Entre a noite do dia 19 de junho e o início da madrugada do dia seguinte, milhões de brasileiros foram surpreendidos por um aviso sonoro classificado como “Alerta Extremo” em seus celulares. Porém, em vez das conhecidas informações sobre tempestades, deslizamentos, enchentes ou algum outro risco iminente à população, a mensagem apresentava uma única palavra: “misantropia” — grafada, aliás, como “misantropi4”.
O horário e o formato contribuíram para uma confusão. Os disparos ocorreram entre 23h41 e 01h23 do dia 20, alcançando moradores de capitais como São Paulo, Rio de Janeiro, Curitiba, Salvador, Belo Horizonte, Brasília, Campo Grande e Rio Branco, além de municípios menores. Uma estimativa inicial apontou que aproximadamente 30 milhões de cidadãos estavam nas áreas atingidas.
O sistema Defesa Civil Alerta utiliza a tecnologia de Cell Broadcast para exibir notificações diretamente nos aparelhos conectados às antenas de determinada região. Não é necessário instalar um aplicativo ou realizar cadastro. Em situações classificadas como extremas, o aviso também pode emitir um som semelhante a uma sirene, mesmo quando o telefone está no modo silencioso.
Essa característica, necessária para que alertas reais não sejam ignorados, também tornou a invasão especialmente perturbadora.
O que disseram as autoridades?
Após certo nível de pânico se instaurar nas redes sociais e veículos de mídia, a plataforma responsável pelos disparos foi retirada do ar preventivamente. Em sua primeira manifestação, o Ministério da Integração e do Desenvolvimento Regional informou que o sistema havia sofrido uma invasão e que os alertas tinham sido ordenados remotamente por alguém alheio ao Sistema Nacional de Proteção e Defesa Civil.
Segundo o governo federal, foram identificadas dez notificações indevidas: nove transmitidas por Cell Broadcast e uma por SMS. A Polícia Federal foi acionada para investigar a origem das mensagens, enquanto a Agência Nacional de Telecomunicações (Anatel) também iniciou uma apuração relacionada à infraestrutura de distribuição dos alertas.
Nas primeiras horas, ainda havia dúvidas sobre qual componente havia sido comprometido. A suspeita principal se concentrou na Interface de Divulgação de Alertas Públicos, conhecida como Idap, plataforma utilizada por instituições autorizadas a cadastrar mensagens sobre riscos e desastres.
O incidente não representou apenas uma indisponibilidade técnica. Ele envolveu o uso ilegítimo de um canal público que depende da confiança da população para funcionar. Quando uma ferramenta de emergência emite informações falsas, o dano não se limita ao susto provocado naquela noite, mas também alcança a credibilidade das próximas mensagens legítimas.
Como o suposto autor afirma ter acessado o sistema?
Pouco depois dos disparos, um perfil nas redes sociais reivindicou a autoria da invasão e publicou imagens que supostamente mostravam o acesso à plataforma. Em entrevista ao TecMundo, o responsável pelo perfil declarou ter utilizado credenciais antigas de servidores públicos, encontradas em bases de dados vazadas e canais do Telegram.
De acordo com seu relato, algumas das senhas não teriam sido jamais alteradas por seus mantenedores durante pelo menos seis anos. Além disso, o acesso dependeria apenas da combinação de usuário e senha, sem uma segunda etapa de autenticação. O mecanismo utilizado para distinguir pessoas de sistemas automatizados seria, segundo ele, um captcha baseado em operações matemáticas simples.
O perfil também afirmou ter usado diferentes contas, cada uma com permissões para determinadas regiões. As alegações, porém, ainda precisam ser confirmadas pelas investigações. A reportagem que realizou a entrevista declarou não ter recebido evidências suficientes para vincular de maneira conclusiva o entrevistado aos alertas.
Credenciais vazadas continuam sendo um risco
Caso a versão apresentada pelo suposto invasor seja confirmada, o episódio não teria começado com a descoberta de uma vulnerabilidade inédita ou com o desenvolvimento de uma técnica particularmente sofisticada. O acesso teria ocorrido porque nomes de usuário e senhas anteriormente expostos continuavam válidos. O teste de combinações obtidas em vazamentos é frequentemente associado ao credential stuffing. Nesse tipo de ataque, credenciais já conhecidas são utilizadas contra diferentes serviços na expectativa de que os usuários tenham reutilizado senhas ou não tenham alterado os dados comprometidos.
O problema é agravado quando contas institucionais permanecem ativas por longos períodos, não são revisadas após mudanças de função ou não contam com autenticação multifator. Em sistemas capazes de enviar mensagens para milhões de aparelhos, uma credencial não deve ser tratada como autorização suficiente para executar uma ação de grande alcance.
Controles adicionais poderiam exigir uma segunda forma de autenticação, limitar acessos conforme localização e horário, detectar tentativas anormais e solicitar uma nova validação antes de disparos classificados como extremos. Também seria razoável avaliar mecanismos de aprovação por mais de um operador para mensagens com alcance regional ou nacional.
Nesse contexto, senhas fracas representam apenas parte do problema. A ausência de camadas complementares permite que uma falha individual de credencial se transforme em uma falha sistêmica.
Ciberativismo: o retorno dos que não foram
Durante muitos anos, o ciberativismo — isto é, o uso de técnicas de invasão computacional para fins de ativismo, principalmente político — foi relacionado principalmente a páginas desfiguradas, ataques de negação de serviço e divulgação de documentos obtidos ilegalmente. Grupos costumavam invadir sites para substituir seu conteúdo por manifestos, símbolos, críticas ou reivindicações sociais.
Os chamados defaces tinham valor sobretudo visual e simbólico. O invasor ocupava temporariamente um espaço digital para demonstrar capacidade técnica e transmitir uma mensagem que geralmente era vista como um “call to action” à população. Mesmo quando atingiam páginas governamentais, os efeitos frequentemente permaneciam limitados ao site comprometido e aos usuários que porventura o visitassem.
A invasão de um sistema de alertas representa uma evolução desse modelo. Em vez de modificar uma página, o responsável apropriou-se de um canal de comunicação dotado de autoridade pública e capaz de interromper imediatamente a rotina de milhões de pessoas.
O conteúdo também apresenta elementos de uma ação performática. O suposto autor afirmou que pretendia divulgar a palavra “misantropia” e provocar pesquisas sobre seu significado. Sua motivação, segundo a entrevista, envolveria tédio e antipatia diante das comemorações ocorridas após a partida de Brasil contra Haiti nos jogos da Copa do Mundo FIFA 2026.
Não se trata, portanto, de ciberativismo tradicional, organizado ao redor de uma causa política claramente definida. O episódio se aproxima de um ciberativismo difuso, individualizado e possivelmente niilista — uma manifestação que utiliza a infraestrutura pública para impor uma ideia, produzir repercussão e capturar a atenção coletiva.
A conectividade ampliou consideravelmente o alcance desse tipo de intervenção. A mensagem deixa de estar confinada a uma página desfigurada e passa a acompanhar o usuário em seu próprio aparelho, usando a linguagem, o som e a legitimidade visual de uma comunicação oficial.
O que a série “Dia Zero” ajuda a compreender?
Na minissérie “Dia Zero”, produzida pela Netflix e estrelada por Robert De Niro, um ataque cibernético provoca uma interrupção ampla de serviços essenciais nos Estados Unidos, desencadeando mortes, instabilidade política, desinformação e uma disputa pela interpretação dos acontecimentos. A trama acompanha um ex-presidente encarregado de investigar a origem do ataque em um ambiente no qual instituições, meios de comunicação e grupos políticos apresentam versões concorrentes.
Evidentemente, a invasão do sistema da Defesa Civil não teve a dimensão do evento fictício — nenhuma fatalidade foi registrada, nenhuma infraestrutura crítica foi paralisada e, no fim, tudo não passou de um grande susto generalizado. Ainda assim, a comparação é relevante porque as duas situações mostram que um ataque cibernético não precisa permanecer dentro de computadores.
Quando a sociedade depende de sistemas conectados para comunicação, energia, mobilidade, saúde e resposta a emergências, a manipulação digital pode produzir consequências físicas e comportamentais. Um aviso falso sobre rompimento de barragem, contaminação química ou ataque armado poderia gerar deslocamentos desordenados, congestionamentos, sobrecarga de serviços de emergência e exposição da população a riscos adicionais.
A série também explora um problema presente no caso brasileiro: após o incidente, forma-se rapidamente um vazio informacional. Enquanto as autoridades apuram o ocorrido, perfis anônimos, capturas de tela e explicações não-verificadas começam a disputar a narrativa, espalhando desinformação.
Uma nova “Guerra dos Mundos” seria possível?
Parece irônico, mas um cenário do tipo já aconteceu antes mesmo da invenção dos computadores pessoais. Em 30 de outubro de 1938, Orson Welles dirigiu e narrou uma adaptação radiofônica de “A Guerra dos Mundos”, romance de H. G. Wells. Parte da apresentação reproduzia o formato dos noticiários da época, com boletins que descreviam uma invasão extraterrestre nos Estados Unidos.
O programa ficou conhecido pela reação de ouvintes que interpretaram a dramatização como uma notícia verdadeira. Embora estudos posteriores tenham questionado a dimensão do suposto pânico coletivo, o episódio permanece como exemplo do poder de um meio de comunicação considerado confiável quando sua linguagem é utilizada para apresentar uma ficção como realidade.
O sistema Defesa Civil Alerta reúne condições ainda mais sensíveis. A mensagem não depende de o cidadão escolher uma estação de rádio e pode ser exibida sobre qualquer conteúdo aberto no telefone. Seu som foi projetado para provocar atenção imediata, e sua identidade visual indica que a informação parte de uma autoridade pública.
Ao mesmo tempo, as redes sociais poderiam ampliar uma mensagem falsa em poucos minutos. Vídeos de pessoas assustadas, interpretações equivocadas e conteúdos fabricados poderiam circular antes de qualquer esclarecimento oficial. A combinação entre um canal legítimo comprometido e plataformas digitais orientadas pela velocidade permitiria reproduzir, em escala maior, alguns dos mecanismos associados à transmissão de 1938.
Como preservar a confiança nos sistemas de alerta?
A resposta ao episódio não deve se limitar à troca de senhas diretamente envolvidas. É necessário revisar contas, permissões, registros de acesso, processos de desligamento de usuários e exigências de autenticação em toda a cadeia de emissão dos alertas.
Também será preciso comunicar de maneira transparente o que ocorreu, quais controles falharam e quais medidas foram adotadas. A confiança pública não depende apenas de afirmar que o sistema voltou a operar — depende de demonstrar que o incidente foi compreendido e que os riscos identificados receberam tratamento adequado.
O caso da “misantropia” evidencia como credenciais vazadas podem permanecer utilizáveis muito tempo depois de sua exposição original. Quando associadas a sistemas de alto impacto e a mecanismos de autenticação insuficientes, elas deixam de representar um risco restrito ao titular da conta e passam a ameaçar serviços dos quais depende uma parcela significativa da população.
A conectividade transformou antigos atos de vandalismo digital em intervenções capazes de afetar comportamentos coletivos. Por isso, proteger plataformas públicas de comunicação exige combinar segurança técnica, gestão contínua de identidades e procedimentos que considerem as consequências sociais de qualquer acesso indevido.
2º PAINEL ESKIVE - Cibercrime e a Epidemia de Insiders
Assista ao debate multifacetado entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre a “febre” das ameaças internas e como o ecossistema de segurança está lidando com o fenômeno. ⭣
