Extorsão criptoviral

Spencer Toth Sydow
Mestre e doutorando em Direito Penal (USP).
Professor de Graduação e Pós-graduação (UNIP, GV-Law).

Não vai demorar a chegar ao Brasil a denominada extorsão criptoviral, popular e erradamente denominada “sequestro virtual”.

Prática existente e identificada desde os idos de 1996,(1) trata-se de circunstância em que alguém tem seu dispositivo informático infectado por um malware no intuito de torná-lo indisponível ou tornar indisponíveis determinadas pastas ou arquivos.

Em seguida, o vitimizado recebe instruções via email ou via caixa de diálogo (surge na tela uma janela “pop up”) informando que apenas voltará a ter acesso ao seu sistema ou dados após “pagar um resgate”. Caso contrário, seu dispositivo informático ficaria sem utilidade e seus arquivos sem acesso.

O “resgate” pode ser em dinheiro, aquisição de produtos em sites determinados, aquisição de créditos de celular ou cartão de crédito pré-pagos e, mais modernamente, aquisição de dinheiro digital (bitcoin, dogecoin etc). E os arquivos almejados são aqueles mais importantes de acordo com a profissão do usuário.

Tecnicamente, a estratégia pode ser definida como a seguir: “A extorsão criptovital é um ataque de negação de recursos que usa criptografia de chave pública. É um protocolo de três ciclos que é conduzido por um atacante em face de uma vítima. O ataque é conduzido via um criptovírus que usa um criptossistema híbrido para encriptar dados do hospedeiro enquanto apaga ou reescreve os dados originais no processo”.(2)

Encriptar significa transformar uma informação que inicialmente poderia ser lida pelo usuário em um algoritmo, de modo a impossibilitar a leitura por seu titular, limitando-a àquele que possui uma chave especial ou informação particular, no caso, o delinquente. A infecção coloca a máquina da vítima sob controle do malfeitor até que esta aceite cumprir suas exigências. Caso aceite fazer o pagamento, a chave é entregue à vítima, que retorna o acesso e o uso dos recursos normalmente.

Exemplificativamente o autor infecta o computador alheio com um malware que informa que certos arquivos do usuário estão corrompidos (como arquivos de texto ou mídias) e sugere a instalação de um aplicativo para consertar tais arquivos. O usuário, desavisado, instala o programa que aparenta estar corrigindo os arquivos falsamente corrompidos, mas que na realidade está criptografando os arquivos de acesso ao sistema ou arquivos importantes.

Assim, o autor consegue tomar controle dos dados alheios e indisponibilizá-los, tornando o sistema ou o arquivo sem acesso até que se atenda ao pagamento.

Para estabelecimento da exigência, geralmente uma tela surge ao usuário informando as condições para liberação.

Assim, a engenhosidade social está criada e o movimento principal é fazer com que o usuário vitimizado acredite que não há outra maneira de voltar a acessar seus dados a não ser aceitando e cumprindo com o estabelecido. Há, pois, verdadeiro compelimento por meio virtual, a partir do surgimento de novos e elevados valores atribuídos à informática, aos dados e à virtualidade.

Destaque-se que há um movimento de aceitação na instalação do programa por parte da vítima, fazendo com que a característica informática da interatividade esteja presente. Há, pois, uma participação da própria vítima na instalação do ransomware.

A Lei 12.737/2012 criou o art. 154-A, com duas figuras distintas:

A primeira figura trata da ação de invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo. É tipo complexo e que exige fim específico: invadir para obter, adulterar ou destruir dados. O objetivo do agente, nesta circunstância, são os dados em si.

Nota-se que na extorsão criptoviral, pela própria lógica inerente e etimologia, o objetivo do agente é o de obter vantagem econômica (indevida) pela utilização de um golpe de engenharia social e não obter dados.

É, em verdade, “scam” que se utiliza de armadilha informática especial, fazendo o sujeito alvo entrar em situação de angústia ou desespero. O fim do agente, portanto, é sempre o de obter vantagem e as condutas intermediárias devem ser consideradas delitos meio e devem ser absorvidas.

A segunda figura é a de instalação de vulnerabilidades para obtenção de vantagem ilícita. Por vantagem ilícita, compreende-se toda aquela reprovável e não admissível em lei e, nas palavras de Prado, “é todo o benefício ou proveito contrário ao Direito, constituindo, portanto, elemento normativo jurídico do tipo de injusto”.(3) Em nosso exemplo, tal tipo também parece ficar excluído.

Isso porque por “vulnerabilidade” entende-se a circunstância que dê condição de ataque ou ofensa à vítima. E o legislador pecou na redação da lei ao pluralizar a expressão “instalação de vulnerabilidadeS”, fato que não ocorre no caso em si. Apenas uma vulnerabilidade é instalada na máquina capaz de ofender o usuário, a partir do arquivo que modifica os arquivos de acesso aos recursos.

É dizer, portanto, que apesar de violar a disponibilidade de arquivos ou sistema e de atacar frontalmente a segurança informática que defendemos como bem jurídico autônomo, trata-se, em verdade, de situação de extorsão propriamente dita.

Há um constrangimento virtual com grave ameaça de perdas consideráveis (patrimoniais ou morais) para que o vitimizado faça um movimento que gerará vantagem patrimonial indevida a si ou a terceiro.

Golpes semelhantes se disseminaram em dois exemplos de “scam”(4) bastante conhecidos, mas sem a infecção da máquina: (a) no primeiro ataque de tal natureza, surgia um informe na tela alertando que o usuário estaria utilizando uma versão ilegal do Windows, exigindo-se que este pagasse um valor para que não fosse alertada a polícia federal dos EUA (FBI) a título de licença do sistema operacional; (b) um segundo exemplo foi o de mensagens que surgiam na tela informando que o FBI ou outra instituição havia detectado pornografia ilegal no computador do usuário e ele deveria pagar um valor a título de fiança.

Há, portanto, conforme amadurecemos no meio ambiente informático, crescentes novas competências a serem desenvolvidas pelos usuários e crescentes novos cuidados a serem tomados.

Referências bibliográficas

Prado, Luiz Regis. Curso de direito penal brasileiro, v. 2: parte especial. 7. ed. rev., atual. e ampl. São Paulo: RT, 2008.

Sydow, Spencer Toth. Crimes informáticos e suas vítimas. São Paulo: Saraiva, 2013.

Young, A.; Yung, M., Cryptovirology: extortion-based security threats and countermeasures. Proceedings 1996 IEEE Symposium on Security and Privacy. p. 129. Disponível em: <http://www.techrepublic.com/blog/it-security/ransomware-extortion-via-the-internet/2976/). Acesso em 18 mar. 2014, às 20h15min <http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.121.3120&rep=rep1&type=pdf>. Acesso em 18 mar. 2014, às 20h16min.

Notas:

(1) Adam Young e Moti Yung cunharam o termo “criptovirologia” e demonstraram seu funcionamento em 1996, através do paper Cryptovirology: Extortion-Based Security Threats and Countermeasures. Disponível em: <citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.121.3120&rep=rep1&type=pdf>. Acesso em: 18 mar. 2014, às 11h56min.

(2) Definição de Young e Yung, cf. artigo citado na nota de rodapé anterior. Original: “Crypto-viral extortion, which uses public key cryptography, is a denial of resources attack. It is a three-round protocol that is carried out by an attacker against a victim. The attack is carried out via a crypto-virus that uses a hybrid cryptosystem to encrypt host data while deleting or overwriting the original data in the process”.

(3) Prado, Luiz Regis. Curso de direito penal brasileiro, v. 2: parte especial. 7. ed. rev., atual. e ampl. São Paulo: RT, 2008, p. 445.

(4) Defendemos a existência de duas modalidades de scam, quais sejam o scam estelionato e o scam extorsão.