Em políticas públicas, o debate sobre como as técnicas de investigações criminais devem responder à digitalização das dinâmicas sociais tem se sobressaído e caminha em uma linha tênue entre otimização dos processos administrativos e possíveis transgressões em relação aos direitos fundamentais de pessoas que sejam alvo de investigações e rotinas de vigilância. Nesse sentido, técnicas de hacking governamental, ou seja, de superação de recursos de segurança em dispositivos pessoais e aplicações, vem ganhando uma escalabilidade crescente e envolve a multiplicação de fabricantes, revendedores e contratos com a administração pública, ao passo em que seus efeitos colaterais aos direitos fundamentais, sobretudo em relação à sociedade civil, vêm sendo denunciados internacionalmente. 

A fabricação e venda de ferramentas de hacking para uso inicialmente “legítimo” por autoridades públicas envolve um percurso de exploração de vulnerabilidades em sistemas de segurança. Quer dizer, para que as ferramentas cumpram seu propósito, é necessário que brechas de segurança sigam sendo descobertas e mantidas desatualizadas pelos provedores, excluindo-os de uma dinâmica de melhoria de seus serviços. Como argumentamos, a competitividade entre certos programas de recompensa (bug bounties) ilustra uma lógica lucrativa que, fundamentalmente, afasta a atualização de sistemas de segurança, beneficiando, com informações privilegiadas sobre brechas de segurança, fabricantes de ferramentas de hacking e, consequentemente, programas de vigilância e investigação de autoridades públicas que os contratam.

Enquanto o uso de ferramentas de hacking tem sido problematizado internacionalmente, no Brasil é incipiente a incidência política e as pesquisas dedicadas sobre o tema. Como forma de oferecer dados concretos e fomentar, assim, o debate público e propostas regulatórias, realizamos levantamento de contratos de fabricantes e representantes comerciais com a administração pública no Brasil, envolvendo pedidos via Lei de Acesso à Informação às 27 Secretarias Estaduais responsáveis pelas atividades de segurança pública, incluindo o Distrito Federal; aos 27 Ministérios Públicos Estaduais, incluindo o Distrito Federal; ao Ministério Público Federal e à Polícia Federal através do Ministério da Justiça e Segurança Pública; ao Comando do Exército (CEX), ao Comando da Marinha (CMAR) e ao Ministério da Defesa; e ao Gabinete de Segurança Institucional (GSI). Em paralelo, foi realizada pesquisa nos Portais de Transparência dos 26 Estados, do Distrito Federal e do Governo Federal. A partir do recorte temporal entre 2015 e 2021, o resultado foi o levantamento de 209 documentos contratuais a nível estadual e federal, compreendendo compra, treinamento de funcionários, termos aditivos, atualização de software e outros atos administrativos que comprovam que determinadas ferramentas de hacking estão e/ou estiveram em uso no país. O levantamento se deve, na grande maioria dos casos, a documentações constantes nos Portais de Transparência, enquanto as respostas aos pedidos de acesso à informação, com raras exceções, tendiam à negativa das informações com base em justificativas de sigilo ou à simples alegação de inexistência de tais contratos.

O conjunto de fabricantes encontrados inclui Cellebrite, Micro Systemation AB (MSAB), OpenText, Magnet Forensics, Exterro/AccessData e Verint Systems/Cognyte/Suntech, dois principais representantes comerciais no Brasil – a Techbiz Forense Digital e a Apura Comércio de Softwares e Assessoria em Tecnologia da Informação – e 20 diferentes soluções fornecidas às entidades públicas. Os achados envolvem o acesso a ferramentas de hacking pela totalidade dos Estados da federação e pelo Governo Federal, além de uma relativa tendência de crescente orçamentária de investimento público no acesso às ferramentas. Além da análise quantitativa, foi possível traçar correlações entre empresas de maior notoriedade no mercado, como Cellebrite e Verint/Cognyte/Suntech, com fatos políticos nacionais e internacionais que notadamente sugerem os riscos aos direitos humanos colaterais envolvidos no uso indiscriminado e não supervisionado de tais ferramentas, incluindo denúncias de corrupção, vazamento de informações sigilosas e envolvimento das ferramentas na perseguição à sociedade civil.

Adicionalmente, a partir de um levantamento de legislação pertinente ao tema, analisamos a insuficiência do conjunto regulatório nacional vigente para endereçar esses expedientes, uma vez que, além de não contarem com base legal específica, não levam em consideração testes de necessidade e proporcionalidade diante dos níveis inéditos de violação aos direitos fundamentais derivados do acesso indiscriminado a dados pessoais que proporcionam. Propomos, então, um conjunto de 7 princípios como forma de guiar futuras propostas legislativas que busquem regular a atividade.

Concluímos que o uso de ferramentas de hacking por autoridades brasileiras se encontra em estágio surpreendentemente avançado de assimilação e, basicamente, qualquer recurso de segurança em dispositivos pessoais é superado pelas suas capacidades. A conjuntura sugere um momento de inflexão sobre a proteção a direitos fundamentais associados à proteção de dados e ao sigilo das comunicações, bem como ao cenário de insegurança colocado pela presença da indústria e do circuito comercial de ferramentas de hacking no Brasil, “legitimada” pelas demandas governamentais por tecnologias forenses. 

O IP.rec entende que é urgente a qualificação do debate sobre os efeitos dessa prática ao ecossistema de direitos e segurança no país. Ensaios regulatórios já se encontram no horizonte legislativo nacional e devem ser endereçados com prioridade – antes que o status quo a partir do qual iremos refletir sobre permissões e limites no uso dessas ferramentas seja pautado por sua indústria, e não pelo processo de formulação de políticas públicas verdadeiramente democrático, multissetorial e centrado nos usuários finais das tecnologias.

Por fim, agradecemos as fundamentais colaborações dos consultores técnicos Jacqueline Abreu (Universidade de São Paulo) e Carlos Cabral (Tempest Security), assim como as valiosas contribuições de Bruno Morassuti (Fiquem Sabendo). 

 Boa leitura.

André Ramiro

Diretor e Fundador do IP.rec, é mestre em Ciências da Computação no CIn/UFPE e graduado em direito pela UFPE. Foi Google Policy Fellow na ONG Derechos Digitales (Chile). É representante da comunidade científica e tecnológica da Câmara de Segurança e Direitos do Comitê Gestor da Internet (CGI.br) e membro da comissão de avaliação em projetos de pesquisa em direito e tecnologia da Fundação de Amparo à Ciência e Tecnologia do Estado de Pernambuco (FACEPE). No IP.rec, atua na área de Privacidade e Vigilância e lidera projetos relacionados a criptografia, hacking governamental, privacidade, segurança e proteção de dados. Tem atuação no advocacy para proteção de dados e para a garantia de direitos fundamentais, ações e pesquisas sobre programas de vigilância governamentais, modelos de negócio abusivos baseados em mercados de dados e políticas de criptografia e suas relações com os direitos humanos.

---

Pedro Amaral

Mestre e doutorando em sociologia pela Universidade Federal de Pernambuco. Graduado em Ciências Sociais pela Universidade Federal de Pernambuco e pela Universidade de Hamburgo, Alemanha. Pesquisador do Núcleo de Estudos e Pesquisas em Políticas de Segurança (Neps) da UFPE, desde 2014. Tem interesse na economia política da internet e nas dimensões interacionais da adoção de tecnologias. Tem feito pesquisa de campo desde 2012 e tem se dedicado mais à etnografia e métodos quantitativos. No IP.rec, atua na área de Privacidade em Vigilância, com ênfase em políticas de criptografia e tecnologia na segurança pública.

---

Mariana Canto

Diretora e Secretária Geral do IP.rec. Mestra e Chevening Scholar 2021/22 em “Science and Technology in Society” pela Universidade de Edimburgo, no Reino Unido. Graduada em Direito pela Universidade Federal de Pernambuco, tendo estudado parte do seu curso na Universidade de Hamburgo, na Alemanha. É pesquisadora visitante e German Chancellor Fellow (Bundeskanzler-Stipendium) 2022/23 no Wissenschaftszentrum Berlin für Sozialforschung (WZB), na Alemanha. É Internet of Rights Fellow na ONG Article 19, no Reino Unido. Alumni da Escola de Governança da Internet do CGI.br (2018), trabalhou junto ao Secretariado do Internet Governance Forum na ONU. No IP.rec, participa de projetos nas áreas de “Privacidade e Vigilância” e “Multissetorialismo e Participação Popular”. Também tem interesse pelo estudo da regulação de algoritmos, assim como sua influência em relações assimétricas de poder.

---

Marcos Cesar M. Pereira

Mestrando no Programa de Pós-Graduação em Antropologia pela Universidade Federal de Pernambuco. Graduado em Ciências Sociais pela Universidade Federal de Pernambuco. Entre 2018 e 2021 foi bolsista do Programa de Educação Tutorial – Ciências Sociais (MeC/SeSu) da UFPE. Participante do Programa Youth 2022 (NIC.br/CGI.br). No IP.rec atua na área de Privacidade e Vigilância, com ênfase em criptografia, possuindo interesse também em Antropologia Digital.