- Porque é que a segurança informática é mesmo importante?
- Onde é que estamos mais em perigo, no computador ou no smartphone?
- Que tipo de informação está em risco?
- O que podem fazer com os nossos dados?
- O que é que podemos fazer para nos protegermos?
- O que é uma password segura e como se cria?
- O que é um gestor de passwords?
- Porque não se deve usar a mesma palavra-passe em diferentes contas?
- O que é o sistema de verificação em dois passos?
- Existe algum sistema de segurança infalível?
- Viver sem passwords, é possível?
- “Perdi o telemóvel. E agora?”
- Porque é que os backups são importantes?
- Devo ligar-me a redes Wi-Fi desconhecidas?
- Internet das Coisas. Devemos estar preocupados?
- Aplicações de mensagens: são todas iguais?
- Todas as aplicações móveis são seguras?
- Qual é o preço da segurança?
Explicador
- Porque é que a segurança informática é mesmo importante?
- Onde é que estamos mais em perigo, no computador ou no smartphone?
- Que tipo de informação está em risco?
- O que podem fazer com os nossos dados?
- O que é que podemos fazer para nos protegermos?
- O que é uma password segura e como se cria?
- O que é um gestor de passwords?
- Porque não se deve usar a mesma palavra-passe em diferentes contas?
- O que é o sistema de verificação em dois passos?
- Existe algum sistema de segurança infalível?
- Viver sem passwords, é possível?
- “Perdi o telemóvel. E agora?”
- Porque é que os backups são importantes?
- Devo ligar-me a redes Wi-Fi desconhecidas?
- Internet das Coisas. Devemos estar preocupados?
- Aplicações de mensagens: são todas iguais?
- Todas as aplicações móveis são seguras?
- Qual é o preço da segurança?
Explicador
Porque é que a segurança informática é mesmo importante?
Porque aquilo a que se costuma chamar “iliteracia tecnológica” não escolhe idade ou formação académica. O que deveriam ser práticas comuns de segurança informática continuam a ser ignoradas pela maioria das pessoas, incluindo os jovens que cresceram com a tecnologia, pondo em risco não só a sua privacidade, mas a de todos os que o rodeiam.
Os dispositivos que usamos diariamente existem para nos facilitar a vida, mas não podemos confiar neles cegamente. E é errado pensar que os “piratas informáticos” só se interessam por celebridades ou por grandes organizações e empresas. Todos estamos em risco, como nos explicou em outubro passado o diretor do laboratório de privacidade e segurança da Google, Wieland Holfelder, numa visita da imprensa a Munique, Alemanha.
O diretor da Google diz que apenas “há dois tipos de utilizadores: os que foram ‘pirateados’ e os que não sabem que o foram”. É preciso brincar com coisas sérias para espalhar a mensagem. Acima de tudo, defende que “internautas informados fazem a web mais segura”.
Por isso fizemos este Explicador, na tentativa de lhe dar conta de algumas regras fundamentais de segurança. Se não encontrar resposta para a(s) sua(s) dúvida(s), por favor, escreva-nos. Vamos a isso?
Onde é que estamos mais em perigo, no computador ou no smartphone?
Tecnicamente, em ambos. Por um lado, porque os smartphones são “computadores de bolso”, sempre ligados à Internet, com software cada vez mais complexo e, por isso, com um número crescente de vulnerabilidades. Por outro, porque guardamos cada vez mais informação nos telemóveis, o que os torna um alvo apetecível para os hackers (“piratas” informáticos).
Contudo, continuamos a olhar para os computadores e para os telemóveis de maneira diferente. Só para dar um exemplo: muitas pessoas têm o cuidado de instalar um antivírus no computador, mas poucas se lembram de instalar um no smartphone. Sabia que existem?
Um processo semelhante aconteceu com os computadores pessoais. Durante muitos anos correu a ideia de que os computadores da Apple eram imunes a ameaças externas, o que nunca foi verdade. Simplesmente, o número destes computadores era muito reduzido, comparativamente com os que corriam o sistema operativo Windows. Com o aumento do número de Mac aumentaram as ameaças, porque subiu também o interesse dos hackers. É a lei básica da oferta e da procura.
Estima-se que, no decorrer de 2017, uma em cada três pessoas esteja a usar um smartphone (num total de 2.6 mil milhões de dispositivos ativos); um número bastante “apetecível”, não é?
Que tipo de informação está em risco?
Atualmente, acumulamos todo o tipo de informação (pessoal e profissional) em formato digital. É nos smartphones, tablets e computadores que guardamos fotografias, documentos, notas, lembretes e memos de voz. É através deles que acedemos ao email, aos ficheiros guardados na cloud, às aplicações dos bancos (por onde fazemos pagamentos e transferências), às redes sociais e às também inúmeras plataformas de chat, que além do texto incluem também fotografias e vídeos.
É provável que nunca tenha parado para pensar na quantidade (e variedade) de dados que transporta consigo para todo o lado e, porque estão sempre fisicamente por perto, pensamos que estão a salvo, mas é um engano. Em teoria, toda a informação digital que possuímos pode ser comprometida.
Outro aspeto importante é a cada vez maior promiscuidade tecnológica entre vida pessoal e profissional. Acedemos ao email do trabalho e à cloud do trabalho pelo telemóvel e pelo computador pessoal com a mesma facilidade com que utilizamos o smartphone da empresa para consultar o Facebook quando falha a bateria do pessoal.
É verdade que as grandes empresas possuem mecanismos reforçados de segurança, mas o fator humano é, quase sempre, o ponto fraco. Se a conta de um dos funcionários ficar comprometida, toda a rede empresarial pode ser posta em risco. O mesmo acontece com a conta pessoal – o que nos leva à questão seguinte.
O que podem fazer com os nossos dados?
Os principais riscos são o furto de dados tais como fotografias, lista de contactos e informação bancária; o roubo de identidade, ou seja, aquele em que alguém se faz passar por si; e o crime de extorsão, conhecido por ramsomware.
Furto de dados
No final do verão de 2014 foi amplamente noticiada a fuga de dezenas de fotografias íntimas de celebridades, um incidente que ocorreu a partir das contas iCloud da Apple. As figuras públicas são especialmente procuradas, mas na Internet tudo se compra e tudo se vende. Existe uma Internet escondida, que vive à margem dos motores de pesquisa, conhecida por dark web, onde se dão a maioria das transações ilegais, tais como fotografias (íntimas e de crianças) e números de cartões de crédito. Com estes exemplos é fácil perceber que não é preciso ser-se uma celebridade para ser um potencial alvo.
Como explicámos no ponto anterior, as empresas podem ser comprometidas através dos funcionários. Algumas vezes trata-se de informação particularmente valiosa, que pode ser vendida no mercado negro por quantias elevadas (por exemplo uma ideia ou patente, um segredo comercial). Há empresas que procuram ativamente por este tipo de informação, uma rede de espionagem digital que envolve outras empresas e Estados.
Roubo de identidade
Se alguém conseguir entrar no seu smartphone ou computador, tem acesso à sua vida online e, pior, pode jogar ao “faz de conta”. Um hacker pode enviar emails aos seus contactos fazendo-se passar por si, colocar posts nas redes sociais, executar uma transação bancária, pedir um Uber. E, pior que isso, mudar todas as suas passwords de acesso de todas as contas, podendo, nalguns casos, ser capaz de impedir permanentemente o seu acesso.
Ramsomware
Este tipo de ataque é cada vez mais comum e tem consequências sérias para particulares e empresas. Simplificando, trata-se de um software malicioso que bloqueia totalmente o acesso ao computador. Os criminosos pedem depois um resgate para devolver o acesso ao utilizador e, muitas vezes, fazem-no com sucesso – apesar dos avisos das autoridades para não ceder.
O que é que podemos fazer para nos protegermos?
O mais importante é assumir boas práticas no que toca ao uso das ferramentas da web. Alguns exemplos:
- Seja no computador ou no smartphone, ative sempre a senha de bloqueio do ecrã. Mesmo que seja simples ou óbvia para si e para aqueles que lhe são próximos, dificilmente o será para quem se apoderar dele em caso de perda, furto ou roubo. Esta é a primeira barreira de proteção do dispositivo e uma das mais importantes.
- Nunca abra links ou ficheiros provenientes de contactos desconhecidos ou suspeitos. E desconfie de mensagens enviadas pelos seus colegas ou amigos que contenham uma linguagem, digamos, fora do comum; muito menos se for a pedir dinheiro. Já agora, os bancos nunca mandam emails a solicitar a partilha de códigos de acesso, por exemplo. A melhor atitude é desconfiar, sempre.
- Se um amigo lhe mandar um email estranho, tente falar com ele por outro meio que não o correio eletrónico.
- Alguns esquemas criminosos tentam obter informações confidenciais através de abordagens diretas, nomeadamente por chamadas telefónicas. Se alguém lhe ligar a pedir passwords de acesso, nunca as partilhe. Nem tão pouco qualquer tipo de informação pessoal, se está ou não em casa, se tem menores a seu cargo, etc. Acredite, há pessoas com uma grande capacidade de persuasão. Nunca, mas nunca ceda.
- Não vá na conversa do “Parabéns, foi o cliente 1 Milhão” ou “Introduza aqui o seu número de telefone e habilite-se a ganhar um iPhone”. Nem os supermercados “oferecem 1.000€ em compras” através das redes sociais. São esquemas fraudulentos.
- Instale um antivírus, seja em Windows ou Mac. Pondere também a instalação de um antivírus no smartphone (já existem vários). Isto porque, se o seu dispositivo for infetado, poderá espalhar software malicioso para computadores com um sistema operativo diferente (ou seja, um Mac pode servir de veículo para vírus que infetam Windows e vice-versa).
- Instale ou ative uma Firewall. Se usa um computador da Apple, tenha em conta que a Firewall está desligada por defeito. De caminho, ative o “modo stealth”. Encontra estas opções em Definições > Segurança e Privacidade > Firewall (veja aqui como fazer).
- Mantenha o sistema operativo e todos os programas e aplicações sempre atualizados.
- Faça backups regulares de todos os seus ficheiros. Para isso, use um disco externo ou uma conta na cloud.
- Crie e use passwords seguras (veja o tópico seguinte).
O que é uma password segura e como se cria?
Há várias teorias e recomendações de especialistas sobre o que é e como se deve criar uma boa palavra-passe. Em resumo, quanto mais complexa ela for, melhor. Se for complicada ao ponto de nunca se conseguir lembrar dela, melhor ainda – para isso existem os gestores de passwords, falaremos deles no ponto seguinte.
As boas palavras-passe são, portanto, geralmente longas e construídas com letras (maiúsculas e minúsculas), números e caracteres especiais. Um exemplo: Yjd32H$g&k23rT. Esta página ajuda-o a perceber se a palavra-passe que inventou é ou não considerada “forte”.
Existem ainda inúmeros sites que geram passwords, mas esta é uma boa oportunidade de pôr a imaginação a funcionar. Uma boa senha pode bem resultar de um simples exercício de memória.
Pense numa frase ou ideia que seja, digamos, “sua”: o meu cão chama-se Tejo. Agora isole a primeira letra de cada palavra da frase (OMCCT), alterne as maiúsculas com as minúsculas (oMcCt) e acrescente o dia/mês/ano em que ele foi para sua casa (oMcCt01012017). Depois, complique um pouco acrescentando um ou mais caracteres especiais – por exemplo, um ponto de exclamação a separar as letras dos números: oMcCt!01012017. Aqui tem uma excelente password que deverá conseguir decorar. A imaginação é o limite!
Uma alternativa mais simples consiste em usar uma frase longa: omeucaochamasetejo01012017. Contudo, a alternância de letras maiúsculas e minúsculas e a adição de caracteres especiais dá mais robustez à palavra-passe. Não use apenas palavras, são fáceis de descobrir – os hackers correm todos os dicionários de todas as línguas numa questão de segundos.
Mais um exemplo: cao-meu-Tejo-chama-se-01012017. Frases incoerentes com palavras comuns também fazem boas passwords.
Outro bom hábito: troque as suas passwords com regularidade.
O que é um gestor de passwords?
São ferramentas que nos ajudam a guardar, de forma segura, as muitas palavras-passe que usamos – email(s), redes sociais, lojas online, etc. Os bons programas ou websites encriptam os dados e oferecem como grande vantagem o facto de só ser preciso memorizar uma boa password, já que todas as outras ficam guardadas na aplicação.
Caso perca esta palavra-passe, nunca vai conseguir recuperar todas as outras – o que não é dramático, apenas trabalhoso, ter de pedir novas senhas no “esqueci-me da minha password” de cada site ou serviço, todos dispõem desta alternativa. Uma boa solução é guardar essa palavra-passe… num papel. Isto porque dificilmente um “pirata” informático terá acesso à gaveta da sua secretária ou àquele livro especial que tem guardado na estante de casa. Caso não confie na sua memória, o velho truque do papel é uma boa solução.
Um dos gestores de senhas mais conhecidos e frequentemente recomendados pelos especialistas chama-se 1Password (é multi-dispositivo e multiplataforma), mas encontra facilmente outros na web. Contudo, recomendamos sempre que faça uma pesquisa sobre a respetiva fiabilidade e segurança.
Podemos ainda olhar para esta questão de uma outra perspetiva. Uma vez que os browsers oferecem a opção de memorizar as senhas introduzidas, na prática só precisamos de decorar uma única password robusta: a do email. Isto porque, caso precise de fazer reset ou reinstalar o browser, basta pedir uma nova palavra-passe a todos os serviços (que lhe serão entregues, lá está, na caixa de correio eletrónico). Pode não ser muito prático, mas é uma opção válida, particularmente se usa sempre o mesmo dispositivo e não tem muitas contas online.
Ainda sobre o preenchimento automático: ele serve para facilitar a vida, mas evite confiar no browser para guardar dados tais como o número do cartão de crédito.
Porque não se deve usar a mesma palavra-passe em diferentes contas?
Este é um dos pontos sensíveis (e básicos) da segurança informática: cada site ou aplicação que obrigue a um registo deve ter uma password única ou, por outras palavras, que não seja usada em mais nenhum serviço. Isto porque, se o fizer, quem descobrir a sua palavra-passe num sítio vai conseguir entrar em todos os outros. Básico, não é? Pois é o que acontece frequentemente, um hacker descobre a palavra-passe do email e vai dali para a loja da Amazon ou para o Facebook ou Instagram. Acredite, a sua vida torna-se um inferno.
Se não tem boa memória ou não quiser investir num gestor de passwords, experimente acrescentar variações a uma boa palavra-passe. Utilizando o exemplo da senha usada no ponto 6 deste Explicador:
oMcCt!01012017facebook
oMcCt!01012017amazon
oMcCt!01012017emaildotrabalho
Se optar por esta solução, introduza variáveis na segunda parte da password. Por exemplo oMcCt!01012017faCebo0k ou oMcCt!01012017aMazoN
Contudo, este procedimento não é o ideal, porque os hackers andam sempre à nossa frente. Recomendamos mesmo uma password estruturalmente diferenciada e única para cada serviço. Se a memória não é o seu forte, use um gestor de passwords. E sim, guarde a super-senha de acesso a esse gestor num papel, em casa, num sítio onde não se vai esquecer dela.
O que é o sistema de verificação em dois passos?
Alguns sites possuem uma opção no processo de login que adiciona à password uma segunda camada de segurança. Simplificando, este sistema acrescenta ao que o utilizador sabe – a password – um segundo elemento: uma senha gerada por uma aplicação, enviada por SMS ou verificada por um dispositivo de confiança.
Este sistema é particularmente relevante quando faz o login num browser desconhecido – que é onde está o hacker que descobriu a sua password, mas não tem o seu telemóvel para poder ler a SMS que lhe foi enviada.
Tomando o Gmail como exemplo: depois de digitar a palavra-passe no computador ou no smartphone, é-lhe pedido um segundo número que lhe chega por SMS (numa questão de segundos) ou então através de uma aplicação chamada Google Authenticator (Android e iOS). O processo é mais simples do que parece. Encontra os passos para a configuração deste sistema nas contas mais comuns nestes links:
Facebook (nas definições de segurança, ative a “aprovação de acesso”)
Recomendamos mesmo que ative o sistema de verificação em dois passos. No browser ou aplicação que utiliza no smartphone, computador pessoal ou no do trabalho, só lhe será pedido este segundo código de vez em quando, por isso o processo não se torna chato ou intrusivo. É mais um passo, mas são segundos que vale a pena perder.
Existe algum sistema de segurança infalível?
As ferramentas utilizadas por alguns hackers já são tão sofisticadas que nem uma boa password aliada ao sistema de verificação por dois passos (nos moldes em que foi explicado no ponto anterior) são capaz de assegurar que uma conta fique a salvo. Felizmente, são ainda muito raros os “piratas” que o conseguem fazer, porque é complexo e exige meios que só estão ao alcance de poucos.
Contudo, existe um sistema que é, virtualmente, inviolável: as chaves físicas de segurança. Estes dispositivos, semelhantes a uma pen drive, são a melhor opção para “segundo código” no processo de autenticação em dois passos, porque se trata de um objeto que encaixa na porta USB do computador, ou seja, ninguém o pode “roubar” remotamente.
A Google define a segurança deste sistema da seguinte forma: é como perder a chave de casa na rua; quem a encontra somente a poderá usar se conseguir descobrir a qual casa a chave pertence.
Estas chaves podem ser adquiridas online e podem ser utilizadas, para já, nos browsers Chrome, Opera e no Firefox (através de uma extensão). Algumas chaves já podem ser utilizadas no Safari. Encontra mais informações neste e neste link.
Esta tecnologia de segurança chama-se U2F (Universal 2nd Factor) e deverá ser o novo standard para a autenticação em dois passos, já que conta com o apoio de praticamente todos os pesos pesados da indústria. O protocolo está a ser trabalhado para ser usado também através das tecnologias NFC e Bluetooth.
Viver sem passwords, é possível?
Ainda não.
O protocolo U2F (ver ponto anterior) pode bem ser um caminho para eliminar a necessidade de memorizar e/ou armazenar palavras-passe. Wieland Holfelder, diretor do laboratório de privacidade e segurança da Google, em Munique, explicou ao Observador que, em breve, será apenas necessária a proximidade de um smartphone ou de um smartwatch (ou de outro dispositivo) para fazer login num serviço online.
Outro caminho, já difundido noutros sistemas de segurança bem conhecidos, é o da biometria. Tecnologias como o reconhecimento facial e a leitura da íris, ou no futuro a leitura do padrão das veias da mão ou o pulsar único do coração, deverão bastar para desbloquear o computador e fazer login em todas as nossas contas – à semelhança do que acontece atualmente com os sensores de impressão digital dos smartphones, mas num âmbito mais alargado, ou seja, o acesso aos serviços online.
“Perdi o telemóvel. E agora?”
Primeira pergunta: tinha ativado o código de proteção de ecrã? Esta é a primeira linha de defesa e, apesar de simples, uma das mais eficazes em caso de perda, furto ou roubo.
Opte pelo código PIN, é mais seguro do que o desenho de uma linha padrão. Dificilmente alguém que não lhe seja próximo saberá quais são os algarismos do meio do seu número de contribuinte ou do cartão do cidadão. É fácil inventar combinações, seja criativo. Evite a data de nascimento ou a matrícula do carro; e muito menos o número do PIN do cartão de crédito.
Tenha também o cuidado de ativar a função que apaga todo o conteúdo do smartphone caso sejam feitas mais que X tentativas falhadas de desbloqueio.
Mantenha sempre ligados os dados móveis e a geolocalização, funções essenciais para ativar os sistemas de recuperação do Android e do iOS. Através deles é possível fazer chegar uma mensagem ao ecrã do telemóvel com um contacto alternativo. Felizmente, existem pessoas que devolvem os equipamentos encontrados.
Todas as suas questões sobre a privacidade são legítimas, mas acredite que não vai pensar nisso quando perder o smartphone. Um pouco da nossa privacidade “paga” a segurança? (ver a resposta n.º 17)
Caso não tenha ativado o código de ecrã: preocupe-se em mudar rapidamente todas as passwords de acesso; se já utiliza o sistema de verificação em dois passos poderá ficar descansado em relação a algumas contas, mas nunca fiando.
Sobretudo é importante atuar rapidamente. Um telemóvel desbloqueado nas mãos erradas pode ter consequências graves que vão muito para além do dinheiro gasto em chamadas (veja o ponto 4 – roubo de identidade).
Seja qual for o caso, reporte imediatamente a perda, furto ou roubo à sua operadora, e depois à polícia. Leve consigo o IMEI do telefone (encontra-o na caixa do equipamento ou numa fatura) para que lhe seja emitida uma guia, com a qual poderá pedir, gratuitamente, o bloqueio a todas as redes. Deste modo, inutiliza o telefone por completo.
Porque é que os backups são importantes?
Porque são a única maneira de recuperar os dados de um smartphone ou computador perdido, por exemplo. E por “dados”, entenda-se, boa parte da sua vida (documentos, fotografias, vídeos, etc.).
Já não há desculpa para não fazer um backup regular aos dados. Os serviços de armazenamento na cloud estão cada vez mais baratos e os discos externos também.
As fotografias são um ponto crítico do arquivo da maioria das pessoas. São muitos os serviços que pode utilizar, gratuitamente, para fazer o backup automático das suas imagens: Google Photos, Google Drive, Dropbox, MEOCloud, só para dar três exemplos. Estes serviços oferecem espaço que chega e sobra para guardar os documentos essenciais da maioria dos utilizadores.
Estas aplicações integram-se facilmente com o computador e com os dispositivos móveis, mantêm os documentos sincronizados entre todos os equipamentos, pelo que não vai precisar de se preocupar. Aqui não há botão de “salvar”, tudo acontece automaticamente.
Acima de tudo, é uma questão de disciplina. É com facilidade que deixamos passar meses (ou anos) entre um backup e o outro e, quando o azar acontece, é tarde demais. Lembre-se de rever periodicamente os dados que guarda no disco externo, ou de atualizar a pasta que tem guardada online. Se precisa de guardar grandes quantidades de dados, pondere ativar (ou investir) num sistema automático de backups – Windows 10 e macOS.
Devo ligar-me a redes Wi-Fi desconhecidas?
A resposta correta é apenas uma: nunca.
Isto porque não temos como saber quem está do outro lado do router, se estão ou não a monitorizar o que fazemos com os smartphones ou computadores, se estão ou não a vasculhar os nossos dados (sobre este assunto, consulte também a questão n.º 16).
Evidentemente que não usar uma rede que não a de casa ou do trabalho é quase utópico, sobretudo nas deslocações ao estrangeiro. Tenha pelo menos o cuidado de se ligar a uma rede Wi-Fi que exija uma senha de acesso.
No que à segurança diz respeito, o investimento num plano de dados compensa sempre, até porque a rede das operadoras portuguesas é excelente, em cobertura e velocidade.
E já agora: o modem que tem em casa, está protegido com uma password? Se não, invente uma, e forte. Mesmo que confie nos seus vizinhos, tenha em conta que pode estar alguém na rua em frente a sua casa a captar (facilmente) o sinal Wi-Fi.
Internet das Coisas. Devemos estar preocupados?
Designa-se genericamente por Internet das Coisas (ou IoT, do inglês Internet Of Things) o conceito de ligar todo o tipo de dispositivos, domésticos ou industriais, à Internet.
Do frigorífico ao automóvel, passando pela televisão e pela máquina de lavar roupa, terminando nos sistemas operativos de uma fábrica ou de um hospital, a tendência aponta para que tudo esteja, cada vez mais, ligado à Internet. Sabia que já existem frigoríficos que fazem encomendas, automaticamente, em lojas online de supermercados? Isso é a Internet das Coisas.
O avanço tecnológico tem feito com que seja possível controlar muitos equipamentos domésticos remotamente, a partir do smartphone ou do computador, sejam as luzes de casa ou uma câmara instalada num boneco de peluche no quarto das crianças. Estes equipamentos são, na prática, minicomputadores, capazes de receber, processar e transmitir informação. E, por isso, são alvos para os hackers, que ainda recentemente fizeram uso de um exército destes equipamentos para deitar abaixo uma rede importante de servidores de Internet na Europa e nos Estados Unidos.
Ligar toda esta diversidade de equipamentos é ainda, em boa parte, terreno desconhecido, até para os especialistas. Faltam normas e faltam também protocolos de segurança. Por isso, se a sua nova televisão ou frigorífico lhe pedir para se ligar à Internet, na dúvida de não saber como os controlar, opte por manter o aparelho offline.
Aplicações de mensagens: são todas iguais?
Não.
São muitas as plataformas de mensagens através das quais podemos trocar texto, fotografias, vídeos e voz, mas nem todas oferecem o mesmo nível de segurança.
Este assunto ganha relevância na mesma medida em que os hackers vão virando as atenções para os smartphones e numa altura, também, em que a ciberespionagem de Estados e empresas sobre o cidadão comum parece ser uma realidade assustadoramente concreta.
As apps de troca de mensagens estão cada vez mais coloridas e animadas (com gifs e emojis) mas, no que toca à segurança, nem tudo são rosas. O Messenger, a aplicação móvel do serviço de mensagens do Facebook, por exemplo, não é uma plataforma encriptada por defeito; o Telegram, afirmam vários especialistas, está longe de ser tão seguro quanto o vendem, pelo contrário; o WhatsApp, soube-se esta sexta-feira, tem uma vulnerabilidade grave – apesar de ter um sistema de encriptação avançado.
Estas são as duas aplicações mais seguras, de acordo com o critério da segurança:
Signal (Android e iOS) – tem o sistema de encriptação mais avançado em todo o tipo de comunicações (texto, imagem e voz). A aplicação consegue verificar e validar a identidade do remetente e a integridade do canal de comunicação. Está no topo das preferências dos especialistas em cibersegurança.
iMessage (iOS) – Alguns analistas sugerem a reformulação do protocolo de encriptação da Apple (têm sido encontradas algumas falhas), mas continua no topo da lista das mais seguras.
Todas as aplicações móveis são seguras?
Não. Para facilitar a explicação, vamos separar esta pergunta em dois tópicos.
Segurança
As lojas Google Play (Android) e App Store (iOS) são os locais de onde devemos descarregar todas as aplicações (apps) para o smartphone e tablet. Ambas as lojas são fechadas e controladas pelos gigantes Google e Apple, o que traz uma vantagem à cabeça: a segurança.
Estas empresas têm por obrigação avaliar e monitorizar todas as aplicações que disponibilizam nas respetivas lojas, o que tem acontecido sem grandes incidentes. A Google e a Apple têm meios, conhecimento técnico e uma reputação para defender.
Isto para dizer que é arriscado instalar aplicações provenientes de outras lojas que não as oficiais Google Play e App Store. Muito do software malicioso que infecta os smartphones chega através de apps e jogos disponíveis em lojas não oficiais. Todo o cuidado é pouco, mais vale não arriscar.
[As questões comerciais e de “monopólio” destes ecossistemas não entram no âmbito deste Explicador, pelo que optámos por não falar delas]
Permissões
A segurança e privacidade dos nossos dados depende, em boa parte, dos acessos que damos às aplicações que descarregamos. O que acontece a esmagadora maioria das vezes é que as apps são bastante abusadoras no que toca a pedir acessos – à localização, câmara fotográfica, microfone, informação sobre a rede Wi-Fi, lista de contactos, SMS, etc.
Faz parte do negócio, acumular dados dos utilizadores (para uso próprio ou para venda). Cabe aos utilizadores gerir as permissões. Se é lógico e até útil dar certos acessos para que as aplicações funcionem convenientemente (por exemplo, a localização às apps dos mapas), já pouco ou nenhum sentido faz permitir a um jogo que aceda às SMS, câmara ou ao microfone. É um abuso que compromete a privacidade e a segurança.
Um exemplo gritante é o jogo Pokémon Go, que exige o acesso a todos os dados da conta Google, se optar por este meio para fazer login. Cabe-lhe decidir se quer prescindir da sua privacidade para caçar bonecos.
Se usa um smartphone com a versão 6 do Android, veja aqui como controlar os acessos das apps. Se usa uma versão anterior, não há muito a fazer, a não ser optar por não instalar uma aplicação. A Google detalha este assunto neste link.
No iPhone ou iPad, vá a Definições > Privacidade para fazer a gestão das permissões.
Se utiliza um Windows Phone, consulte esta página.
Já agora, quando abre uma aplicação pela primeira vez, é-lhe perguntado se pretende conceder determinados acessos. Leia as caixas com atenção, não carregue em “sim” ou “não” sem ponderar as respetivas necessidades. Se quiser elevar o cuidado ao máximo, desative todas as permissões até aos mínimos para uma app funcionar.
Qual é o preço da segurança?
Numa palavra: a privacidade. Um pouco dela, pelo menos. Isto porque os serviços a que nos referimos no ponto 9 (representativos das contas mais utilizadas) exigem, para garantir a segurança, que o utilizador acrescente alguma informação pessoal à respetiva conta, nomeadamente o número de telemóvel e/ou um email alternativo. Estes dados são importantes porque são a única via pela qual podem confirmar que a conta é mesmo sua, caso aconteça alguém se apoderar dela. A nossa privacidade é o preço a pagar pela segurança. Um mal necessário, portanto.
Não vale a pena fingir que há almoços grátis. Tomamos como adquirido que todos temos direito a um email e às redes sociais sem ter de pagar nada por isso, mas são os utilizadores, por via dos dados que fornecem aos serviços, a verdadeira moeda de troca.
O que é que fazem com eles? Sobretudo, vendem-nos publicidade. Quanto mais sabem sobre nós, através do que pesquisamos, dos posts em que fazemos “like”, dos locais que frequentamos, melhor afinam o rigor da “máquina da publicidade”.
Mas os nossos dados também são utilizados na otimização de outros serviços. Ao andarmos com o telemóvel no bolso ou no carro estamos a dizer à Google ou à Apple onde andamos e a que velocidade vamos. É por isso que, nesta espécie de partilha forçada, podemos saber se o trânsito está mais ou menos lento ou quanto tempo vamos demorar a chegar ao destino, só para dar um exemplo.
Mas também é desse compromisso que nos é oferecida a hipótese de localizar o nosso smartphone, por exemplo (veja a questão n.º 12). Andar com os dados e geolocalização ligados dá aos sistemas operativos (e aplicações) a hipótese de saberem por onde andamos; mas as operadoras de telecomunicações também o sabem sempre, não é? Mesmo que desligue todas as funções “smart” do seu equipamento, as operadoras sabem sempre onde é que estamos.
Isto para dizer que não vale a pena ter grandes preocupações em dar a estas grandes plataformas dados como o número de telefone ou morada. Porquê? Olhe para o seu smartphone. Tem aplicações da Apple ou da Google instaladas? Então eles também estão a olhar para si.