Na madrugada deste sábado, 20, milhares de celulares em pelo menos sete estados brasileiros — Paraná, São Paulo, Rio de Janeiro, Distrito Federal, Mato Grosso do Sul, Bahia e Pará — foram surpreendidos com o som estridente de "Alerta Extremo" da Defesa Civil, mesmo em aparelhos no modo silencioso. Na tela, apenas uma única palavra sem qualquer contexto: "misantropia".

Não havia tempestade, enchente ou qualquer risco real. A Defesa Civil Nacional confirmou que o aviso era falso e que a plataforma de disparo foi tirada do ar depois de sofrer uma invasão, classificando o episódio como "provável ataque hacker" e acionando a Polícia Federal (PF).

O caso reabre uma pergunta que volta sempre que esse tipo de incidente acontece, no Brasil ou fora dele: por que sistemas desenhados justamente para proteger a população em emergências costumam ser, na prática, um dos elos mais frágeis da infraestrutura digital de um país?

Como o sistema funciona — e onde a fragilidade entra

O canal usado pela Defesa Civil é o Cell Broadcast, tecnologia regulada pela Anatel que permite enviar uma mensagem simultaneamente a todos os celulares dentro do alcance de uma torre, numa área geográfica determinada, sem precisar de número de telefone, cadastro ou aplicativo instalado.

É exatamente essa característica que torna o sistema útil em emergências reais (atinge todo mundo numa região, inclusive turistas e quem está sem internet), mas também é o que faz desse tipo de plataforma um alvo atrativo, já que comprometer um único ponto de acesso administrativo pode gerar alcance imediato e massivo.

Segundo Fabro Steibel, diretor-executivo do Instituto de Tecnologia do Rio (ITS-Rio), sistemas de alerta como esse são "desenhados para serem seguros, mas absolutamente centralizados, porque só um ator autorizado pode enviar uma mensagem", o que significa que, embora esse ponto único de envio seja bem protegido, ele ainda é um único pilar.

"É fácil para você aplicar o hack se você conseguir comprometê-lo", diz em entrevista à EXAME.

Segundo Steibel, há duas vias principais para esse tipo de comprometimento.

A primeira é o roubo direto de credenciais de quem tem autorização para enviar o alerta — nesse caso, "o sistema reconheceu como uma mensagem legítima", numa lógica parecida com a do ataque que desviou recursos do Sistema de Pagamentos Brasileiro.

"É parecido com o que aconteceu no ataque ao Banco Central, onde credenciais foram roubadas e parecia que a pessoa que hackeou tinha legitimidade para transferir aquele dinheiro", afirma.

A segunda via é mais sofisticada: em vez de invadir o sistema da Defesa Civil diretamente, o invasor tentaria emular ou simular uma mensagem que pareça legítima para as operadoras de telecomunicações responsáveis pelo disparo final aos celulares.

"Existem várias empresas, principalmente de telecom, que vão fazer esse disparo, e elas têm um canal de comunicação com o EAS [sistema de alerta de emergência]", diz Steibel. "Se você conseguiu emular, simular uma mensagem, você conseguiria fazer isso."

Esse caminho, segundo ele, é mais difícil de executar, porque exigiria comprometer múltiplos sistemas diferentes simultaneamente — mas não é impossível. Ainda não está claro, segundo o especialista, qual dos dois caminhos foi usado no caso brasileiro.

Não é a primeira vez — em nenhum país

O episódio brasileiro tem precedentes diretos.

Em 11 de fevereiro de 2013, hackers invadiram o Emergency Alert System, sistema oficial de alertas dos Estados Unidos, em emissoras de TV e rádio de Montana, Michigan, Wisconsin e Novo México, fazendo veicular um aviso de que "os corpos dos mortos estão saindo das sepulturas e atacando os vivos".

O ataque funcionou porque as próprias estações nunca haviam trocado as senhas de fábrica dos equipamentos de alerta — senhas que constavam, abertamente, nos manuais públicos dos fabricantes.

Em janeiro de 2017, mais de uma dúzia de rádios FM comunitárias americanas foram sequestradas remotamente para tocar em loop uma música de protesto contra Donald Trump, recém-empossado.

O padrão se repete. Sistemas de alerta de emergência, em qualquer país, costumam carregar uma tensão estrutural entre dois objetivos que competem entre si.

Eles precisam ser simples e rápidos de operar sob pressão — um operador precisa conseguir disparar um aviso de tsunami ou tornado em segundos, sem etapas de verificação complexas — e essa exigência de velocidade tende a colidir diretamente com camadas de segurança mais rígidas, que normalmente seriam o padrão esperado para qualquer infraestrutura crítica.

Um país que já tinha sido alertado sobre isso

O Brasil não chega a este episódio sem aviso prévio.

O país deve investir R$ 104,6 bilhões em cibersegurança até 2028, um crescimento de 43,8% em relação ao período de 2021 a 2024, segundo o Relatório de Cibersegurança 2025 da Brasscom, mas especialistas já vinham apontando que o volume de investimento, isoladamente, não resolve o problema, porque as falhas mais recorrentes continuam ligadas à gestão básica de acesso e proteção de identidade, não à falta de tecnologia de ponta.

O Brasil também é, segundo a Fortinet, o país que concentra 84% de todas as tentativas de ataque cibernético registradas na América Latina, com 315 bilhões de tentativas só em 2025.

E o histórico recente de infraestrutura crítica nacional comprometida por falhas básicas de segurança não é hipotético: em junho do ano passado, a C&M Software, empresa que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro, foi comprometida por um grupo criminoso que desviou mais de R$ 500 milhões — o vetor de entrada foi uma única credencial vendida por um funcionário.

Em setembro, o Banco Central confirmou ter apenas nove funcionários dedicados à segurança de toda a infraestrutura de pagamentos via Pix.

O que fica do episódio

A palavra "misantropia" (termo de dicionário pouco usado no cotidiano, que significa aversão ou ódio à humanidade) se tornou, da noite para o dia, uma das mais pesquisadas do país, muito mais por curiosidade linguística do que pelo conteúdo da mensagem em si.

Mas o efeito colateral mais relevante do episódio não é semântico, mas sim um lembrete de que o sistema desenhado para proteger milhões de pessoas em segundos, justamente por precisar ser rápido e abrangente, segue sendo, em quase todo o mundo, uma das peças mais vulneráveis da infraestrutura digital de qualquer país — e o Brasil não é exceção.