Um alerta extremo da Defesa Civil enviado indevidamente durante a madrugada deste sábado (20) assustou moradores de São Paulo, Rio de Janeiro, Paraná, Distrito Federal e outras regiões do país.

A mensagem, que continha o termo "misantropia" e foi acompanhada pelo som característico de emergência, despertou milhares de pessoas e rapidamente se tornou um dos assuntos mais comentados nas redes sociais.

Segundo o governo federal, a principal hipótese é de uma invasão cibernética à plataforma responsável pelo envio dos alertas. O caso será investigado pela Polícia Federal.

A EXAME conversou com João Brasio, hoje empresário e dono da empresa especializada em cibersegurança, a Elytron CyberSecurity, mas seu início foi como "hacker ético". Ele atuou na identificação de vulnerabilidades em sistemas críticos do Google, por exemplo, além de ter participado de programas oficiais de segurança do Departamento de Defesa dos Estados Unidos, onde encontrou falhas em plataformas utilizadas pelo Pentágono e pelo Exército americano.

Para o especialista, é prematuro apontar a origem exata do incidente, mas há um aspecto importante que já pode ser esclarecido: a falha provavelmente não está na tecnologia Cell Broadcast em si.

O que é o Cell Broadcast

O Cell Broadcast é uma tecnologia utilizada para enviar mensagens emergenciais diretamente para celulares conectados às antenas de uma determinada região, sem necessidade de cadastro prévio. O sistema é empregado por diversos países para alertar a população sobre eventos extremos, como enchentes, deslizamentos, tempestades severas e outros desastres naturais.

No Brasil, ele integra o programa Defesa Civil Alerta, desenvolvido em parceria entre a Defesa Civil, a Agência Nacional de Telecomunicações (Anatel) e as operadoras móveis.

Diferentemente de SMS ou aplicativos de mensagens, os alertas chegam automaticamente aos aparelhos compatíveis e podem emitir sons de emergência mesmo quando o telefone está no modo silencioso.

Segundo Brasio, o Cell Broadcast funciona apenas como meio de transmissão.

"Ele é um sistema global de dispersão desses alertas. Cada país define suas próprias regras de utilização. O Cell Broadcast funciona como os Correios: ele recebe uma mensagem pronta e a entrega. O conteúdo da mensagem e a autorização para enviá-la estão em outra camada do sistema", afirma.

Em nota, o Ministério da Integração e do Desenvolvimento Regional informou que o disparo foi realizado por alguém sem vínculo com o Sistema Nacional de Proteção e Defesa Civil. Como medida preventiva, a plataforma foi retirada do ar durante a madrugada.

Falha pode estar na plataforma de gestão dos alertas

Na avaliação do especialista, os indícios apontam para uma vulnerabilidade em uma plataforma nacional utilizada para administrar e autorizar os disparos dos alertas.

"Não podemos dizer que a vulnerabilidade está no protocolo de entrega do alerta. Muito provavelmente ela aconteceu em uma camada brasileira, ligada à plataforma de gestão do Defesa Civil Alerta", explica.

O raciocínio é reforçado pelo fato de que o incidente ficou restrito ao sistema nacional.

"Essa pessoa ou organização criminosa não conseguiu disparar o mesmo alerta para outros países que utilizam Cell Broadcast. Isso demonstra que a vulnerabilidade é nacional e provavelmente está vinculada a algum portal utilizado por órgãos autorizados a emitir esses alertas."

Credenciais vazadas ou falha técnica: as duas hipóteses mais prováveis

Segundo Brasio, há dois cenários principais que costumam explicar incidentes desse tipo.

O primeiro envolve uma vulnerabilidade técnica, como falhas de software, sistemas desatualizados ou erros de programação que permitam a invasão indevida.

O segundo, considerado por ele igualmente plausível, envolve o uso de credenciais legítimas roubadas.

"Pode ter sido uma credencial vazada. O invasor entra pela porta da frente, utilizando usuário e senha de alguém que já tinha autorização para acessar o sistema"

O especialista explica que o reaproveitamento de senhas em diferentes serviços continua sendo uma das principais portas de entrada para criminosos digitais.

"Muitas vezes a senha utilizada em um sistema crítico é a mesma usada em redes sociais, sites de compras ou outros serviços que sofreram vazamentos. Essas credenciais circulam na dark web e acabam sendo testadas em diferentes plataformas."

O que poderia ter evitado o incidente

Independentemente da causa específica, Brasio afirma que ataques desse tipo normalmente dependem da combinação de múltiplas falhas de segurança.

Entre as medidas que poderiam reduzir significativamente o risco estão autenticação multifator obrigatória, monitoramento contínuo de acessos, ferramentas de detecção comportamental e auditorias frequentes de segurança.

"Se existisse um segundo fator de autenticação robusto, apenas ter a senha não seria suficiente para acessar o sistema. Além disso, ferramentas modernas conseguem identificar comportamentos suspeitos, como um usuário que sempre acessou a plataforma de São Paulo e, de repente, aparece conectado a partir de outro país."

Segundo ele, também é fundamental manter equipes dedicadas à segurança operando continuamente.

"Faltaram testes recorrentes, camadas adicionais de proteção e monitoramento permanente. Muitas coisas precisam dar errado ao mesmo tempo para que uma invasão desse tipo aconteça."

Sobre a Elytron CyberSecurity

A Elytron CyberSecurity atua desde 2018 em inteligência e defesa cibernética, com operações no Brasil, Estados Unidos, Portugal e Malásia. A empresa atende organizações públicas e privadas em projetos de proteção digital, resposta a incidentes e gestão estratégica de riscos.

A companhia é classificada como Empresa de Interesse da Defesa Nacional pelo Estado-Maior Conjunto das Forças Armadas do Brasil e possui homologação da Agência de Suprimentos e Aquisições da Organização do Tratado do Atlântico Norte (OTAN). Segundo a empresa, seu modelo proprietário, chamado Cybersecurity Fusion Framework, integra inteligência ofensiva, resposta a incidentes e governança de riscos para apoiar grandes organizações na proteção de seus ativos digitais.