Sistema da Defesa Civil foi usado para emitir falso alerta entre sexta-feira e sábado — Foto: Divulgação/MIDR
GERADO EM: 22/06/2026 - 22:27
O Irineu é a iniciativa do GLOBO para oferecer aplicações de inteligência artificial aos leitores. Toda a produção de conteúdo com o uso do Irineu é supervisionada por jornalistas.
CLIQUE E LEIA AQUI O RESUMO
Investigado pela Polícia Federal (PF),o disparo do alerta falso da Defesa Civil para milhões de aparelhos celulares de sete estados e do Distrito Federal no fim de semana expôs,em escala nacional,fragilidades dos órgãos públicos no campo da cibersegurança. Especialistas afirmam que o caso específico do envio das mensagens sobre “misantropia” — informações preliminares indicam que credenciais da Interface de Divulgação de Alertas Públicos (Idap) foram vazadas — foi possível pela falta de implementação de fatores adicionais de segurança,que vão da dupla verificação das contas à restrição territorial dos alertas,e acompanha um movimento de alta nos registros de ataques hackers a instituições federais. Dados do Gabinete de Segurança Institucional (GSI) mostram que,de janeiro a maio deste ano,o governo contabilizou 45 incidentes cibernéticos por dia envolvendo seus órgãos.
De Terra Roxa ao Impa: ouro em olimpíada de matemática,jovem conquista bolsa integral em prestigiado instituto'Planejava se casar': família de jovem morta lançada sem cordas de rope jump divulga carta e fala em crime 'inaceitável'
Informações preliminares indicam que os disparos,ocorridos entre a noite de sexta-feira e a madrugada de sábado,foram feitos a partir de duas credenciais vazadas de agentes da Defesa Civil do Pará. Com os acessos,foi possível enviar os alertas para capitais brasileiras e até estados inteiros. Professor da FGV Direito Rio e coordenador do Centro de Tecnologia e Sociedade,Luca Belli afirma que o país erra no básico quando o tema é cibersegurança.
— Pelo que foi divulgado,não foi um ataque extremamente sofisticado,com inteligência artificial de última geração. Quem fez o ataque,provavelmente não é de um grupo criminoso,mas um jovem que viu uma falha simples de ser explorada e divulgou uma mensagem de brincadeira — diz Belli. — Se fosse um ataque com motivação político-econômica,a mesma vulnerabilidade poderia ter sido explorada de forma mais maliciosa.
Segundo o pesquisador,pela natureza do serviço prestado pelo Idap,a plataforma deveria ter um nível de cibersegurança avançado. No final de 2024,um relatório do Tribunal de Contas da União (TCU) constatou que os órgãos públicos federais estavam vulneráveis a ataques hackers. Apenas 14 das 229 entidades avaliadas haviam implementado mais de 70% das medidas de segurança recomendadas. Uma das principais falhas era a ausência de treinamento de pessoal para evitar exposição de dados ou engenharia social.
Continuar Lendo
— Estamos diante de falhas básicas — diz o professor,que cita a ausência de sistemas de autenticação em múltiplos fatores em órgãos da administração pública.
Segundo divulgado em junho do ano passado pelo Ministério da Integração e Desenvolvimento Regional,ao menos 180 instituições e 600 usuários entre estados e municípios estavam cadastrados e capacitados para usar o Idap. Cerca de 1.200 agentes operam o sistema em todo o país.
— Por ser um sistema utilizado para urgências,principalmente climática,talvez não sejam necessárias tantas pessoas. Mas a falha é dupla,o acesso amplo sem se implementar o básico de segurança — diz Belli,que vê outra falha na possibilidade de uma credencial do Pará emitir alertas para outros estados. — Tivesse tido uma compartimentalização das funções associadas a cada credencial e o tipo de acesso com base territorial,o impacto teria sido mais limitado.
O advogado Ronaldo Lemos,do Instituto de Tecnologia e Sociedade do Rio de Janeiro,também defende que o caso expôs fragilidades graves da segurança do sistema de alerta. O maior problema não está na quantidade de pessoas que podem acessar o sistema,avalia,mas na falta de fatores de segurança implementados. Entre eles,está a possibilidade do usuário de um estado enviar notificações para outros lugares.
— O desenho é no fio do bigode. É baseado na confiança de que os agentes não mandem para outros estados. Isso não existe — afirma.
Outras medidas que defende é a implementação de um duplo fator de autentificação para todas as contas; a renovação das credenciais a cada três meses; e um duplo grau de supervisão. Ou seja,uma mensagem só seja enviada depois da autorização de um segundo nível hierárquico.
— O certo mesmo é jogar esse sistema fora e criar outro completamente diferente — diz Lemos. — E esse caso do alerta é só um dos incidentes. Vimos nos últimos anos outros igualmente graves.
Belli,da FGV,também vê falhas regulatórias no Brasil que levam ao cenário de fragilidade na segurança cibernética: falta ao país uma agência que seja responsável por fiscalizar a adoção de medidas de cibersegurança nos órgãos públicos,bem como mecanismos para responsabilizar e punir falhas. O pesquisador é membro do Comitê Nacional de Cibersegurança da Presidência da República (CNCiber),que propôs em abril uma Lei Geral de Cibersegurança,com sanções administrativas.
— Não temos uma agência de cibersegurança,mas temos controles definidos pelo GSI e o Ministério da Gestão e Inovação. O que falta nesse momento é a obrigatoriedade e capacidade de sancionar quem descumpre — diz Belli,que defende que a Anatel cumpra a função de autoridade nacional de cibersegurança. — Ela já lida com tema nas telecomunicações há mais de 20 anos e tem uma rede por todos os estados.
O Centro de Prevenção,Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR.Gov),vinculado ao GSI,contabiliza 6.774 incidentes em redes governamentais até o dia 31 de maio,o equivalente a 45 ocorrências por dia. Os números mostram ainda que foram verificadas 14.006 vulnerabilidades neste ano. Desde janeiro,o CTIR.Gov ampliou a capacidade de monitorar possíveis riscos cibernéticos por meio de fontes de informação automatizadas. Com isso,o número de alertas enviados a órgãos públicos também cresceu.
O mapa dos disparos — Foto: Reprodução
Segundo o secretário de Segurança da Informação e Cibernética do GSI,André Luiz Bandeira Molina,o aumento ocorre por dois fatores: maior capacidade de detecção e a chamada fronteira digital do Brasil. Como o governo lançou diversos serviços digitais nos últimos anos,o setor público se tornou alvo natural de cibercriminosos.
— É importante ter esses dados porque sabemos que esses incidentes estão sendo tratados. Quanto mais a gente tem essa visibilidade,melhor. É um trabalho muito importante porque esses números ainda são subnotificados,é o trabalho de ter a maior visibilidade — diz Molina,destacando que,no caso da plataforma Gov.br,o login dispõe de uma série de mecanismos de segurança.
No caso dos incidentes identificados neste ano,a maior parte (48%) são classificados como de engenharia social,quando um criminoso utiliza algum tipo de manipulação para que uma pessoa execute determinadas ações. Um dos exemplos mais comuns é o envio de páginas falsas para que a vítima insira informações sensíveis,como senhas.
Outros 46% foram classificados como “conteúdo abusivo”,que inclui envio ou divulgação de informações não solicitadas,ou informações nocivas ou pessoais. Apenas 2% dos casos são intrusões,isto é,tentativas ou acesso a redes e sistemas no contexto de uma ação maliciosa,como desfiguração de sites ou vazamento de dados.
Não faltam exemplos de impacto no serviço público. Em 2020,o Superior Tribunal de Justiça (STJ) detectou um vírus circulando na rede de informática do tribunal e,como medida de precaução,os links para a rede mundial de computadores foram desconectados,o que implicou no cancelamento das sessões de julgamento. Em 2024,pacientes do Instituto Nacional do Câncer (Inca) tiveram consultas e exames cancelados após o sistema ser invadido. No mesmo ano,outro alvo foi o Sistema Integrado de Administração Financeira (Siafi) — os bandidos conseguiram desviar R$ 15 milhões. No ano seguinte,um ataque hacker à C&M Software,empresa de tecnologia que conectava os sistemas das instituições financeiras aos do Banco Central,conseguiu desviar R$ 800 milhões de oito instituições financeiras.
