Especialistas afirmam que até mesmo o nível de segurança do Signal é considerado insuficiente para conversas de alto nível sobre assuntos de segurança nacional
O aplicativo gratuito de mensagens Signal ganhou destaque no noticiário depois que a Casa Branca confirmou que ele foi usado para um bate-papo secreto em grupo entre altos funcionários dos EUA.
O editor-chefe da revista americana The Atlantic, Jeffrey Goldberg, foi inadvertidamente adicionado ao grupo em que se discutiam planos para um ataque contra o grupo houthi no Iêmen.
Ele contou em uma reportagem ter ficado sabendo, cerca de duas horas antes das primeiras bombas atingirem o país, dos planos confidenciais para o ataque – incluindo detalhes sobre envio de armas, alvos e cronograma.
O episódio causou uma repercussão negativa forte, com o líder democrata no Senado, Chuck Schumer, classificando o ocorrido como “um dos mais impressionantes” vazamentos de inteligência militar da história, e pedindo uma investigação.
Mas, afinal, o que é o Signal – e quão seguras são as trocas de mensagem entre políticos de alto escalão no aplicativo?
O APLICATIVO DE SEGURANÇA
Estima-se que o Signal tenha entre 40 milhões e 70 milhões de usuários mensais – uma base bem reduzida em comparação com os maiores serviços de mensagens, WhatsApp e Messenger, que contam com bilhões de usuários.
No entanto, ele é o líder em segurança.
No centro disso, está a criptografia de ponta a ponta (E2EE).
Em termos simples, isso significa que somente o remetente e o destinatário podem ler as mensagens – nem sequer o próprio Signal pode acessá-las.
Várias outras plataformas também contam com a criptografia E2EE, inclusive o WhatsApp, mas os recursos de segurança do Signal vão além disso.
Por exemplo, o código que faz o aplicativo funcionar é um software de código aberto – o que significa que qualquer pessoa pode verificá-lo para garantir que não haja vulnerabilidades que possam ser exploradas por hackers.
Os proprietários do aplicativo afirmam que ele coleta muito menos informações dos usuários e, em particular, não armazena registros de nomes de usuário, fotos de perfil ou grupos dos quais as pessoas fazem parte.
Também não há necessidade de diluir esses recursos para ganhar mais dinheiro: o Signal é de propriedade da Signal Foundation, uma organização sem fins lucrativos com sede nos EUA, que depende de doações, em vez de receita publicitária.
“O Signal é o padrão ouro em comunicações privadas”, afirmou a presidente do Signal, Meredith Whittaker, em um post no X (antigo Twitter) depois que o “vazamento” das conversas de segurança nacional dos EUA se tornou público.
‘MUITO, MUITO INCOMUM’
Essa “alegação de padrão ouro” é o que torna o Signal atraente para especialistas em segurança cibernética e jornalistas, que usam com frequência o aplicativo.
Mas mesmo esse nível de segurança é considerado insuficiente para conversas de alto nível sobre assuntos de segurança nacional extremamente sensíveis.
Isso acontece porque existe um risco em grande parte inevitável na comunicação por meio de um celular: o dispositivo é tão seguro quanto a pessoa que o utiliza.
Se alguém tiver acesso ao seu telefone com o Signal aberto – ou se descobrir sua senha -, vai poder ver suas mensagens.
E nenhum aplicativo é capaz de impedir que alguém espie por cima do seu ombro, se você estiver usando o telefone em um espaço público.
A especialista em dados Caro Robson, que trabalhou com o governo dos EUA, afirmou que era “muito, muito incomum” que autoridades de segurança de alto escalão se comunicassem em uma plataforma de mensagens como o Signal.
“Normalmente, você usaria um sistema governamental muito seguro, operado e de propriedade do governo, com níveis muito altos de criptografia”, explicou.
De acordo com ela, isso normalmente significaria que os dispositivos seriam mantidos em “locais muito seguros controlados pelo governo”.
O governo dos EUA usa historicamente uma instalação fechada para troca de informações confidenciais (Scif, na sigla em inglês) quando se trata de discutir assuntos de segurança nacional.
Uma Scif é uma área fechada ultrassegura na qual não são permitidos dispositivos eletrônicos pessoais.
“Para ter acesso a este tipo de informação confidencial, você precisa estar em uma sala ou prédio específico, que foi vistoriada repetidamente em busca de grampos ou dispositivos de escuta”, diz Robson.
As Scifs podem ser encontradas em locais que vão desde bases militares até residências de autoridades.
“Todo o sistema é amplamente criptografado e protegido usando os mais altos padrões de criptografia do próprio governo”, ela acrescenta.
“Especialmente quando a área de defesa está envolvida.”
CRIPTOGRAFIA E REGISTROS
Há outra questão relacionada ao Signal que tem gerado preocupação – o desaparecimento de mensagens.
O Signal, assim como muitos outros aplicativos de mensagens, permite que seus usuários configurem mensagens para desaparecer após um determinado período de tempo.
O jornalista Jeffrey Goldberg, da revista The Atlantic, disse que algumas das mensagens do grupo do Signal ao qual ele foi adicionado desapareceram depois de uma semana.
Isso pode violar as leis de manutenção de registros – a menos que os usuários do aplicativo tenham encaminhado suas mensagens para uma conta oficial do governo.
Esta também está longe de ser a primeira polêmica envolvendo a criptografia E2EE.
Vários governos quiseram criar a chamada backdoor, uma porta de acesso para entrar no sistema, para os serviços de troca de mensagens que utilizam a criptografia, para que pudessem ler as mensagens que acreditam que possam representar uma ameaça à segurança nacional.
Aplicativos como o Signal e o WhatsApp já haviam rebatido tentativas de criar esse tipo de backdoor, dizendo que o sistema acabaria sendo usado por pessoas mal-intencionadas.
O Signal ameaçou retirar o aplicativo do Reino Unido em 2023, se fosse comprometido pelos legisladores.
Neste ano, o governo britânico se envolveu em uma polêmica significativa com a Apple, que também usa a criptografia E2EE para proteger determinados arquivos no armazenamento em nuvem.
A Apple acabou retirando totalmente o recurso no Reino Unido, depois que o governo exigiu acesso aos dados protegidos dessa forma pela gigante da tecnologia.
O processo judicial está em andamento.
Mas, como mostra esta controvérsia, nenhum nível de segurança ou proteção legal importa se você simplesmente compartilhar seus dados confidenciais com a pessoa errada.
Ou, como disse um crítico de forma mais contundente: “A criptografia não pode protegê-lo da estupidez”.
Texto publicado originalmente aqui