vai caminhar no sentido de declarar que as empresas não precisam criar vulnerabilidades nas suas estruturas criptográficas para atender ordens judiciais, atender a ordens de investigação. Isso acontece porque, no meu ponto de vista, a criptografia é um direito das pessoas! É um direito, hoje, com a proteção de dados! Hoje, com, até a liberdade de expressão em países que são autoritários em relação a determinados pontos de vista, como a gente viu, por exemplo, na Primavera Árabe, o quanto ferramentas de comunicação criptográfica de ponta a ponta, elas foram usadas para organizar as manifestações. Hoje, muito da higidez das comunicações passa pela garantia de uma criptografia forte! Isso se aplica aos mensageiros eletrônicos, como WhatsApp, Telegram, Signal, que adotam a tecnologia de criptografia de ponto a ponto. Então, me parece que, se valendo dessa tecnologia, muitos criminosos que exploram os vários tipos de crimes cibernéticos, se valem dessas tecnologias para, por exemplo, no caso do ransomware, entrar em contato com a vítima para exigir o resgate. Eles fazem isso através de canais criptografados e de disponibilização da chave de descriptografia dos dados. Alguns dados, enquanto criptografados com tecnologias e algoritmos comprovadamente seguros, impedem o acesso a esses dados, por outro lado, também não se vê como se possa exigir que toda empresa que emprega essa tecnologia mantenha um backdoor para as autoridades públicas! Existem momentos em que o trânsito dos dados não são criptografados, e aí é que nós podemos investir as atividades de investigação. Com relação à tecnologia do “blockchain”, ela é presente bastante nas investigações de ramsomware porque, na quase totalidade das vezes, o pedido de resgate, o ransom, ele é exigido através de criptoativos! Os criminosos indicam uma carteira em alguma blockchain de criptoativos, seja Bitcoin, Ethereum, ou Solana, Monero, enfim, desses criptoativos, e exige que o pagamento seja feito dessa forma. Isso é importante porque, ao contrário do que se pensa, as transações com criptoativos não são irrastreáveis! Você tem algum esforço investigativo no sentido de atribuir autoria àquele endereço de criptoativos, mas, as transações são todas públicas, justamente, através de um livro-razão público chamado Blockchain. São duas situações que fazem parte do cotidiano das investigações sobre ransomware, mas elas demandam respostas investigativas diferentes. Se, por um lado, a criptografia, do meu ponto de vista, deve ser protegida, por causa dos benefícios que ela traz, muito maiores do que os malefícios, por outro lado, a tecnologia de blockchain não é exatamente empecilho para investigação, uma vez que as transações são rastreáveis publicamente na maior parte das blockchains existentes.

Como aprimorar as estratégias de cooperação internacional no combate a organizações criminosas de ransomware? E de que maneira as agências de segurança pública podem superar as barreiras de colaboração internamente e entre países?

É um prazer poder falar sobre esse tema porque um dos mais caros no meu ponto de vista, que não é, só, estudar o fenômeno, mas, é também, apresentar soluções ou visões de quem trabalha com o fenômeno para aprimoramento dessa atividade de investigação e persecução estatal! Internamente, o que a gente observa é a necessidade de treinamento, seja de policiais, de procuradores, promotores, de juízes, nos conceitos básicos de investigação de crimes cibernéticos. A gente tem, também, a compreensão de que é difícil de se fazer esse treinamento em massa! Em face a essas dificuldades, a solução que me parece mais plausível e mais factível é aquela que investe na criação de órgãos especializados de investigação de crimes cibernéticos nas polícias e nos ministérios públicos. Essas delegacias, elas permitem a maior especialização de policiais, nesses casos! Então, parece que é uma boa iniciativa! Fora isso, esses órgãos especializados, que também foram criados no Ministério Público! No Ministério Público, nós temos os cybergaecos em diversos ministérios públicos estaduais e, agora, com a criação desse grupo de atuação especial do qual faço parte no Ministério Público Federal, também existe essa tentativa de especialização no tratamento desses crimes de alta complexidade, nacionalmente importantes. Esse movimento de organização, tanto das polícias quanto dos ministérios públicos, acontece também em conjunto com uma aproximação do setor privado. Porque, como eu disse, essas empresas privadas é que possuem os dados telemáticos necessários à investigação cibernética. Foi por demanda de órgãos estatais que várias empresas, vários prestadores de aplicação no Brasil criaram portais de law enforcement, quer dizer, portais que recebem ordens judiciais, por onde são respondidas as ordens judiciais, - isso agiliza, demais, os pedidos de quebra! - Essa aproximação e desenvolvimento de uma relação de confiança de que os provedores de aplicação atenderão as ordens no tempo necessário para permitir uma efetiva investigação, é uma das rotinas que precisa ser mais bem azeitada em relação à investigação desses crimes. Com relação à cooperação internacional, nós temos aqueles problemas que anteriormente eu disse, a perda do dado, a perda da localização. São problemas que existem, que só vão ser contornados quando nós tivermos canais ágeis de cooperação internacional! Esses canais ágeis, eles não passam pelos canais que nós temos hoje no Brasil! Então, a cooperação por via diplomática é insuficiente para garantir a agilidade necessária para investigação desses crimes! Os casos de cooperação direta, de auxílio direto entre países, também, é muito burocrático, - os Acordos de Mlat - então, hoje existem duas soluções pensadas pelos países para enfrentar essa situação. A primeira, é a criação de mecanismos mais ágeis de cooperação. Isso consta já do segundo protocolo adicional à Convenção de Budapeste. Ele já foi aprovado, está em processo de adesão. É importante que o Brasil considere o aprimoramento dessas ferramentas e adira o Segundo Protocolo da Convenção de Budapeste. Isso permitirá, por exemplo, que autoridades brasileiras solicitem diretamente a provedores situados em outros países os dados, sem passar necessariamente por um longo processo de cooperação, atualmente existente! Esse é um dos modelos. O outro modelo é se aprimorar as possibilidades - e se entender, divulgar, falar sobre ela - se aprimorar as possibilidades de cooperação policial. Atualmente existem as formas de cooperação via Interpol, ou então via Rede 24 por 7, também, prevista na Convenção de Budapeste. Então, são formas de cooperação policial que, embora não sirva em todos os casos necessários em que se precisa trazer a prova para o Brasil, mas se conhecer o dado no exterior, sobretudo, para fins de inteligência e de direcionamento posterior das ordens de cooperação, são ferramentas fundamentais!

Como as novas tecnologias de cibersegurança como inteligência artificial e machine learning podem ser aplicadas no combate à criminalidade organizada no contexto do ransomware, tanto na prevenção quanto na investigação dos ataques?

É muito bom falar sobre esse assunto porque nós temos a oportunidade de acalmar alguns corações! As pessoas acham que com a inteligência artificial e as várias formas de machine learning, que elas vão favorecer enormemente os criminosos e que isso tornará o Estado incapaz de reagir. Esse cenário catastrófico não é verdade, embora a gente já tenha ouvido notícias de que criminosos tenham se valido de ferramentas de inteligência artificial para criar códigos que permitem invasão de sistemas! Na verdade, esses códigos poderiam ser criados, provavelmente, através de trabalho laborioso de hackers. O que se permitiu foi que isso se tornasse passível de ser manejado por muito mais criminosos! Do nosso ponto de vista, aqui dos órgãos de persecução, nós temos muito mais a ganhar com essas ferramentas de inteligência artificial do que a criminalidade! Nós achamos que essas ferramentas podem ser empregadas para auxiliar investigadores em um ponto muito crítico da investigação, que é análise dos dados! Nós sabemos que o maior gargalo da investigação, seja ela cibernética, seja ela financeira, seja ela de qualquer outra natureza que produza uma grande quantidade de informações, é sentar para analisar esses dados e daí extrair informação. Essas ferramentas de inteligência artificial servem para auxiliar nesse processo de análise! Já está em curso um processo em que essas ferramentas auxiliam os investigadores a analisar esses dados telemáticos, sobretudo em crimes cibernéticos, e possibilitar e agilizar os pedidos de quebra, de cooperação, enfim! Para mim, temos muito mais a ganhar com essas ferramentas do que a perder!

Doutor Thiago, caminhando para o final de nossa conversa, o parabenizo pelo artigo e jornada profissional, reprisando meus agradecimentos pela sua valiosa colaboração! Deixo este espaço para suas considerações finais. Grande abraço!

Eu agradeço a sua paciência de ter esperado para que o momento mais oportuno surgisse! Espero ter correspondido e mantido o nível do seu programa, que já acompanhava e continuarei acompanhando. Nesse momento final, eu também queria só deixar uma observação de que, no meu ponto de vista, os ataques de ransomware, eles são uma embalagem tecnológica do velho crime de extorsão! E quando se faz o ataque, se invade o sistema, se encripta os dados e se exige o resgate, se esse resgate for pago, ele normalmente é exigido por meio de criptoativos! E, no momento em que falei sobre a tecnologia de blockchain, disse que esses ativos, ao contrário do que muita gente pensa, eles podem ser rastreados. E ao rastrear ativos, o Estado não está fazendo nada muito diferente do que aquela velha máxima da investigação financeira, que é: “siga o dinheiro!” Digo isso para, também, tentar deixar uma mensagem de não-assombro! Às vezes esses crimes cibernéticos parecem muito longe da nossa compreensão, da compreensão do homem comum! O investigador que está lá na ponta, ele se sente muito ansioso quando se depara com um crime como esse e, às vezes, você dá essa palavra de calma, de: “olha; tirando essa embalagem tecnológica ela, no fim, é o bom e velho crime de extorsão! E uma das formas de combater o ransomware é justamente empregando a boa e velha tática do “siga o dinheiro” – “follow the money”. A possibilidade de seguir esse dinheiro envolve, é claro, um movimento de todos os Estados, capitaneados pelo GAFI, pelas suas recomendações, as quais o Brasil atendeu plenamente com a lei que regulamentou as prestadoras de serviços de ativos virtuais no Brasil - as Exchanges. Quando um Estado regulamenta esse setor, o sexto mercado financeiro, digamos assim, as possibilidades de rastreio dos criptoativos usados para pagamento do ransom aumentam. E hoje, no Brasil, nós estamos, após a Lei dos Criptoativos, no final de dois mil e vinte e três, nós tivemos um período em que não se definia quem era a autoridade que iria regulamentar a lei! Através de um decreto de junho do ano passado foi decidido que o órgão responsável por essa regulamentação será o Bacen, o Banco Central. E hoje existem muitas consultas públicas em aberto. O Bacen ainda precisa regulamentar diversos aspectos desse mercado de criptoativos. Hoje, a gente acompanha com cuidado essa regulamentação para que ela venha da melhor forma possível, que permita ao Estado empregar ferramentas de rastreio desses criptoativos e aí desincentivando ou identificando os criminosos a partir dos ativos. Isso me parece uma forma até bastante comprovada de desincentivo à atividade como um todo! Todo crime que era cometido e passou a ser facilmente rastreável nos seus produtos e proveitos, saíram em moda! A gente tem vários exemplos sobre isso! Um ataque certeiro a essa tipologia do crime organizado cibernético, que é o ransomware, me parece ser implementar as ferramentas de rastreio dos ativos. É o ponto em que nós estamos aqui no Brasil e espero que em outra oportunidade eu venha aqui falar sobre o sucesso dessa regulamentação e de casos em que criminosos cibernéticos foram presos, processados e julgados por suas condutas. Agradeço demais, Clark, pelo seu convite! Agradeço demais por essa oportunidade! Isso aqui não é trabalho para mim! Isso aqui é diversão! Fico feliz em conversar com alguém que se interessa, com alguém que patrocina esse tipo de conteúdo na internet. Então, para mim foi um prazer! Abraço a todos e até outra oportunidade! Até mais!

Honoráveis Ouvintes! Este foi mais um episódio do Hextramuros! Sou Washington Clark dos Santos, seu anfitrião! No conteúdo de hoje, conversei com o Procurador da República do Ministério Público Federal da Paraíba, Tiago Misael de Jesus Martins, autor do artigo” Ransomware - Tipologia do Crime Organizado Cibernético”. Saiba mais sobre este conteúdo em nosso website! Inscreva-se e compartilhe nosso propósito! Será um prazer ter a sua colaboração! Pela sua audiência, muito obrigado e até a próxima!