Celebridades têm dados roubados em ciberataque a escritório de advocacia

De acordo com a Info-Security Magazine, criminosos cibernéticos roubaram 756 gigabytes de dados sigilosos do escritório de advocacia novaiorquino Grubman, Shire, Meiselas & Sacks, que incluem contratos, números de telefone, endereços de e-mail, correspondências pessoais e termos de confidencialidade de diversas celebridades no ramo do entretenimento.

O escritório, que tem com clientes nomes de peso como Madonna, Elton John, Lady Gaga, Drake e LeBron James, além de empresas como Facebook, Sony e HBO, teve seu banco de dados invadido por hackers que exigiram, inicialmente, US$21 milhões (R$122,9 milhões) em bitcoins para não divulgar os arquivos na internet.

Segundo o New York Post, o caso está sendo investigado pela Polícia Federal americana – FBI. Já se sabe, no entanto, que o ataque foi realizado por meio de um vírus que já fez vítimas como Brooks International, Kenneth Cole e Travelex, tendo esta última desembolsado US$2,3 milhões para recuperar os arquivos roubados.

Este tipo de programa malicioso, conhecido por Ransomware, normalmente se reveste de um anexo inofensivo em uma mensagem de e-mail que, quando executado, invade o dispositivo informático (computador, smartphone etc.) e bloqueia os arquivos encontrados, por meio de criptografia, impossibilitando o usuário de utilizá-los. A partir de então, os criminosos exigem o pagamento de um resgate, normalmente em criptomoedas, sob a ameaça de apagá-los ou publicá-los na rede.

Como se vê, os criminosos, entre outros alvos, têm visado os escritórios de advocacia em razão da sensibilidade das informações, protegidas por sigilo profissional, cujo vazamento pode trazer consequências devastadoras aos clientes, o que torna estas organizações mais suscetíveis ao pagamento do resgate.

No Brasil, o cenário não é diferente. Tradicionais bancas de advogados já foram vítimas deste tipo de golpe, o qual, no mais das vezes, parte de computadores localizados em outros países, redundando em maiores complexidades para investigações policiais.

Sob o enfoque da lei penal brasileira, a invasão de dispositivo informático para obter, modificar ou destruir dados e informações configura crime previsto no art. 154-A do Código Penal e o uso posterior para fins de extorsão é delito distinto e autônomo que também deve ser punido.

A Polícia Federal mantém em suas superintendências Grupos de Repressão a Crimes Cibernéticos (GRCC) e, em âmbito estadual, dos 26 estados da federação, 15 possuem delegacias especializadas para a investigação de crimes cibernéticos (Bahia, Espírito Santo, Goiás, Maranhão, Minas Gerais, Mato Grosso, Pará, Pernambuco, Piauí, Paraná, Rio de Janeiro, Rio Grande do Sul, Sergipe, São Paulo e Tocantins), além do Distrito Federal.

Em tempos de pandemia, quando todas as atenções estão voltadas para a contenção do Coronavírus, é preciso redobrar o cuidado com os vírus informáticos. Visando à mitigação de riscos, os escritórios de advocacia devem investir em tecnologias de segurança da informação, adotar medidas de prevenção (como a realização de backups periódicos, por exemplo) e promover a conscientização de seus colaboradores para uma navegação segura na web.

Endossando a campanha educativa lançada pela Interpol neste mês de maio, é preciso “lavar as mãos cibernéticas” (#washyourcyberhands), e, no caso de um ataque, como orienta a KPMG, investigar a causa, em sua raiz, para se proteger e prevenir novos ataques.

*Guilherme Gueiros é advogado criminalista e sócio do Urbano Vitalino Advogados