WhatsApp e Signal viram alvo de espionagem russa e acendem alerta sobre uso em governos
Os serviços de inteligência civil (AIVD) e militar (MIVD) da Holanda emitiram um alerta contundente: apesar da fama de seguros, WhatsApp e Signal não devem ser usados para troca de informações classificadas, confidenciais ou sensíveis dentro do governo. O comunicado foi divulgado após a constatação de que contas de mensageria de diversos funcionários públicos holandeses foram comprometidas no ano passado por um grupo de espionagem ligado à Rússia.
Segundo as agências, um “ator cibernético russo” conseguiu invadir contas de servidores holandeses explorando justamente a confiança que muitos depositam nesses aplicativos. A estratégia dos atacantes se concentra em roubar códigos de verificação e PINs dos usuários, passo essencial para assumir o controle das contas em serviços como WhatsApp e Signal.
Um dos golpes mais frequentes observados pelos investigadores consiste em criminosos se passarem por um suposto chatbot oficial de suporte do Signal. Fingindo oferecer ajuda ou pedir uma confirmação, os invasores induzem a vítima a compartilhar códigos de acesso enviados por SMS ou gerados no próprio aplicativo. Uma vez com esses códigos em mãos, o grupo consegue registrar a conta em outro dispositivo e monitorar as conversas.
Além da engenharia social, os cibercriminosos exploram a função de vinculação de dispositivos presente nos aplicativos. Esse recurso, pensado para facilitar o uso em múltiplos aparelhos, é abusado pelos atacantes para conectar silenciosamente um novo dispositivo à conta da vítima. Dessa forma, o espião pode ler mensagens em tempo real, sem que o titular da conta perceba qualquer atividade anormal, já que a autenticação foi “autorizada” usando o código roubado.
AIVD e MIVD chamam atenção para o fato de que o interesse russo no Signal não é aleatório. O app construiu a reputação de ser um meio de comunicação independente, focado em privacidade e com criptografia de ponta a ponta robusta. Justamente por isso se tornou amplamente adotado por servidores públicos, políticos e assessores em vários países como solução “mais segura” para conversas sensíveis. Esse movimento, no entanto, transformou o aplicativo em um alvo prioritário para operações de espionagem.
O vice-almirante Peter Reesink, diretor da MIVD, reforçou que a existência de criptografia de ponta a ponta não torna automaticamente um aplicativo apropriado para tratar informações sigilosas de Estado. Segundo ele, ferramentas como Signal e WhatsApp foram desenvolvidas para uso civil geral e não atendem a todos os requisitos de segurança, controle, registro e governança exigidos para o tratamento de dados governamentais classificados ou altamente sensíveis.
No aviso cibernético emitido, as agências de inteligência holandesas orientam explicitamente que somente equipamentos, sistemas e aplicativos oficialmente designados pela própria organização sejam utilizados para o manuseio de informações confidenciais. Isso inclui, por exemplo, ambientes de comunicação internos, plataformas com criptografia gerenciada e dispositivos configurados com camadas adicionais de segurança, monitoramento e políticas de acesso rigorosas.
Os serviços de inteligência não revelaram quantos funcionários tiveram suas contas comprometidas, nem em quais órgãos atuam ou quais informações podem ter sido acessadas. Também não detalharam integralmente o modo de operação do grupo russo, citando razões de segurança operacional. Ainda assim, a mensagem transmitida pelas autoridades é clara: a combinação de engenharia social sofisticada com funcionalidades legítimas dos aplicativos torna esses canais inadequados para comunicação governamental sensível.
Por que aplicativos com criptografia ainda podem ser arriscados?
A criptografia de ponta a ponta protege o conteúdo da mensagem durante o trânsito entre os aparelhos, impedindo que terceiros interceptem e leiam os dados no caminho. Porém, esse modelo não resolve todos os problemas de segurança. Quando um atacante consegue se passar pelo próprio usuário – roubando códigos, senhas ou PINs – ele passa a ser visto pelo sistema como um dispositivo legítimo. Ou seja, a criptografia continua funcionando, mas agora protegendo também o invasor.
Outro ponto crítico é a segurança do dispositivo em si. Se o celular ou computador do usuário estiver comprometido por um malware, for perdido, roubado ou mal configurado, todo o conteúdo protegido na teoria pode ser acessado na prática. Aplicativos como WhatsApp e Signal foram desenhados para facilitar o uso cotidiano, e não para operar com controles militares ou governamentais de alto nível, como segregação de redes, autenticação em múltiplos fatores corporativos ou impossibilidade de copiar e exportar dados livremente.
Engenharia social: o elo mais fraco continua sendo o humano
O caso holandês reforça a importância da educação em segurança digital, especialmente para pessoas que lidam com informações valiosas. Mesmo a infraestrutura mais robusta pode ser comprometida se o usuário for convencido a entregar, por vontade própria, as chaves de acesso. Mensagens que imitam suporte técnico, notificações automáticas, alertas falsos de segurança ou supostos pedidos de validação de conta são estratégias comuns e, muitas vezes, muito convincentes.
Treinar funcionários para desconfiar de solicitações inesperadas, verificar canais oficiais antes de fornecer qualquer código e reportar tentativas suspeitas ajuda a reduzir a eficácia dessas campanhas de phishing. Em ambientes governamentais e corporativos críticos, isso deve ser encarado como requisito obrigatório, não como um diferencial.
O dilema dos governos: praticidade x segurança
Governos e órgãos públicos em todo o mundo enfrentam um dilema cotidiano: aplicativos como WhatsApp e Signal são práticos, amplamente difundidos e aceitos por políticos, assessores e parceiros externos. Em contrapartida, quanto mais sensível é o conteúdo da conversa, maior é o risco de que o uso desses canais traga consequências graves em caso de vazamento ou espionagem.
Por isso, muitas administrações têm buscado soluções próprias, como aplicativos internos com criptografia controlada pelo Estado, aparelhos dedicados exclusivamente ao trabalho e políticas que diferenciam claramente o que pode ser tratado em apps populares e o que exige canais formais. O alerta holandês tende a fortalecer essa tendência, incentivando outros países a revisarem suas diretrizes.
Boas práticas para uso de mensageiros em ambientes sensíveis
Embora as agências holandesas orientem que dados classificados não circulem em WhatsApp e Signal, na prática muitas organizações ainda dependem desses canais para comunicação cotidiana. Em contextos menos críticos, algumas medidas podem reduzir, embora não eliminar, os riscos:
– Ativar bloqueio por PIN ou senha no aplicativo, quando disponível.
– Nunca compartilhar códigos de verificação recebidos por SMS ou dentro do app.
– Desconfiar de qualquer mensagem que se apresente como suporte ou equipe técnica pedindo confirmação de dados.
– Verificar sessões ativas e dispositivos vinculados periodicamente e desconectar os desconhecidos.
– Manter o sistema operacional e o aplicativo sempre atualizados.
– Utilizar autenticação em dois fatores, quando integrada ao ecossistema organizacional.
Para órgãos públicos que ainda não dispõem de alternativas próprias, essas práticas podem representar uma camada adicional de proteção, embora não substituam soluções dedicadas.
O impacto geopolítico da espionagem digital
O episódio envolvendo funcionários holandeses se soma a outros casos que demonstram como a espionagem digital se tornou peça central em disputas geopolíticas. A busca por informações sobre posições políticas, negociações econômicas, sanções, estratégias militares e relações diplomáticas faz de servidores públicos, diplomatas e militares alvos permanentes de grupos apoiados por Estados.
Nesse contexto, qualquer canal amplamente utilizado e percebido como “mais seguro” tende a virar alvo prioritário. Ao explorar justamente essa percepção positiva, grupos de espionagem conseguem se infiltrar onde as conversas mais críticas ocorrem, sem levantar tantas suspeitas quanto ferramentas claramente frágeis ou obsoletas.
O que esse caso ensina para empresas e cidadãos
Embora o alerta da AIVD e MIVD seja direcionado ao governo holandês, as lições interessam também a empresas privadas e usuários comuns. Organizações que lidam com dados estratégicos – como propriedade intelectual, planos de expansão, informações financeiras e dados de clientes – deveriam refletir se estão dependendo demais de ferramentas voltadas ao consumidor final para tratar assuntos de alto impacto.
Para o cidadão, o caso reforça que segurança digital não se resume a instalar um aplicativo “com criptografia”. Ela envolve comportamento, atenção a golpes, boa configuração dos dispositivos e senso crítico diante de pedidos de informação. Entender como ataques de engenharia social funcionam e saber dizer “não” a solicitações suspeitas é, cada vez mais, tão importante quanto qualquer tecnologia de proteção.
No fim, o recado das agências holandesas é direto: mensageiros como WhatsApp e Signal são úteis, importantes e, em muitos aspectos, mais seguros do que alternativas antigas. Porém, quando se trata de segredos de Estado ou dados altamente sensíveis, confiar apenas neles é um risco que governos não estão mais dispostos a correr – e que empresas e indivíduos também deveriam avaliar com muito mais cuidado.