Lição de “misantropia”: sem autoridade nacional de cibersegurança, Brasil continuará vulnerável, acredita especialista

Há alguns dias, o celular de milhões de brasileiros tocou com aquele som estridente inconfundível: o mesmo dos alertas de chuva forte e de risco de deslizamento. Mas a mensagem que apareceu na tela não avisava sobre nenhum desastre natural. Trazia apenas uma palavra: misantropia. Era sábado, dia 20 de junho e o sistema de alertas emergenciais do Brasil acabava de ser invadido.

O ataque à plataforma Interface de Divulgação de Alertas Públicos (IDAP), da Secretaria Nacional de Proteção e Defesa Civil (SEDEC), não apagou dados sigilosos, mas seu estrago foi de outro tipo e possivelmente mais duradouro. Usando credenciais roubadas de servidores públicos, ciberatacantes dispararam remotamente um “Alerta Extremo” via tecnologia Cell Broadcast para celulares em pelo menos oito estados, incluindo São Paulo, Rio de Janeiro e Minas Gerais. O sistema precisou ser tirado do ar e a Polícia Federal abriu investigação.

“Como uma pessoa conseguiu, de forma tão fácil, mandar uma mensagem para todos os celulares do Brasil?”, questiona a Professora Dra. Patricia Peck, CEO e sócia-fundadora do Peck Advogados e membro titular do Conselho Nacional de Cibersegurança (CNCiber) e presidente do Instituto IPCD. A pergunta resume o tamanho do problema e a urgência da resposta.

O incidente não foi uma anomalia técnica sofisticada. Foi, essencialmente, um problema de credencial comprometida, o tipo mais corriqueiro e mais frequente de vetor de ataque no mundo. Isso revela algo mais profundo sobre a cibersegurança brasileira: o maior desafio da segurança digital não está nos servidores. Está nas pessoas.

Os dados de 2026 do CTIR Gov são contundentes. Metade dos incidentes cibernéticos registrados envolvem engenharia social, ou golpes que exploram não falhas de software, mas gatilhos psicológicos humanos como urgência, medo e desconhecimento. Phishing sofisticado, a tática “ClickFix” que faz o próprio funcionário executar comandos maliciosos, perfis e sites falsos criados em massa. E no outro lado da linha estão pessoas, muitas vezes sem treinamento, sem antivírus adequado e sem criptografia de dados.

“É um absurdo vermos municípios no Brasil sem antivírus adequado ou sem criptografia de dados. Não basta contratar, precisa treinar e monitorar constantemente”, afirma Patricia. A situação é agravada por uma característica cultural que a especialista aponta sem rodeios. “O brasileiro é muito solícito, comunicativo, acolhedor e são exatamente essas características que os cibercriminosos exploram com engenharia social potencializada por inteligência artificial. A bondade do nosso cidadão acaba se tornando uma vulnerabilidade.”

O modelo britânico que o Brasil precisa ficar de olho

O ataque à Defesa Civil não acontece no vácuo. Na avaliação de especialistas, ele expõe uma governança fragmentada, sem autoridade única com poder claro de fiscalização e sanção, e sem mecanismos robustos de financiamento para cibersegurança pública. De acordo com Patricia, a Estratégia Nacional de Segurança da Informação (E-SegInfo) e a Política Nacional de Cibersegurança (PNCiber) evoluíram, mas carecem de força normativa vinculante. Em outras palavras: existem no papel, mas não chegam à ponta.

É nessa lacuna que entra o PL 4752/2025, o projeto do Marco Legal da Cibersegurança. O texto propõe a criação de uma autoridade nacional, estabelece obrigações concretas de notificação de incidentes, gestão de riscos e requisitos para a cadeia de suprimentos.

No entanto, segundo Patricia, o texto ainda precisa contar com melhorias, visto que não abarca recomendações relevantes que foram recomendadas pelo Conselho Nacional de Cibersegurança (CNCiber). “Hoje, 30 de junho, estarei na Audiência Pública em Brasília da CCT para discussão do projeto, visto que a tramitação desta pauta é urgente e necessária, e merece que seja dada prioridade pelo Congresso”, conta.

O modelo de referência que ela defende para o Brasil é o do Reino Unido. O National Cyber Security Centre (NCSC) britânico funciona como uma autoridade única que unifica a resposta a incidentes do governo, distribui diretrizes claras ao setor privado e, crucialmente, investe em educação digital desde as escolas. “Adotar uma governança centralizada, técnica e ágil como a do Reino Unido permitiria ao Brasil padronizar os requisitos de proteção de dados e resposta a incidentes de forma uniforme em todas as esferas públicas”, orienta.

Para chegar lá, o caminho passa por medidas estruturais. De acordo com ela, inclui desenvolver plataformas de capacitação gamificadas e obrigatórias via escolas de governo, condicionamento de repasses federais de digitalização ao cumprimento de requisitos mínimos de governança cibernética e campanhas de “do’s and don’ts” para servidores de todo o País. “Não tem como dissociar dados, IA e cyber. Estes três andam de mãos dadas”, finaliza ela.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

• cibersegurança
• misantropia
• Patricia Peck