O alerta recente do FBI reacendeu um debate importante sobre a segurança efetiva de aplicativos de mensagens como WhatsApp e Signal. Embora ambos utilizem criptografia de ponta a ponta, tecnologia amplamente considerada um padrão elevado de proteção, especialistas apontam que essa camada não garante segurança absoluta.
Para o CEO da Trust Control, Alberto Jorge, o aviso da agência americana reflete uma realidade já conhecida no setor de cibersegurança. “A gente fala de segurança em camadas. Há até uma analogia com uma cebola, em que cada camada dificulta a ação do atacante. A criptografia é uma dessas camadas, mas está longe de ser a única”, explica.
Segundo ele, a principal limitação da criptografia reside em seu alcance. “Se alguém interceptar a mensagem no meio do caminho, ela estará protegida. Mas, se o invasor tiver acesso ao aparelho, essas mensagens podem ser lidas normalmente”, afirma. Ou seja, o chamado “túnel criptografado” protege apenas o trajeto da informação, não o ponto de origem nem o de destino.
Vulnerabilidade potencializada
O FBI destaca que esse tipo de vulnerabilidade é potencializado pelo grande número de dispositivos desatualizados em circulação. Hoje, mais de 1 bilhão de smartphones não recebem atualizações de segurança, tornando-os alvos fáceis para ataques que exploram falhas conhecidas.
De acordo com Alberto Jorge, há três principais caminhos usados por criminosos para acessar mensagens. O primeiro envolve a infecção do próprio aparelho. “Estamos falando de malware, spyware, o famoso vírus. Isso acontece muitas vezes quando a pessoa baixa aplicativos fora das lojas oficiais ou clica em links maliciosos”, alerta. Nesses casos, o invasor passa a ter acesso direto ao conteúdo do dispositivo.
A segunda estratégia está ligada à engenharia social e ao sequestro de contas. “Muita gente usa o WhatsApp também no computador. O problema é que o criminoso pode tentar induzir o usuário a escanear um QR Code ou compartilhar um código de verificação. Com isso, ele consegue acessar a conta remotamente”, explica. Segundo o especialista, isso permite que o atacante leia mensagens em tempo real e até se passe pela vítima.
Já o terceiro ponto crítico diz respeito aos backups. “Eles são importantes, mas muitas vezes não estão protegidos por criptografia adicional. Em caso de comprometimento da conta de armazenamento, esses arquivos podem ser acessados facilmente”, afirma.
Mensagens apagadas em risco
O alerta do FBI também menciona casos em que mensagens apagadas puderam ser recuperadas, não por falha do aplicativo, mas por configurações do sistema operacional. Notificações que exibem trechos das conversas podem acabar armazenadas no dispositivo, criando uma brecha inesperada.
Diante desse cenário, Alberto Jorge reforça que a proteção depende de práticas básicas, frequentemente negligenciadas. “A verificação em duas etapas é essencial. Criar um PIN no WhatsApp já dificulta bastante as tentativas de invasão”, diz. Ele também recomenda manter sistemas e aplicativos sempre atualizados, além de evitar downloads fora das lojas oficiais.
Outras medidas incluem não compartilhar códigos recebidos por SMS e revisar regularmente os dispositivos conectados à conta. “É importante auditar o WhatsApp Web e desconectar sessões que você não reconhece ou não usa mais”, orienta.
Ambiente empresarial
No ambiente corporativo, os cuidados precisam ser ainda mais rigorosos. “O ideal é evitar o uso de dispositivos pessoais em contas empresariais e investir em treinamento contínuo contra phishing”, destaca.
Apesar dos riscos, o especialista reforça que a criptografia de ponta a ponta continua sendo uma ferramenta eficaz, desde que inserida em um contexto mais amplo de segurança. “O problema não está na tecnologia em si, mas na forma como ela é utilizada e no ambiente em que é empregada”, conclui.
O alerta do FBI destaca justamente esse ponto: a vulnerabilidade está menos na criptografia e mais nos dispositivos e no comportamento dos usuários. Atualmente, mais de 1 bilhão de smartphones não recebem atualizações de segurança, tornando-os alvos fáceis para ataques que exploram falhas conhecidas.
Confira entrevista completa:
Alberto Jorge – O alerta do FBI sobre os riscos do WhatsApp é uma realidade técnica indiscutível na área de cybersecurity. A gente fala de segurança em camadas. Existe até uma alusão a uma cebola, em que tenho várias camadas para dificultar a vida do atacante. Então esse é um conceito muito forte. E o fato do WhatsApp, do signo, ser criptografado de ponta a ponta, não quer dizer nenhuma garantia de 100% de que essas mensagens não possam ser lidas. Se alguém interceptar essa mensagem no meio do caminho, aí sim, a criptografia de ponta a ponta vai ser importante para evitar que alguém consiga ver essas mensagens. Mas se alguém tem algum acesso ao próprio aparelho? De alguma forma, essas mensagens podem ser lidas. E aí existem algumas possibilidades de você conseguir esses acessos.DPTT – Como acontece isso? Por que a mensagem é protegida no túnel criptografado, mas não no envio e no recebimento? Como seria essa invasão? Seria no app ou no aparelho? Como se daria? Que mecanismos ou táticas seriam usados para obter acesso ao aparelho ou ao app antes e depois do envio?
A segunda possibilidade é a engenharia social, por meio da clonagem da conta. O que acontece, inclusive com muitos usuários, é que eles não usam apenas o WhatsApp no telefone; acabam usando também no computador. E aí, como é que funciona? Como via QR Code, a gente vai lá no WhatsApp, habilita o QR Code e conecta o nosso aparelho. Ou seja, um tablet, um navegador, etc. E o bandido pode fazer também. Se o telefone estiver desatualizado, se ele conseguir fazer com que você leia esse QR Code, se ele conseguir ler de alguma forma ou se extrair o QR Code, ele pode ter acesso à sua conta de WhatsApp. Então, imagina que o teu WhatsApp Web, no qual você entra no seu computador, pode estar com um bandido, e ele pode estar vendo todas as mensagens que são trafegadas nesse telefone, e inclusive pode mandar mensagens por você, que teve a invasão.
E eu, por último, já comentei que são backups desprotegidos. A gente vê aí, em alguns casos, backups automáticos, que o próprio WhatsApp faz que é importante manter os backups para que você não perca algo importante, mas ao mesmo tempo é importante que você protege esses backups, que aplique criptografia extra, já que a maioria desses provedores que vão estar armazenando o seu backup não têm criptografia, eles vão ter basicamente uma camada de autenticação, que é o seu usuário acenha para que acesse o ambiente lá, vai ter os arquivos. Agora, em caso de comprometimento, os arquivos não estarão criptografados.
AJ – A proteção acontece por meio de controles básicos, vamos chamar assim, que a gente tem que fazer no nosso dia a dia. Número um: para o WhatsApp, é aquela ativação da verificação em duas etapas, de colocar um PIN, isso é básico, tem que ser colocado, cria uma senha de seis dígitos e ela vai ser exigida se alguém registrar o seu telefone, o seu WhatsApp e o telefone, e de tempos em tempos ele pede esse PIN. Também a gente fala da proteção dos backups, ativar criptografia nos backups que são armazenados às vezes no Google Drive ou no iCloud; higiene básica digital, e aí entra todos os conceitos que a gente fala de não clicar em links suspeitos, não baixar aplicativo fora das lojas oficiais, manter o sistema sempre atualizado, tanto o sistema quanto o próprio aplicativo WhatsApp. Essas são algumas sugestões para se proteger. Tem também aquela questão de desconfiar de códigos de SMS, de você não compartilhar esses códigos. Muitas vezes, você recebe ligações ou até golpes tentando fazer você digitar um código via SMS. Muitas vezes, alguém também está tentando ativar o WhatsApp em outro dispositivo. Então, essas são as dicas mais básicas para a proteção.
Aqui vão algumas dicas finais, principalmente para quem é usuário de WhatsApp corporativo. Então, número um, ter um controle mais rigoroso do WhatsApp Web Desktop. A dica é auditar constantemente quais aparelhos estão conectados e desconectar as sessões de computadores que não estão mais em uso. Outra dica importante é isolar os dispositivos corporativos. Evitar que o WhatsApp Business esteja instalado em dispositivos pessoais. Esse é outro caminho importante. Uma sugestão aqui também é o uso da API oficial dos parceiros homologados. O uso da API oficial do WhatsApp traz maior confiabilidade. E mais algumas, como o treinamento constante da equipe contra phishing.
Image by Freepik
