Como as organizações se tornaram no novo campo de batalha da ciberguerra

Em fevereiro de 2011, no Capitólio dos Estados Unidos, Leon Panetta – então Diretor da CIA que, meses mais tarde, viria a tornar-se Secretário da Defesa da administração Obama – compareceu perante o Comité Permanente de Inteligência da Câmara dos Representantes. Nessa audiência, Panetta proferiu uma advertência que ficaria para a história: “o próximo Pearl Harbor que enfrentarmos pode muito bem ser um ciberataque”.

No ano anterior, o mundo ficou a conhecer o Stuxnet, o famoso worm projetado especificamente para atacar o sistema operacional SCADA da Siemens presente numa instalação nuclear iraniana. Este malware – nunca oficialmente assumido pelos respetivos governos, mas amplamente atribuído por especialistas aos Estados Unidos e Israel – é o primeiro ciberataque amplamente conhecido direcionado a uma infraestrutura física crítica.

Quatro anos após o alerta de Panetta, em 2015, ciberatacantes russos comprometeram três empresas de distribuição elétrica na Ucrânia, tendo causado falhas de energia a aproximadamente 230 mil consumidores. Este foi o primeiro ciberataque bem-sucedido publicamente conhecido contra a rede elétrica de um país. Mas, mais do que isso, é o exemplo de como a ciberguerra saiu da teoria e passou para a prática.

Chegamos a 2022 e a Rússia começa uma invasão a territórios ucranianos. A 23 de fevereiro de 2022, um dia antes da invasão, o GRU – o serviço de inteligência militar das forças armadas russas – lançou vários ciberataques destrutivos contra o governo ucraniano. O número de ciberincidentes triplicou em 2022, com ambos os lados a lançarem os seus próprios ciberataques numa escala sem precedentes. A guerra convencional e a ciberguerra fundiram-se numa única campanha coordenada, transformando o conflito Ucrânia-Rússia no principal exemplo de guerra híbrida do século XXI, onde mísseis e malware operam em sincronia.

O novo campo de batalha

	“É essencial capacitar as equipas humanas - e não só as equipas técnicas e de gestão, mas todos os colaboradores - com formação contínua, simulações de ataque e planos de resposta a cibercrises bem ensaiados” Bruno Castro, Fundador & CEO da VisionWare

“O panorama das ciberameaças patrocinadas por Estados-nação tornou-se significativamente mais sofisticado e persistente ao longo dos últimos anos”, com “objetivos que vão muito além da espionagem tradicional”, explica Bruno Castro, Fundador & CEO da VisionWare. “Hoje, estas operações procuram desestabilizar economias, manipular informação, enfraquecer alianças estratégicas, comprometer a soberania digital de outros Estados e até servir como novas formas de guerra”.

Esta transformação não aconteceu de um dia para o outro. Se o ataque à rede elétrica ucraniana de 2015 marcou o primeiro passo da ciberguerra contra infraestruturas físicas, o NotPetya, em 2017, revelou a verdadeira dimensão destrutiva possível: dez mil milhões de dólares em danos, de acordo com a SoftwareLab. O que começou como um ciberataque dirigido à Ucrânia espalhou-se globalmente, o que demonstra como “o panorama transcendeu a ideia inicial de espionagem e sabotagem para uma dimensão de disrupção em larga escala”, refere Miguel Nunes, Chief Information Security Officer da Claranet Portugal.

“Os setores mais visados tendem a coincidir com os que têm maior valor estratégico ou impacto sistémico”, diz Bruno Castro, acrescentando que “nomeadamente as infraestruturas críticas, como energia, transportes, telecomunicações e saúde, que têm sido alvos recorrentes. O setor financeiro, o aeroespacial e os fornecedores de software e serviços cloud também estão entre os principais afetados”. Esta escolha não é casual, explica Miguel Nunes: “setores como telecomunicações, energia, saúde e finanças estão particularmente expostos, dada a sua importância estratégia e a crescente superfície de ataque digital através de aplicações web, API e infraestruturas cloud”.

A sofisticação atual das operações é evidente na sua duração e planeamento. “Existe uma clara intensificação das capacidades técnicas de atores estatais com campanhas cuidadosamente planeadas, muitas vezes conduzidas ao longo de meses ou até anos”, explica Bruno Castro. Este modelo de ‘jogo longo’ foi exemplificado no caso da SolarWinds, em 2020, onde ciberatacantes permaneceram despercebidos durante meses em milhares de redes empresariais e governamentais, o que demonstra que “o impacto vai muito além das fronteiras geopolíticas, visando infraestruturas críticas que, em muitos países, são geridas” por empresas privadas, refere Miguel Nunes.

O campo de batalha digital de hoje é, assim, fundamentalmente diferente dos primeiros ciberataques. Não se trata de espiar ou sabotar, mas de criar um estado permanente de vulnerabilidade e incerteza que transcende as fronteiras tradicionais entre paz e guerra.

As empresas no centro do conflito

“As empresas privadas tornaram-se atores centrais, e muitas vezes involuntárias, nos conflitos cibernéticos entre Estados”, afirma Bruno Castro. Esta realidade representa uma mudança fundamental na natureza da guerra moderna, onde as linhas entre alvos militares e civis se tornaram praticamente irreconhecíveis. “Frequentemente, são usadas como alvos indiretos em operações de retaliação como meio de alcançar adversários estatais através da disrupção económica”, acrescenta o Fundador & CEO da VisionWare.

Na mesma linha, Miguel Nunes explica que “as empresas privadas são cada vez mais envolvidas em conflitos no ciberespaço devido à sua responsabilidade na gestão de infraestruturas críticas”. Este envolvimento não é, no entanto, acidental; é estratégico. “Cenários como ataques ao sistema financeiro, ou disrupções no setor energético, têm demonstrado que as empresas são vetores diretos para causar interrupção económica, política e social”, diz.

O caso da Maersk durante o ataque NotPetya ilustra esta nova realidade. De acordo com a SoftwareLab, a instalação do software ucraniano M.E.Doc numa única máquina no escritório local permitiu que o malware se infiltrasse em toda a infraestrutura da empresa, paralisando 574 escritórios em 130 países e causando um prejuízo estimado entre 200 e 300 milhões de dólares. Apesar de não ter uma ligação ao conflito russo-ucraniano, a Maersk tornou-se numa vítima colateral.

“Outras vezes”, refere Bruno Castro, “são exploradas como vetores de ataque a entidades governamentais ou infraestruturas críticas, através da chamada cadeia de abastecimento digital”. O ataque à SolarWinds, por exemplo, exemplifica esta estratégia, onde uma única empresa privada se tornou na porta de entrada para uma das maiores operações de ciberespionagem até agora conhecida.

Esta tendência intensificou-se com a guerra na Ucrânia. De acordo com Miguel Nunes, da Claranet Portugal, “a expansão de superfícies de ataque digitais coloca as organizações privadas numa posição cada vez mais exposta”. O número de ataques russos na Europa quase triplicou entre 2023 e 2024, segundo dados do Center for Strategic & International Studies, com empresas de vários setores a serem visadas pela sua capacidade de causar uma ampla disrupção económica.

“Além disso, as empresas tecnológicas, particularmente as que operam plataformas de comunicação, serviços cloud ou infraestruturas digitais, têm vindo a ser convidadas a colaborar com entidades públicas na monitorização de ameaças e na resposta a incidentes”, observa Bruno Castro. Esta colaboração coloca as empresas numa posição impossível: “em contextos de elevada tensão geopolítica, espera-se cada vez mais que estas organizações se posicionem estrategicamente do lado da segurança nacional, assumindo um papel ativo na proteção do seu ecossistema”.

As empresas já não são apenas espectadoras dos conflitos entre nações e encontram-se no centro de uma tempestade: são simultaneamente alvos, armas e campos de batalha na nova era da ciberguerra.

Distinguir o inimigo

Numa altura onde ciberatacantes podem causar danos de milhões e onde grupos patrocinados por Estados-nação conseguem permanecer despercebidos durante largos períodos, surge uma questão fundamental: como é que se distingue um ciberataque criminoso sofisticado e uma verdadeira operação de guerra digital?

“As prioridades absolutas são: adotar uma postura proativa, não esperar pelos ataques, mas preparando-se para os evitar, (...) investir em simulações para testar a resiliência organizacional em cenários reais” Miguel Nunes, Chief Information Security Officer da Claranet Portugal

“Distinguir um ciberataque criminoso sofisticado de uma operação de ciberguerra é um desafio complexo”, admite Miguel Nunes, acrescentando que, “embora ambos possam demonstrar alta sofisticação, a ciberguerra é caracterizada por ataques coordenados, muitas vezes promovidos por atores estatais ou grupos afiliados, com o objetivo de atingir infraestruturas críticas e redes de informação para fins estratégicos”.

Por seu lado, Bruno Castro especifica que “as operações de ciberguerra tendem a ser mais discretas, com foco em comprometer sistemas sem serem detetadas, explorando vulnerabilidades raras, por vezes desconhecidas (zero-days), e demonstram um elevado grau de preparação e paciência. Por norma, não têm como principal motivação o lucro imediato, mas sim a obtenção de vantagem estratégica, influência política ou disrupção do adversário”.

O contraste com o cibercrime é, no entanto, claro. “Os ciberataques de natureza criminoso, mesmo quando muito sofisticados, procuram normalmente retorno financeiro direto, como a extorsão via ransomware, roubo de cartões ou fraudes”, explica Bruno Castro, que acrescenta que estes ciberataques “são, por isso, mais visíveis e agressivos, com menor preocupação em mascarar a sua proveniência”.

O NotPetya ilustra esta distinção. Inicialmente, foi classificado como ransomware, mas os especialistas perceberam que funcionava mais como um wiper, destruindo permanentemente os dados. A CIA conclui com “alta confiança”, como cita o Washington Post, como foi criado pelo GRU não para lucrar, mas para causar máxima disrupção na Ucrânia. O pedido de resgate de algumas centenas de euros em bitcoin era apenas uma fachada e, mesmo pagando, as vítimas não conseguiam recuperar os dados.

Contudo, alerta Bruno Castro, “a linha entre ambos tem vindo a esbater-se, especialmente com a proliferação de grupos de ameaças híbridas que operam com apoio de Estados”. Grupo como o Conti, que existem com o objetivo ‘oficial’ de lucrar, mas com ligações suspeitas ao Estado russo, exemplificam esta ambiguidade crescente.

“A atribuição é complexa devido ao anonimato e às técnicas de disfarce”, reconhece Miguel Nunes. “A análise deve focar-se não só nas componentes forenses e técnicas, mas também na intenção, nos alvos e nas cadeias de impacto, que, num contexto de ciberguerra, visam essencialmente provocar a destabilização social, política e económica”.

“Apesar de não existir uma definição clara sobre quando um ciberataque pode ser considerado um ato de guerra”, diz Bruno Castro, “as consequências do mesmo podem servir como uma linha orientadora, nomeadamente ao avaliar se houve destruição física e/ou até perda de vidas”.

Um indicador adicional são os padrões temporais. “A correlação entre a ciberatividade e o contexto externo pode ser um forte indicador de uma operação patrocinada por um Estado”, refere Bruno Castro, acrescentando que “picos de atividade maliciosa durante eleições, sanções internacionais, tensões diplomáticas, conflitos armados” podem revelar motivações geopolíticas por trás dos ciberataques.

“O ponto de debate reside no limiar que transforma um ataque digital num ato de guerra”, defende Miguel Nunes, da Claranet Portugal. Numa era onde esta linha se torna cada vez mais ténue, a capacidade de distinguir o inimigo pode determinar não apenas a resposta adequada, mas a própria sobrevivência organizacional no campo de batalha digital.

Reconhecer o ciberataque

Identificar uma operação de ciberguerra em curso não é uma tarefa fácil. Ao contrário dos ciberataques criminosos, que muitas vezes se revelam através de pedidos de resgate ou sistemas bloqueados, as operações estatais são desenhadas para permanecer invisíveis durante o maior tempo possível.

“Sinais de alerta incluem acessos anómalos a sistemas críticos e tentativas persistentes de reconhecimento de rede”, explica Miguel Nunes, da Claranet Portugal. Contudo, ao contrário dos ataques criminosos que procuram resultados rápidos, “a ciberguerra pode manifestar-se através de ataques de negação de serviço que servem, posteriormente, para intrusões mais profundas, manipulação de dados sensíveis ou interrupções inexplicáveis de serviços essenciais”.

Bruno Castro partilha que “um dos mais gritantes [sinais] é a presença de atividade anómala sustentada ao longo do tempo sem causar impacto visível imediato: típico de campanhas de reconhecimento silencioso”. Esta paciência estratégica distingue claramente as operações estatais dos ataques criminosos. “A utilização de ferramentas personalizadas, o acesso lateral a múltiplos sistemas e a exfiltração seletiva de dados estratégicos (em vez de dados comerciais ou financeiros) são também fortes” indicadores de uma operação patrocinada por Estados.

Preparar para o conflito

Perante a nova realidade, as organizações têm de definir como se podem preparar para um conflito que pode eclodir a qualquer momento e onde as regras tradicionais de defesa podem deixar de ser suficientes.

“Para organizações em alto risco de ataques patrocinados por Estados-nação, a cibersegurança empresarial não pode basear-se em confiança implícita”, alerta Miguel Nunes. A resposta passa por uma mudança fundamental de paradigma. “O modelo Zero Trust destaca-se como eficaz, onde cada utilizador e dispositivo na rede deve ser tratado como uma potencial ameaça até prova em contrário. A implementação de autenticação contínua e monitorização rigorosa pode minimizar as janelas de oportunidade para intrusos”.

Para Bruno Castro, “as organizações com elevado risco de serem alvo de ataques patrocinados por Estados devem integrar a cibersegurança no centro da sua estratégia de gestão”. Isto significa uma reorganização ao mais alto nível: “garantir que os responsáveis pela segurança têm assento na mesa da decisão, com autonomia suficiente e acesso direto à administração. Por exemplo, um CISO deve ver a sua posição ser fortalecida, com ligações funcionais ao Conselho de Administração”.

A preparação técnica é uma parte desta equação. “A curto e médio prazo, as organizações devem focar-se na construção de uma postura de segurança resiliente e adaptativa”, explica Bruno Castro. “Isso passa, em primeiro lugar, pela segmentação adequada das redes, implementação de políticas de acesso com base em princípios de Zero Trust e gestão rigorosa de identidades”.

As lições da guerra na Ucrânia são particularmente relevantes. Apesar da intensidade dos ciberataques russos, a resiliência ucraniana tem sido notável, com especialistas, citados pela NPR, a atribuírem isto “à capacidade de proteger, absorver e recuperar rapidamente dos ataques”. Esta resiliência não aconteceu por acaso: foi construída através de preparação sistemática e parcerias estratégicas.

“As prioridades absolutas são: adotar uma postura proativa, não esperar pelos ataques, mas preparando-se para os evitar”, enfatiza Miguel Nunes, que acrescenta que esta preparação inclui elementos práticos, como “implementar um modelo de Zero Trust com autenticação contínua e segmentação de acessos na rede interna e externa; investir em simulações para testar a resiliência organizacional em cenários reais”.

Também o elemento humano é igualmente crítico. “Deve ser dada prioridade à deteção precoce de anomalias, com recurso a soluções de monitorização contínua e resposta automatizada a incidentes”, afirma Bruno Castro. “Paralelamente, é essencial capacitar as equipas humanas - e não só as equipas técnicas e de gestão, mas todos os colaboradores – com formação contínua, simulações de ataque e planos de resposta a cibercrises bem ensaiados”.

As parcerias entre organizações públicas e empresas privadas emergem como elemento fundamental desta preparação. “As parcerias público-privadas mais eficazes na proteção contra ameaças de cyber warfare envolvem uma colaboração intensificada entre empresas e o governo”, explica Miguel Nunes. Esta colaboração visa “estabelecer padrões robustos de comunicação com partilha de informação relevante, nomeadamente Indicadores de Compromisso (IOC), e resposta em cenários de emergência”.

Já Bruno Castro especifica que “as parcerias público-privadas mais eficazes são aquelas assentes na partilha de informação útil em tempo real, e em confiança e colaboração ongoing. Redes colaborativas, como os ISAC (Information Sharing and Analysis Centers), têm-se revelado especialmente valiosas ao permitir uma resposta mais coordenada e informada”.

A tecnologia também está a redefinir as possibilidades defensivas. “Tecnologias emergentes como a inteligência artificial aplicada à deteção de anomalias e as plataformas de resposta automática a incidentes (SOAR) estão a redefinir o equilíbrio entre ataque e defesa”, observa Miguel Nunes. “Estas soluções aumentam a capacidade de antecipar, conter e neutralizar ameaças com maior rapidez e precisão”.

No entanto, também esta evolução tecnológica está a ser utilizada por quem ataca, alerta Bruno Castro. “A inteligência artificial, por exemplo, está a ser usada tanto para automatizar tarefas defensivas, na deteção de anomalias e resposta a incidentes, como para possibilitar ciberataques mais personalizados e difíceis de detetar”.

A preparação para este novo tipo de conflito exige, portanto, uma abordagem holística, onde é preciso “educar e treinar equipas, promovendo uma cultura onde a cibersegurança é responsabilidade de todos”, como refere Miguel Nunes. Bruno Castro reforça que “a cibersegurança deixou de ser apenas uma questão técnica: é uma dimensão crítica da continuidade e soberania das organizações”.

Treze anos depois do alerta de Leo Panetta, o “próximo Pearl Harbor” não foi um evento único e devastador, mas sim uma série de ataques coordenados que redefiniram a própria natureza da guerra. Do Stuxnet ao ataque à rede elétrica ucraniana, do NotPetya à guerra híbrida atual, o mundo assiste à materialização de um campo de batalha onde as fronteiras entre paz e guerra, militar e civil, público e privado se dissolveram por completo.

Neste novo paradigma, a ciberguerra deixou de ser uma possibilidade distante para se tornar numa realidade quotidiana que exige uma vigilância constante. As organizações têm de compreender que, querendo ou não, estão no centro deste conflito global. O “próximo Pearl Harbor” pode não vir do céu, mas de uma simples ligação maliciosa.