Um ciberataque assassino poderá ser apenas uma questão de tempo?

A possibilidade de acontecerem assassinatos cibernéticos não são uma novidade. Há 22 anos, o New York Times levantava mesmo a hipótese de um “Pearl Harbor eletrónico”. Em 2011, Leon Panetta, então secretário da defesa dos Estados Unidos da América, sugeria que “o próximo Pearl Harbor… poderia muito bem ser um ciberataque”, talvez “tão destrutivo quanto o ataque terrorista de 11 de setembro de 2001”. A recordação é trazida à tona por Shashank Joshi, editor de defesa da publicação inglesa The Economist, num artigo intitulado O Mundo em 2021: Assassinato Por Números.

Não há registo de que algum ataque cibernético mortal em grande escala tenha ocorrido. Mas, em setembro do ano passado, um apagão desligou os computadores do Hospital Universitário de Düsseldorf, na Alemanha, e uma mulher que precisava de uma cirurgia urgente morreu após ser transferida para outra cidade. O ataque informático dirigido aos computadores da Universidade Heinrich Heine acabou por afetar os equipamentos da clínica, encriptando 30 dos seus servidores.

Esta,
a primeira morte conhecida como resultado de um ataque cibernético,
parece ter sido acidental. Mas, mostra como causar deliberadamente a
morte dessa forma é certamente possível. Principalmente, à medida
que mais aspetos da vida das pessoas envolvem estar ligado em rede.

Para prejudicar ou matar alguém que ainda não depende de máquinas de suporte à vida, o malware deve aproveitar a energia cinética ou química de algo que controla. Os candidatos óbvios são os sistemas de controlo industrial, como os que supervisionam centrais elétricas e fábricas. Em 2007, o Departamento de Energia dos EUA mostrou publicamente que 21 linhas de código poderiam abrir e fechar rapidamente os disjuntores de um gerador a diesel, fazendo com que a máquina fumegasse, sacudisse e estilhaçasse. “Era semelhante ao stress colocado na transmissão de um carro quando um motorista engatava a marcha-atrás enquanto o carro acelerava”, observou Ben Buchanan, da Universidade de Georgetown, no seu livro The Hacker and the State.

Pouco depois, os EUA e Israel lançaram o Stuxnet, um worm (um tipo de malware mais perigoso que um vírus comum) de computador que aplicou um truque semelhante nas refinarias de gás iranianas, paralisando mais de mil. Em 2016, o malware russo, inspirado em parte pelo Stuxnet, interrompeu a rede elétrica da Ucrânia e cortou a energia de um quinto de Kiev no meio de um inverno rigoroso. Persuadir máquinas ou circuitos a "cometerem suicídio" não é a única maneira de prejudicar as pessoas. Em abril de 2020, uma central elétrica israelita de água e esgoto foi atingida por um alegado ataque cibernético iraniano, aparentemente com a intenção de enganar as bombas para que adicionassem cloro em excesso ao abastecimento de água residencial. A Ucrânia relatou uma intrusão semelhante em 2018.

Ninguém morreu como resultado desses ataques, mas podia ter acontecido. O frustrado ataque da estação de esgoto poderia ter causado “danos muito grandes à população civil”, observou Yigal Unna, chefe do Departamento Cibernético Nacional de Israel. Na Ucrânia, em 2016, os agressores parecem ter contido as suas forças, observa Ben Buchanan, visando apenas uma única subestação elétrica em Kiev. Nos últimos anos, os EUA e a Rússia têm sondado as redes de energia uns dos outros e deixando para trás malware, como esconderijos de armas colocados atrás das linhas inimigas. Numa crise séria, os líderes podem escolher usá-los em vez de uma opção militar mais arriscada, potencialmente cortando a energia de serviços vitais.

Em 2017, os hackers norte-coreanos implantaram o WannaCry, um ransomware que criptografava dados e exigia um resgate para desbloqueá-los. Atingiu inadvertidamente o Serviço Nacional de Saúde do Reino Unido, afetando dezenas de hospitais e cerca de 600 consultórios médicos. Ao contrário do caso em Düsseldorf, o impacto foi limitado – houve uma queda nas admissões de doentes, mas nenhum aumento na mortalidade.

Podem existir ainda meios mais simples de homicídio cibernético. Os veículos com pessoas no seu interior enquanto se movem a alta velocidade têm cada vez mais uma ligação à Internet, com padrões de segurança fracos. Os hackers têm demonstrado repetidamente a capacidade de assumir o controlo de carros em movimento. Uma dessas demonstrações fez com que a Fiat Chrysler recolhesse 1,4 milhões de veículos em 2015. A ABI, uma empresa de inteligência de mercado, avalia que 91% dos novos veículos de passageiros e camiões vendidos nos EUA em 2020 têm ligação à Internet. Em velocidades de estrada não seria necessário um Stuxnet para causar alguns danos. Mas, à medida que os invasores se tornam mais sofisticados e o número de potenciais alvos aumenta, é uma questão de quando, e não se, um ataque cibernético será deliberadamente fatal.