governo paralelo

Pegasus, a ponta do iceberg da fragilidade no controle de inteligência

Desde 2017, organizações vêm reportando de forma sistemática os abusos na implementação de programas que coletam informações pessoais ou confidenciais de forma ilícita —no Brasil, o debate sobre os chamados ‘spyware’ está só começando

Louise Marie Hurel, Pedro Augusto P. Francisco e Daisy Teles / El País

O desenvolvimento de novas tecnologias de informação e comunicação tem sido acompanhado pela consolidação de uma infraestrutura de vigilância global. A revelação de que mais de 180 jornalistas estavam na mira do software de espionagem cibernética Pegasus é mais um alerta preocupante dos riscos crescentes que a utilização dessas tecnologias por governos apresenta para ativistas, organizações da sociedade civil e profissionais de imprensa.

O debate sobre os chamados spyware —programas que coletam informações pessoais ou confidenciais de usuários de computadores e celulares de forma ilícita— no Brasil aponta para uma discussão maior sobre compra e utilização de tecnologias pelo Estado. Há linhas tênues entre a atuação de órgãos na parte de inteligência operacional e estratégica, e mecanismos de controle das atividades de inteligência e compras de tecnologias ainda são frágeis. Para essa tarefa, o nosso sistema de freios e contrapesos é fundamental.


MAIS INFORMAÇÕES
Empresa israelense é acusada de ajudar Arábia Saudita a espionar jornalista assassinado
Vírus para espionagem política denunciado pelo WhatsApp foi usado no Brasil
Vazamento revela espionagem de governos contra jornalistas e opositores com o programa Pegasus


Conhecido por seu grau de sofisticação, seu alto preço no mercado e sua oferta exclusiva para agências de governos, o Pegasus não surgiu agora: desde 2017, organizações da sociedade civil e academia já vêm reportando de forma sistemática os abusos na implementação de spyware em diferentes países. O software, fornecido pela empresa israelense NSO Group, ficou internacionalmente conhecido por ter sido utilizado em casos como o do jornalista saudita Jamaal Kashoggi, assassinado em 2018.

Tratar o Pegasus como um caso isolado é perigoso. Apesar de ser uma tecnologia altamente seletiva e intrusiva, não é a primeira a ser utilizada para espionar grupos e Estados. Faz-se necessário olhar para aquelas que já estão sendo utilizadas e integram as práticas de vigilância, investigação criminal e inteligência. Essas outras tecnologias abrangem desde softwares de reconhecimento facial até as chamadas tecnologias de uso dual (que podem trazer benefícios na provisão de serviços bem como facilitar o abuso de direitos) como softwares que filtram conteúdo.

Precedentes
Em 2013, foi revelado um esquema de espionagem de milhares de e-mails e ligações de cidadãos brasileiros por parte do governo norte-americano, algo classificado como extremamente grave e inconstitucional pela então presidente Dilma Rousseff, que também foi grampeada. Contudo, dois anos após essa denúncia, a polícia federal adquiriu “um projeto piloto de três meses” para o uso do software de espionagem RSC Galileo, da empresa italiana Hacking Team. O pacote incluía o software e o treinamento que seria usado pela Diretoria de Investigação e Combate ao Crime Organizado (DICOR) e a Diretoria de Inteligência Policial (DIP), de acordo com dados da organização Derechos Digitales.

Um exemplo mais recente é o uso do programa Cellebrite Premium para resolução do caso do menino Henry Borel. Pertencente à empresa israelense Cellebrite, especializada em vender ferramentas para perícia eletrônica, o programa consegue desbloquear diversos celulares. Produtos da empresa já foram usados no Brasil anteriormente, como em perícias da Lava Jato através do dispositivo UFED.

Episódios como o da Lava Jato e a resolução do caso do menino Henry mostram como o uso de tecnologias é importante para o processo de resolução e persecução criminal. Há nesses casos, contudo, um processo legal corrente que justifica a utilização de ferramentas de perícia eletrônica para acessar provas; o grande alerta que o Pegasus acende é que essas tecnologias, apesar de seletivas, aumentam a capacidade de vigilância sem supervisão sobre o processo e escopo de implementação.

O Caso Pegasus no Brasil
Essa ambiguidade também se apresenta em processos de aquisição de tecnologias para atividades de inteligência operacional e persecução criminal. Também ficou evidente no pregão do Ministério da Justiça e Segurança Pública para aquisição de “solução de inteligência em fontes abertas, mídias sociais, Deep e Dark Web” para a Secretaria de Operações Integradas (SEOPI).

O pregão virou notícia devido à oferta do NSO Group, do software Pegasus, por meio de um revendedor brasileiro, no valor de 60,9 milhões de reais. No entanto, após o escândalo nas redes, a empresa brasileira responsável por comercializar o Pegasus se retirou do processo licitatório e as demais soluções e empresas integrantes do processo receberam pouca atenção.

Também causou estranhamento o fato de o edital não ter incluído nas tratativas os órgãos oficiais de investigação, como GSI e Abin, que seriam diretamente beneficiados pela ferramenta contratada. A licitação, no valor de 25,4 milhões de reais, foi questionada judicialmente pela vagueza e amplitude de seu objeto, que permitiria a aquisição de recursos voltados ao controle indevido da população e a violação de garantias fundamentais.

O Termo de Referência do edital, quando analisado com cautela, indica que a solução teria potencial de coletar um grande número de informações sobre as pessoas, inclusive oriundas de redes sociais. Não se trata, portanto, de mera automação ou aprimoramento da coleta de informações disponíveis em fontes abertas, mas a exploração e coleta massiva de dados, a fim de instituir um amplo e generalizado monitoramento sem que seja necessária decisão judicial. Em resumo, o uso do sistema dependeria tão somente do senso ético de quem o opera.

Diante de tamanha ameaça, cinco organizações da sociedade civil - Instituto Igarapé, Conectas, Instituto Sou da Paz, Rede Liberdade e Transparência Internacional Brasil - se mobilizaram para apresentar uma representação ao TCU contra o pregão e aguardam a decisão do ministro Bruno Dantas. Ele poderá revogar o procedimento licitatório e evitar que as violações elencadas se concretizem.

O que o caso do Ministério da Justiça e Segurança Pública nos mostra é que ainda temos uma grande abertura para que aquisições de tecnologias altamente intrusivas como spyware passem “desapercebidas”. O edital previa solução de Inteligência em Fontes Abertas (OSINT) mas essa foi a abertura necessária para a oferta do Pegasus - que utilizou da brecha no edital para ofertar uma solução que utiliza código malicioso na medida que utiliza vulnerabilidades em dispositivos e sistemas para garantir a efetividade de uma mirada direcionada a dissidentes e opositores de governos.

O Pegasus é um caso evidente de uma tecnologia que contém funcionalidades que são claramente utilizadas para infringir direitos humanos em diversos países. Mas, na grande maioria, o chamado spyware não é tão detectável e se ‘mistura’ com outras tecnologias dependendo da solução tecnológica. OSINT, por exemplo, é um recurso altamente utilizado por jornalistas investigativos e pesquisadores que trabalham com desinformação para auxiliar na identificação e validação de fontes, imagens, áudios e entre outras informações. No entanto, OSINT também é utilizada por agências de inteligência. Definir o que é um código malicioso tampouco é sempre um processo objetivo e fácil, o que não significa que não seja necessário que governos tomem uma atitude para garantir maior transparência e responsabilização sobre o uso dessas tecnologias tanto pelo setor público quanto pelo privado.

O caminho à frente
No âmbito das atividades ligadas à segurança nacional, é preciso reforçar as ações de controle interno e externo. O primeiro é exercido pelo Poder Executivo Federal, uma vez que é o responsável direto pelas atividades de inteligência. Este deve garantir que o GSI e a ABIN operem dentro dos princípios democráticos da Constituição. O Poder Legislativo, por sua vez, tem que assumir sua prerrogativa no exercício do controle externo às instituições de inteligência. No caso, o espaço no qual essas questões precisam ser levantadas e debatidas é a Comissão Mista de Controle das Atividades de Inteligência (CCAI). Integrada por membros do Senado e da Câmara dos Deputados, ela é responsável pela fiscalização e controle dessas atividades.

Além disso, há a necessidade de se discutir um arcabouço legal que regulamente de maneira mais específica os procedimentos para aquisição e emprego de tecnologias de monitoramento e estabeleça princípios norteadores das atividades de inteligência. A União Europeia, por exemplo, lançou em 18 de julho de 2021 uma atualização de seu Regulamento de Tecnologias de Uso Dual (2009), que inclui controles de exportação e aquisição para tecnologias de vigilância cibernética (cyber surveillance). O documento também reconhece o risco que essas tecnologias apresentam para repressão de grupos e violações de direitos humanos.

Por fim, quando se fala na inteligência necessária para as atividades de segurança pública, o Ministério Público deve assumir seu papel de fiscalizador e o Poder Judiciário deve salvaguardar os direitos fundamentais dos cidadãos, garantindo que ações nocivas sejam suspensas ou revogadas.

Se por um lado sabemos que o sigilo é característica inerente às atividades de inteligência, por outro é consenso que democracias precisam de transparência para garantir o seu pleno funcionamento. O equilíbrio entre esses dois aspectos só será possível por meio do controle institucional e da prestação de contas à sociedade.

Louise Marie Hurel, Pedro Augusto P. Francisco, Maria Eduarda de Assis e Daisy Teles são pesquisadores do Instituto Igarapé.


Fonte:
El País
https://brasil.elpais.com/opiniao/2021-08-02/pegasus-a-ponta-do-iceberg-da-fragilidade-no-controle-de-atividades-de-inteligencia-e-uso-de-tecnologias-de-vigilancia.html