O órgão de vigilância da segurança cibernética dos EUA está incentivando os cidadãos a usarem apenas aplicativos seguros de mensagens criptografadas de ponta a ponta, como o Signal, para proteger as comunicações móveis.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) compartilhou uma série de práticas recomendadas em 18 de dezembro de 2024, após o ataque do tufão Salt. Acredita-se que este “ataque cibernético sem precedentes” seja o maior comprometimento de inteligência na história dos EUA, hackeando pelo menos oito empresas de telecomunicações dos EUA para espionar cidadãos.
Embora o último anúncio da CISA tenha como alvo indivíduos altamente visados com informações de interesse para hackers chineses, todos podem se beneficiar com essas dicas de segurança. Essas dicas incluem evitar aplicativos de rede privada virtual (VPN) inseguros.
Sinais e mais dicas de segurança
“A maioria dos indivíduos visados devem considerar que todas as comunicações entre dispositivos móveis – incluindo dispositivos públicos e privados – e serviços de Internet são vulneráveis à intercepção ou manipulação”, escreveu o órgão de vigilância da cibersegurança dos EUA.
Com isso em mente, os especialistas recomendam mudar para aplicativos de comunicação como o Signal. Esses serviços criptografam todos os dados em trânsito para que suas mensagens permaneçam privadas (ponta a ponta) entre o remetente e o destinatário.
A CISA recomenda procurar um serviço compatível com Android e iPhone, permitindo a interoperabilidade de mensagens de texto entre plataformas. Também pode incluir recursos como mensagens e imagens que desaparecem, o que pode melhorar ainda mais a privacidade.
Mais importante ainda, “ao escolher um aplicativo de mensagens criptografadas de ponta a ponta, avalie quantos metadados o aplicativo e os serviços associados coletam e armazenam”, diz CISA.
Metadados referem-se a todas as informações que não são conteúdo, como endereços IP, carimbos de data/hora, tamanhos de arquivos de dados e muito mais. A coleta de metadados, por exemplo, é um dos motivos pelos quais as preferências do Signal ou da sessão são mais seguras do que o WhatsApp.
⚠️ Atividade de ciberespionagem por agentes de ameaças afiliados à #RPC visando a infraestrutura de #telecomunicações, comprometendo as comunicações móveis para indivíduos de alto valor. Aja agora: implemente recomendações para proteger suas informações contra interceptação ou manipulação. 👉 pic.twitter.com/rOLakd58ag18 de dezembro de 2024
A CISA também recomenda habilitar formas de autenticação de dois fatores resistentes a phishing para garantir que os hackers não possam contornar essa camada adicional de proteção. Os especialistas recomendam ativar o Fast Identity Online (FIDO), que inclui dados biométricos (como impressões digitais ou reconhecimento facial) e chaves de segurança física.
Como regra geral, você deve evitar usar SMS como segundo fator de autenticação, pois eles não são à prova de phishing “As mensagens SMS não são criptografadas – um agente de ameaça com acesso à rede de um provedor de telecomunicações que intercepte essas mensagens pode lê-las”, explicam os especialistas.
Os cidadãos dos EUA também são incentivados a armazenar todos os detalhes de login e usar ferramentas de gerenciamento de senhas fortes para encontrar combinações fortes. LastPass, Apple Passwords App e Google Password Manager Proton Pass são de uso gratuito e alertam automaticamente sobre senhas fracas, reutilizadas ou vazadas.
Os especialistas recomendam atualizar regularmente o software do sistema operacional do dispositivo para corrigir quaisquer vulnerabilidades. Eles também desaconselham o uso de serviços VPN comerciais inseguros porque “muitos provedores de VPN gratuitos e comerciais têm políticas de segurança e privacidade questionáveis”.
É por isso que é importante escolher os melhores aplicativos VPN com reputação confiável, política rígida de não registro e fortes recursos de segurança – melhor ainda se forem auditados de forma independente. No momento em que este artigo foi escrito, a principal recomendação premium do TechRadar era NordVPN, enquanto Privado VPN e Proton VPN são as VPNs gratuitas mais seguras.
