O Exército Brasileiro usa serviços da Starlink sem ter feito estudo ou avaliação técnica sobre a segurança da rede de internet via satélite oferecida pelo bilionário Elon Musk. Ao menos um órgão do governo federal, o Instituto Nacional de Colonização e Reforma Agrária (Incra), deixou de comprar produtos do grupo por suspeita de falhas de segurança. A suposta vulnerabilidade da rede foi reforçada pelo próprio Exército, que afirmou que irá adotar medidas extras de segurança para o uso futuro da Starlink pelo Comando Militar da Amazônia.
O Exército não informou quantos de seus grupamentos e batalhões usam produtos da Starlink. Organizações da força possuem autonomia “para adquirir serviços de acesso à internet oferecidos por empresas”, segundo os militares, que estimam em “cerca de 20” os “processos licitatórios com contratos vigentes, ou concorrências em andamento” ligados ao serviço oferecido pelo grupo estrangeiro.
Sem uma análise prévia de segurança, não se sabe qual o destino e o tratamento dos dados que trafegam na rede – ou seja, militares que usam o serviço podem ter seus dados ou mesmo informações estratégicas de seus grupamentos vazados a hackers, grupos estrangeiros e outros tipos de organizações.
O Exército admitiu que “não há parecer ou relatório do âmbito [da segurança] da instituição sobre produtos ofertados pela empresa”, mas minimizou a falta de uma avaliação sobre as vulnerabilidades da Starlink antes de seu uso. No entanto, um processo de compra da tecnologia de Elon Musk indica que os próprios militares não confiam plenamente na segurança da rede de internet via satélite.
Ao custo de R$ 5,1 milhões, o Comando Militar da Amazônia tenta adquirir equipamentos da Starlink desde maio, e, segundo o Exército, como a compra visa “apoiar operações militares”, o Departamento de Ciência e Tecnologia da Força (DCT) “prestou apoio técnico” na licitação – para “garantir segurança às comunicações via internet” –, por meio de avaliação realizada pelo 4º Centro de Telemática de Área. Fica evidente a necessidade de camadas extras de segurança para o uso da Starlink, pois o Exército informou à Agência Pública que “serão adquiridos equipamentos de firewall e sistemas de criptografia ponta-a-ponta redundantes” – a serem usados em conjunto com a tecnologia de Musk.
A força terrestre alegou à reportagem que a Starlink não é usada em operações, e afirma que “possui sistema corporativo para comunicações operacionais via satélite, o SISCOMIS, que utiliza bandas exclusivas em satélites nacionais, provendo a segurança e a continuidade dos serviços relacionados às missões”. Mas um despacho enviado meses atrás pelo próprio Exército ao Congresso Nacional coloca em xeque essa informação.
Em resposta a um requerimento do deputado federal Coronel Meira (PL-PE), em 6 de junho deste ano, o general de divisão Márcio de Souza Nunes Ribeiro, chefe do gabinete do comandante do Exército, general Tomás Ribeiro Paiva, alegou o uso de produtos da Starlink “em operações, em Ações Cívico Sociais, em adestramentos, dentre outras atividades”, afirmando que “poderá haver prejuízo para o emprego estratégico de tropas especializadas” em caso de um “eventual cancelamento” do uso da tecnologia. A informação foi enviada ao Congresso pelo próprio ministro da Defesa, José Múcio Monteiro Filho, em resposta a um questionamento sobre o uso de tecnologias da Starlink pelas Forças Armadas.
Marinha usa Starlink e não disse se testou segurança da rede
A Marinha admitiu o uso da Starlink em ao menos sete navios, incluindo fragatas, navios patrulha e uma base avançada de pesquisa na Antártica. O custo até o momento com os serviços é de ao menos R$ 428 mil, e a posição oficial é que haveria “perda de capacidade” e risco às “informações meteorológicas e comunicações” caso o uso da internet de Elon Musk seja interrompido.
A Marinha confirmou, por telefone, o recebimento dos questionamentos da Pública sobre a existência de pareceres ou relatórios sobre os produtos da Starlink, em especial sobre a segurança de antenas e terminais receptores de internet via satélite do grupo, mas até o momento não houve resposta.
A Força Aérea Brasileira (FAB) foi a única das forças a afirmar que não utiliza a tecnologia de Musk e informou que “não possui contrato com a Starlink para provimento de Sistema de Posicionamento Global (GPS, do inglês Global Positioning System)”.
Starlink e a suspeita de vulnerabilidades
Ao contrário das Forças Armadas e outros órgãos federais, como os ministérios da Educação e Saúde, que também já informaram utilizar a internet de Elon Musk, o Incra deixou de contratar a tecnologia após o setor responsável pela manutenção da infraestrutura tecnológica do órgão avaliar que existiriam riscos à segurança de dados sensíveis.
Em 27 de julho de 2023, a Câmara de Conciliação Agrária (CCA) do Incra pediu a aquisição dos serviços da Starlink para superintendências regionais do órgão à Diretoria de Gestão Operacional – responsável pela administração orçamentária, financeira, de tecnologia da informação e comunicações do Incra. O argumento era que o “sistema oferece internet banda larga de alta potência, mesmo em regiões mais remotas […] tendo em vista que em lugares mais remotos as Superintendências Regionais não conseguem desenvolver suas atribuições por falta de acesso a rede e internet”.
Após quase quatro meses, a Coordenação-Geral de Tecnologia e Gestão da Informação do Incra se manifestou contra a aquisição. A justificativa foi que o serviço da Starlink “possui vulnerabilidades, e não é vantajoso para este Instituto [Incra], uma vez que se trata de um serviço relativamente novo e que não possui a segurança adequada para proteção dos dados desta entidade governamental”, diz o despacho assinado pelo então chefe substituto da coordenação, Laércio Pereira Lima, em 27 de novembro de 2023.
No mesmo documento, Lima citou um caso em que o pesquisador Lennert Wouters, da Universidade de Leuven, na Bélgica, demonstrou, em 2022, que “a ampla disponibilidade dos Starlink User Terminals (UT) os expõe a hackers de hardware e abre a porta para um invasor explorar livremente a rede”. Wouters inclusive publicou o passo a passo de como identificou a falha.
À Pública, o diretor de Gestão Operacional do Incra, Leonardo Bezerra Lopes, confirmou a desconfiança do órgão quanto à Starlink, inclusive quanto ao destino dos dados no tráfego da rede e à vulnerabilidade diante de ataques cibernéticos, e ressaltou a necessidade de soluções nacionais para a conectividade em lugares afastados: “Precisamos de um serviço de qualidade sim, como por exemplo para fazer mutirões de cadastro para quem tem direito à reforma agrária em regiões mais afastadas, mas não se pode contar com serviços desses sem buscarmos uma ‘soberania digital’, que é um dos objetivos da atual gestão”. Segundo Lopes, a rede seria vulnerável “diante de ataques cibernéticos como jamming [paralisação ou derrubada de redes sem fio] e spoofing [uso de rede para criminosos se passarem por fonte confiável em comunicações eletrônicas]”.
A reportagem enviou uma série de perguntas quanto às suspeitas de falhas de segurança nos equipamentos da Starlink ao escritório Tozzini Freire Advogados, representante legal do grupo de Musk no Brasil, que disse não comentar “casos ou processos em andamento e que possam envolver clientes ou contrapartes”.
Sigilo e morte: dados pessoais de militares já revelaram bases secretas
O Exército relatou que usa a tecnologia de Elon Musk em atividades “ligadas à gestão ou à comunicação social” de seus grupamentos – como, por exemplo, para a garantia de acesso à internet da Starlink para uso pessoal de soldados e oficiais destacados em batalhões em regiões afastadas, de difícil acesso. No entanto, a falta de garantias de segurança no fluxo de dados até mesmo de informações não sigilosas já rendeu riscos em corporações no exterior.
O episódio mais famoso data de 2018, quando veio à tona a falta de segurança de informações colhidas pelo aplicativo de corridas Strava. Militares dos Estados Unidos, Israel e Rússia usuários desse aplicativo já expuseram – sem saber – suas localizações e as de bases secretas de suas respectivas forças armadas graças a uma funcionalidade do aplicativo, a partilha de suas rotas de exercício e mapas de calor de seus percursos. Há pelo menos uma morte, de um soldado russo, associada à exposição de rotas de corrida de usuários militares do aplicativo.
A publicidade de dados sensíveis via Strava também afetou usuários no Brasil, como revelado pela revista piauí ainda em 2018, expondo itinerários e rotas usadas no dia a dia por militares e agentes de segurança – como agentes penitenciários.
Além disso, nos últimos anos tem havido vazamentos massivos de dados de aplicativos, como no caso do FitBit, que mede dados de desempenho físico e marca a localização de quem o utiliza. A plataforma teve dados de 61 milhões de seus usuários hackeados em 2021.
Na França, houve também denúncias de compartilhamento, sem consentimento, de dados de usuários do MyFitnessPal (exercícios), SeLoger (imobiliário) e Fnac (rede de lojas do setor de tecnologia), o que rendeu ações desde 2023, ainda sem um veredito pelo Judiciário francês.