Matéria da CNN:
https://www.youtube.com/watch?v=APgfdlQYXoc
Recentemente a recomendação para desligar o wi-fi do smartphone ao sair de casa apareceu em grandes portais como nos sites de jornalismo CNN Brasil e Metrópoles, bem como no canal focado em tecnologia Canaltech, entre outros. Os canais brasileiros, ao que parece, não endereçam objetivamente qual é fonte original dessa recomendação, citando genericamente “agências internacionais” ou especialistas se manifestam a respeito do tema.
Aparentemente o tema ganhou recentemente certa tração por causa de um material divulgado pela CISA – America’s Cyber Defense Agency. Nas palavras dela: “CISA works with partners to defend against today’s threats and collaborate to build a more secure and resilient infrastructure for the future”. Em tradução livre: “A CISA trabalha com seus parceiros para defender (os EUA) contra ameaças e colaborar para manutenção da segurança e resiliência da infraestrutura (dos EUA) visando sua continuidade operacional no futuro”. A citação aos EUA entre parênteses é nossa e demos uma certa interpretada na tradução. Olhando o que a CISA define como sua missão e visão podemos dizer que ela é a principal agência dos EUA voltada para monitorar, entender, gerenciar e minimizar riscos a que estão expostos a infraestrutura física (usinas e distribuição de energia, indústrias militares, órgãos do governo etc.) e cibernética, sempre lembrando que se trata de riscos dos EUA. No fundo o papel da agência é manter a infraestrutura crítica (sensível e/ou essencial) dos EUA em segurança e garantir que continue operando mesmo sob ataque possivelmente cibernético (hacker).
Para quem eventualmente estiver curioso o site da CISA tem praticamente tudo que se possa imaginar nesse terreno da segurança. Um desses materiais disponíveis é uma espécie de manual ou guia com o título no original de “Mobile Communications Best Practice Guidance” ou em tradução livre “Guia de orientação prática para comunicação móvel segura”. Como o nome já indica, é para comunicação móvel, que no geral se faz via telefones celulares. Certamente o material é destinado principalmente para os funcionários do governo dos EUA que ocupam altos cargos governamentais militares ou civis e que lidem com informações sensíveis e de interesse dos atacantes. Sem rodeios, o material cita especificamente a China Continental (RPC – República Popular da China) como a principal fonte atual desse tipo de ameaça. O material não é muito extenso, tem 5 páginas. As recentes notícias podem ter nascido desta atualização feita no material que foi publicado originalmente em dezembro de 2024 e ganhou uma atualização em novembro de 2025 devido a detecção de aumento nas atividades de espionagem cibernética, segundo a CISA, feita principalmente pelos Chineses.
Entre as principais recomendações do material temos as seguintes:
– Usar apenas aplicativos de troca de mensagens, mesmo que sejam gratuitas, que utilizem criptografia de ponta a ponta compatíveis com sistemas operacionais Iphone e Android. Atentar para a possível coleta e armazenamento dos dados que pode ser feita pelo aplicativo escolhido e por onde eventualmente poderá ocorrer algum tipo de brecha que poderá ser explorada pelo atacante. O material cita como exemplos de aplicativos de troca de mensagens que estão nesta categoria de “segurança” neste quesito: Whattsapp (muito usado no Brasil) e Signal (que, salvo engano, não é tão usado por aqui, que é de código aberto e que não coleta dados do usuário segundo material da CISA).
– Não escanear qualquer QR code ou aceitar convites aleatoriamente, principalmente os recebidos de remetentes desconhecidos, mesmo que seja convite para participar de algum grupo X, ou Y citando que um conhecido seu A ou B já entrou nesse grupo. Cheque antes e diretamente com esses eventuais conhecidos citados por outros meios de comunicação.
– Desconfiar de alertas de segurança mesmo que sejam recebidos pelo próprio aplicativo de comunicação, principalmente se estiverem solicitando a sua autenticação e possivelmente a digitação de senhas, pins, código de usuário etc.
– Ativar o recurso de expiração de mensagens após determinado período de tempo se o aplicativo em uso tiver essa funcionalidade, principalmente se o aplicativo for usado para troca de mensagens confidenciais ou sensíveis.
– Verificar regularmente os dispositivos conectados automaticamente e que vinculam notebook, PC, Smartphones, Tablets etc. A vinculação facilita bastante o nosso dia a dia, mas requer vigilância para evitar que eventualmente um dispositivo desconhecido acabe se conectando sem que o usuário perceba.
– O guia recomenda o uso de uma chave de autenticação conhecido como padrão FIDO (Fast Identity Online) que, salvo engano não é tão conhecido e/ou usado no Brasil. Simplificando é um dispositivo físico de segurança no estilo pendrive que utiliza criptografia de chave pública para autenticação e substitui senhas tradicionais por chaves criptográficas. É uma boa proteção contra phishing e roubo de senhas e logins para tentativa de acesso remoto já que o acesso é possível somente através da presença física do dispositivo. Outro dispositivo citado é o Google Titan, um dispositivo físico de autenticação de dois fatores (2FA) que usa criptografia, mas tem foco em contas Google.
– Controle quantas contas de e-mails e redes sociais você tem e veja quais são mais sensíveis e de maior risco para cuidar melhor destas contas.
– Não usar autenticação multifator baseado em SMS como segundo fator de autenticação para contas sensíveis, essas mensagens não são criptografadas e não evitam ataques, por exemplo via phishing. Em todo caso não se recomenda que aplicativos de SMS sejam totalmente desinstalados, pode ser que algum aplicativo importante requeira algum recebimento de mensagens via SMS durante um eventual processo de recuperação de conta. Para contas pessoais que não requerem um alto grau de segurança o uso de algum tipo de segundo fator como Google Authenticator ou Authy pode ser suficiente. O melhor dos mundos é desativar o uso do SMS como fator de autenticação, lembrando que todas as recomendações são feitas para funcionários de alto nível do governo dos EUA.
– A maioria das operadoras oferece a possibilidade de criação de um PIN adicional para cada conta de celular que será solicitado, por exemplo, para concluir transações, para acessar determinadas configurações ou para fazer portabilidade do telefone. Tem um golpe baseado nessa técnica de portabilidade do telefone que é bastante aplicado por golpistas. Um PIN e um segundo fator de autenticação atrapalham bastante a vida dos golpistas que usam esse tipo de técnica.
– A velha e manjada recomendação que é menosprezada por muitos usuários, atualizar regularmente os sistemas operacionais não só dos aparelhos (Smartphones, PC’s, Notebooks, Tablets etc.) como também dos aplicativos principalmente dos dispositivos móveis. O ideal é que isso seja feito semanalmente. No melhor cenário a atualização automática deve estar ativado.
– Muita atenção e cuidado com uso de VPN (Rede Privada Virtual). No melhor cenário a CISA não recomenda o uso delas. Segundo a CISA o uso de VPN geralmente aumenta a superfície de ataque, em outras palavras, os pontos de entrada ou vulnerabilidades crescem e podem ser exploradas pelos atacantes. Quanto maior for uma estrutura maior será a superfície de ataque requerendo monitoramento contínuo e eficiente para tentar garantir a segurança dos dispositivos conectados. Esse conceito não se aplica integralmente para as redes criadas especificamente por empresas ou órgãos e que são destinadas especificamente para acesso e uso de funcionários e colaboradores.
– Ao instalar aplicativos certifique-se da real necessidade deles e verifique a liberação de acessos e recursos solicitados pelo aplicativo que podem ter como objetivo explorar brechas do seu aparelho. Como exemplo verifique se determinado aplicativo não tem opção de enviar mensagem por algum motivo. Verificar especialmente as configurações de privacidade e segurança do próprio aparelho checando quais aplicativos tem acesso a essas informações, como por exemplo acesso a localização, câmera e microfone. Especificamente para quem usa Android verificar se o Google Play Protect está ativado para detectar e impedir instalação de aplicativos maliciosos tendo máximo de cautela ao acessar lojas de aplicativos de terceiros ou fora da loja oficial da Google.
Conclusão
Certamente a maioria de nós não é funcionário do governo americano e outra boa parte talvez não lide com informações sensíveis. No entanto cabe observar que são dicas simples, que não são difíceis de implementar e que podem nos salvar de uma ou mais dores de cabeça. Fica a dica.
Links:
Guia em PDF:
https://www.cisa.gov/sites/default/files/2024-12/guidance-mobile-communications-best-practices.pdf
Artigo em Inglês sobre o tema:
Sobre o FIDO:
https://www.ibm.com/br-pt/think/topics/fido
Sobre o Google Titan:
https://cloud.google.com/security/products/titan-security-key?authuser=2