Qual a importância da segurança de dados em apps de mensagens?

Ainda que seja considerada como garantida, a privacidade em aplicativos de mensagens é um tema que passa por constante revisão por plataformas e governos. Quando exagerada, a plataforma pode acabar como uma ferramenta de comunicação de criminosos, mas quando enfraquecida, gera desconfiança em usuários e estudiosos.

Os dois principais mensageiros ativos no Brasil, WhatsApp e Telegram, abordam a privacidade do usuário de diferentes formas. O aplicativo da Meta é menos restrito, mas promete que suas mensagens são enviadas exclusivamente ao dispositivo do destinatário; o Telegram oferece diferentes níveis de proteção, dependendo do formato das conversas (privadas, secretas ou Canais).

A estratégia do Telegram, ainda que favorável aos usuários, não é perfeita e colocou o aplicativo na mira de autoridades. A discrição quase absoluta do mensageiro em Chats Secretos possibilita que criminosos utilizem a plataforma para se comunicar ou compartilhar conteúdo ilegal, algo reconhecido por governos em diferentes ocasiões, inclusive o brasileiro. Isso também motivou a prisão do CEO da empresa na França em agosto de 2024.

Contudo, a estratégia do WhatsApp também enfrentou obstáculos ao longo do tempo. O aplicativo foi suspenso no Brasil em algumas ocasiões, também por desrespeitar ordens de autoridades e não entregar dados pessoais de usuários. Dado o tamanho significativamente maior da Meta e a importância do mercado brasileiro para a plataforma, a empresa agiu com maior cautela e prontidão para atender às solicitações e restabelecer os serviços na região.

Criptografia de ponta a ponta é imperfeita

Embora popular, a criptografia de ponta a ponta não é uma garantia absoluta de segurança para o conteúdo de mensagens trocadas. Na verdade, esse método impede interceptações indiretas, feitas por servidor, mas criminosos ainda podem obter acesso ao conteúdo de chats ao invadir dispositivos do consumidor final.

Em entrevista para o TecMundo, o Presidente da Associação Nacional dos Profissionais de Privacidade de Dados (APDADOS) e professor da UNIP, Davis Alves, menciona essa lacuna em segurança.

"Uma vulnerabilidade que hackers podem explorar está relacionada ao armazenamento das chaves de criptografia nos dispositivos dos usuários", disse Alves. "Se um hacker realizar um ataque de 'man-in-the-middle", ou comprometer o dispositivo de um dos usuários, ele poderá roubar essas chaves e, com isso, interceptar e ler as mensagens que deveriam ser privadas", continuou.

Além disso, a criptografia não necessariamente protege os metadados do conteúdo — isto é, os dados inerentes à mensagem. Essa fatia guarda informações como horários, dispositivo de origem, remetente e destinatário que, nas mãos de criminosos, podem ser utilizados em táticas de engenharia social.

No papo, ele chama a atenção para as vulnerabilidades da ausência de criptografia. "No caso do Telegram, que não tem criptografia de ponta a ponta por padrão, um hacker pode explorar essa falha para interceptar conversas menos protegidas, especialmente em redes Wi-Fi públicas, realizando um ataque de 'packet sniffing'", explicou.

Contudo, vale lembrar que qualquer proteção é melhor do que nenhuma: há mensageiros populares que não adotam criptografia na troca de mensagens. Exemplo disso era o Facebook Messenger que, até dezembro de 2023, não adotava criptografia de ponta a ponta por padrão em conversas privadas.

O Discord, popular plataforma de comunicação, só adota criptografia para chamadas de voz e vídeo. Portanto, a própria empresa pode conferir os assuntos discutidos.

A sensibilidade de seus dados

No que tange o conteúdo de mensagens trocadas em conversas, a discrição tende a ser uma prioridade na percepção do público, mas de forma apenas superficial. Em entrevista para o TecMundo, o Presidente da Associação Nacional dos Profissionais de Privacidade de Dados (APDADOS) e professor da UNIP, Davis Alves, ressalta que a falta de conscientização da população em relação aos direitos sobre os próprios dados é uma janela de oportunidade para ataques cibernéticos.

"Um hacker pode se aproveitar dessa falta de conhecimento para criar ataques de phishing, onde o usuário, sem entender os riscos envolvidos, acaba fornecendo dados pessoais que são utilizados em fraudes, roubo de identidade ou até mesmo invasões mais complexas, como ataques direcionados às contas de e-mail e contas bancárias", pontuou.

Em mensageiros, isso também representa uma ameaça: muito provavelmente você já se deparou com apps alternativos ao WhatsApp que prometem funções ainda indisponíveis no aplicativo oficial — WhatsApp GB, por exemplo. Embora pareçam vantajosos, esses programas violam os termos de uso da plataforma e podem expor sua conta a criminosos.

Por esse motivo, o WhatsApp reforça com frequência que todas as conversas privadas são protegidas por criptografia de ponta a ponta, mas só no app original.

Todos abaixo da lei

Diante de ordens judiciais, o cenário muda. Por vezes, autoridades exigem a quebra de sigilo de comunicações (ou parte delas) para elucidar investigações ou monitorar suspeitos. As plataformas tendem a ser resistentes quanto ao cumprimento dessas exigências, mas a reincidência desses pedidos implicou na criação de regras para atender aos governos.

Quanto a “retenção e disponibilidade de dados”, o WhatsApp, por exemplo, esclarece: “Nós podemos coletar, usar, preservar e compartilhar dados de usuários se acreditarmos de boa fé que isso é necessário para manter a segurança de nossos usuários, detectar, investigar e impedir a realização de atividades ilegais, responder a processos legais e solicitações governamentais, e cumprir os nossos termos e as nossas políticas”.

Da mesma forma, Alves destaca essa linha tênue. "Equilibrar a privacidade dos usuários com a necessidade de combater a desinformação e o crime online é um dos maiores desafios atuais para os aplicativos de mensagens. Soluções tecnológicas, como a moderação automatizada de conteúdo com uso de inteligência artificial e machine learning podem ajudar a identificar comportamentos suspeitos sem comprometer a privacidade individual".

...