Ransonware e sua tipificação no Brasil
Por Marcelo Crespo
Há duas semanas escrevemos sobre os vírus computacionais no âmbito dos crimes digitais, prática bastante comum, mas ainda pouco explorada pela doutrina do direito digital, havendo muito mais comentários na mídia que textos técnicos sobre o assunto.
O assunto não poderia ser mais atual, sendo que as diversas mídias tem dedicado espaço para este tipo de criminalidade, como, por exemplo, “prática de ransomware se populariza” e “hackers invadem computadores e celulares e sequestram dados”.
Ransomware é neologismo advindo da conjugação das palavras “ransom” (é o valor pago/resgate na extorsão mediante sequestro) + “malware” (malicious + software = vírus computacional). Trata-se, pois, de uma prática que envolve o uso de um malware que restringe o acesso ao sistema informático seguido da exigência de um valor a título de “resgate” para que se permita o restabelecimento do acesso.
Apesar dos recentes destaques nas mídias, a primeira aparição de um ransomware data de 1989[1]. Naquele ano um vírus conhecido como AIDS (bem como AIDS info disk e PC Cyborg trojan) contava o número de vezes que um computador era iniciado (boot) de modo que, ao chegar na nonagésima vez, ele criptografava arquivos e os escondia na unidade C: do computador. Em seguida, solicitava a “renovação da licença”, o que deveria ser feito mediante contato com a PC Cyborg Corporation para o pagamento de US$ 189,00.
Apesar disso e de haver alguns registros da prática na Rússia nos anos de 2005 e 2006, aparentente se popularizou alguns anos mais tarde, ocasião em que foi notado fora da Rússia, como se vê nos reportes de agosto e novembro de 2012 feitos pelo Federal Bureau of Investigation e, ainda, aparições na mídia especializada.
Visto isso, reputamos importante compartilhar algumas dicas com vistas a evitar o problema:
- Fazer backup periódico dos dados porque caso haja bloqueio de arquivos será possível acessá-los a partir de outra fonte não afetada. No entanto é preciso ter atenção porque há ataques que atingem arquivos em unidades em rede mapeadas, tais como unidades externas, pen drives e espaços de armazenamento na nuvem;
- Manter o software do equipamento sempre atualizado, o que reduz a possibilidade de ser infectado;
- Usar software de segurança confiável (antivírus e firewall) porque uma das primeiras ações do vírus é tentar desabilitar o software de segurança;
- Desligar o WiFi ou remover o cabo de energia imediatamente nos casos em que se desconfiar que o ransomware está sendo executado, o que evita que os arquivos continuem sendo criptografados;
- Deixar habilitada a função de exibição das extensões dos arquivos porque se estiver no modo oculto isso pode dificultar a percepção de que a máquina foi infectada. Isso porque o vírus de ransomware geralmente renomeiam arquivos para que tenham uma dupla extensão, como, por exemplo “PDF.EXE”;
- Rejeitar emails com anexos cuja extensão seja “.EXE”;
- Habilitar o recurso de restauração do sistema, o que permitirá reverter a um estado prévio e sem a infecção; e
- Saber que mesmo pagando o valor exigido isso não garante que o extorsinário lhe devolva o acesso, afinal, não se trata de um negócio, mas de atividade criminosa.
- Focar em medidas preventivas, já que pagar o valor exigido apenas incentiva a prática.
Quanto à tipificação, a legislação pátria incrimina algumas condutas relacionadas à difusão de vírus computacionais, como é o caso do art. 154-A do Código Penal, precisamente no seu §1º, nos termos abaixo:
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
Resta claro, portanto, que o §1º incrimina a conduta daqueles que produzem, oferecem, distribuem, vendem a terceiros, ou simplesmente difundem aleatoriamente dispositivos ou programas de computador que possam ser utilizados por terceiros para invadirem dispositivos informáticos ou neles instalar vulnerabilidades. Mas de que adiantaria apenas a difusão de vírus que bloqueasse o acesso a bancos de dados pura e simplesmente? Apesar desta possibilidade, o que se vê com grande frequência é a exigência de valores (pode ser até mesmo em Bitcoin ou outras criptomoedas), o que tornaria o crime mais complexo, precisamente transformando-o em extorsão, nos termos do art. 158 como se vê no texto abaixo:
Extorsão
Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena – reclusão, de quatro a dez anos, e multa.
Note-se que apesar de muitos utilizarem a expressão “sequestro de dados”, não se aplica o crime de extorsão mediante sequestro previsto no art. 159 do Código Penal porque lá o objeto do sequestro só pode ser pessoa:
Extorsão mediante seqüestro
Art. 159 – Seqüestrar pessoa com o fim de obter, para si ou para outrem, qualquer vantagem, como condição ou preço do resgate:
Pena – reclusão, de oito a quinze anos.
A prática do ransonware é, portanto, configurada como crime de extorsão, ainda que o resgate/valor não seja pago, já que se trata de crime formal (independe de resultado, o que se nota pela redação típica). Entendemos que no caso da difusão do vírus para propiciar o bloqueio dos dados, a tipificação do §1º do art. 154-A do Código Penal restaria absorvida pela consunção.
Um grande problema que pode ser crucial para a apuração do crime é a sua prática mediante extraterritorialidade, já que a lei brasileira somente será aplicada no exterior em casos excepcionais. Então um crime grave como o ransomware pode ficar impune a depender do modus operandi do criminoso. Lamentável, mas, como dissemos em outras ocasiões, somente com tratados internacionais isto será evitado.
[1] Trojan Horse: AIDS Information Introductory Diskette Version 2.0,” In: Wilding E, Skulason F (eds) Virus Bulletin. Virus Bulletin Ltd., Oxon, England, Jan., pages 3–6, 1990.