Scott Nichols: “Quem controla a informação controla o mundo” (com vídeo)

“Inside Nation-State Cyberattacks” foi o tema que Scott Nichols trouxe ao palco das Technical Tracks na quarta edição da IT Security Conference, onde começa por explicar que “os nation-state actors são diferentes dos cibercriminosos comuns, embora façam parte da mesma categoria”.

A persistência é, segundo o Specialist in Cyber Threats, a característica mais perigosa destes ataques, uma vez que “estes atores permanecem dentro das redes durante muito tempo. Não é coisa de dias ou semanas. O objetivo é ficarem invisíveis” e exemplifica que viu casos “em que ficaram mais de 14 anos”. Esta longevidade, esclarece, permite-lhes conhecer de forma mais aprofundada a infraestrutura, as equipas e, por vezes, a vida pessoal dos colaboradores para, mais tarde, utilizarem essas informações como alavanca para controlar.

Além disso, reforça que a ameaça não fica confinada à exfiltração de dados e pode provocar consequências físicas e colocar vidas em risco, uma vez que os alvos preferenciais abrangem sobretudo os setores críticos como energia, água, transportes, comunicações e bancos. “Se alguém manipular o código de um dispositivo médico, pode causar uma morte”, constata.

O lado invisível da guerra digital

“Os nation-state actors exploram vulnerabilidades de zero-day, falhas que ainda não têm correção e muitas delas surgem em dispositivos ligados à internet”, explica. Alerta também que a descoberta de falhas nem sempre é obra de investigadores independentes e afirma que “há uma boa hipótese de ter sido descoberta por um grupo estatal”. Prova disso é que “há operações de bandeira falsa: ataques que parecem vir da Rússia, mas são da China, ou o contrário. Copiam código de outros países para confundir a atribuição”.

O especialista salienta a gravidade destas operações para a segurança das organizações e explica que “o malware pode esconder-se em firmware, no disco rígido, na bateria, no BIOS. Mesmo que reinstalem o sistema operativo, ele continua lá e não há assinaturas antivírus que o detetem”. “Ferramentas como as que foram reveladas pelos Shadow Brokers ou no Vault 7 da CIA mostram bem o nível destas operações”, refere.

“Não acho que Portugal esteja em perigo mais do que qualquer outro país”, afirma Scott Nichols, em entrevista exclusiva à IT Security, à margem da IT Security Conference 2025. O especialista acrescenta que “qualquer pessoa em Portugal – em qualquer indústria ou negócio – deve partir do princípio de que já foi comprometida” e sublinha que o risco não resulta necessariamente de intenções maliciosas, mas do simples facto de “basta uma pequena informação para ter um grande impacto”.

O fator humano como vetor de comprometimento

Nos casos demonstrados, a dimensão humana revela-se um vetor crítico de ataque, dado que, aponta, “para comprometer uma organização, basta explorar alguém vulnerável. Uma pessoa com problemas financeiros ou de saúde pode ser manipulada para instalar algo sem perceber”. Este exemplo evidencia que políticas de segurança e defesas técnicas isoladas não são suficientes; a proteção de sistemas exige também formação, monitorização e mitigação de riscos associados ao comportamento humano.

De acordo com Scott Nichols os principais atores estatais são “a China, a Coreia do Norte, os Estados Unidos, Israel e a Rússia. Cada um com as suas motivações”. A duração das campanhas de espionagem, diz, varia, com algumas a durar de três a doze meses e outras entre um a cinco anos. Há, aliás, provas de que alguns Estados mantêm acesso a redes durante mais de uma década, o que evidencia a persistência e o alcance estratégico destes ataques.

Com especial atenção às cadeias de abastecimento, que considera como um ponto crítico de ataque, Nichols descreve operações que comprometem sistemas ainda antes de chegarem ao destino. “Alteram componentes físicos durante o transporte [entre o fabricante e o cliente], modificam chips em placas-mãe”, exemplifica. O especialista alerta que estas vulnerabilidades exigem inspeções de hardware mais rigorosas, já que a segurança não pode depender apenas de software ou certificados.

Da encriptação às novas fronteiras digitais

Do ponto de vista preventivo, o especialista identifica vetores e limitações tecnológicas e alerta que a encriptação de comunicações não elimina todos os riscos. “As comunicações encriptadas, como no WhatsApp, não estão seguras se o dispositivo for comprometido. A encriptação protege a transmissão, não o ponto de origem ou destino”, afirma. Acrescenta também que os sistemas operativos e drivers são superfícies de ataque, onde “há vulnerabilidades no Windows, Linux, Android, iOS, todos eles. E os ataques mais recentes exploram drivers legítimos para ganhar privilégios no sistema”.

No que diz respeito às implicações estratégicas e futuras tendências, Nichols descreve uma aceleração pela inteligência artificial e pela interconexão massiva, com “grupos a usá-la para contornar software de segurança”. Dado o cenário geopolítico de fragmentação, diz, “o futuro pode trazer fronteiras digitais, com cada país a controlar uma parte da internet”. Destaca ainda que “a cibersegurança e a guerra psicológica estão a fundir-se. Basta espalhar o rumor de que a eletricidade vai falhar durante uma semana para causar o caos”.

A lição, recomenda, passa em primeiro lugar por reconhecer que a ameaça é persistente, sofisticada e com meios que ultrapassam capacidades tradicionais de defesa; e, em segundo lugar, admitir que a resposta técnica exige integração entre segurança da infraestrutura, segurança do dispositivo, gestão de fornecedores e políticas de presença humana, sendo que, nas palavras de Nichols, “quem controla a informação controla o mundo”.