O vazamento de dados pessoais é apenas o começo de uma jornada complexa e potencialmente prejudicial para as vítimas. Quando informações como CPF, endereço, score de crédito, logins e senhas são expostas, elas entram em uma rede clandestina onde se tornam mercadorias altamente valorizadas. Esses dados são negociados em fóruns da dark web e podem ser utilizados para invasões de contas, fraudes e muitos outros crimes digitais.
O processo de como os dados se tornam ‘produtos’ comercializáveis é intrigante e multifacetado. As informações podem ser expostas devido a ataques cibernéticos dirigidos ou por simples descuidos operacionais, como configurações incorretas de segurança. Uma vez na esfera pública, esses dados são reunidos por criminosos e circulam entre eles, ganhando valor conforme são enriquecidos com mais informações pessoais. Jeferson Propheta, vice-presidente da CrowdStrike para a América Latina, descreve esse ciclo como uma evolução das práticas criminosas digitais, onde dados vazados se transformam em matéria-prima para crimes organizados.
A precificação dos dados segue regras de mercado que consideram a oferta, a demanda e a qualidade do que é vendido. Um exemplo é que um cartão de crédito brasileiro roubado pode ser encontrado por valores em torno de 10,70 dólares na dark web. Essa dinâmica é semelhante à de um mercado comum, porém, dirigida de maneira clandestina e sem regras formais além das estabelecidas por criminosos.
O percurso desde a exposição inicial até o uso das informações passa por várias etapas. Inicialmente, ocorre o comprometimento da fonte de dados, permitindo acesso indevido às informações. Em seguida, esses dados são normalizados e enriquecidos, para que possam ser anunciados em fóruns de venda de dados na dark web. Por fim, os compradores utilizam as informações para fraudes ou revendem-nas para outros criminosos. O vice-presidente da CrowdStrike menciona que o uso de inteligência artificial na criação de e-mails de phishing representa um perigo real, pois esses e-mails, gerados por IA, são muitas vezes indistinguíveis de comunicações legítimas.
A exposição de dados não representa apenas uma perda de informações, mas um aumento no risco de ataques secundários, como phishing e credential stuffing. Segundo especialistas, a reação após um vazamento de dados é crucial e deve ser imediata. Antonielle Freitas, advogada especialista em proteção de dados, orienta as vítimas a mapearem os dados vazados, mudarem senhas, ativarem autenticação de múltiplos fatores e monitorarem atentamente suas contas.
Do ponto de vista legal, empresas que tratam dados devem demonstrar que medidas de segurança adequadas foram tomadas. A Lei Geral de Proteção de Dados (LGPD) exige que incidentes sejam comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e aos afetados se houver risco ou dano relevante. Casos de grandes vazamentos, como o da XP Investimentos ou o dos Correios, ilustram a necessidade de notificações amplas e detalhadas sobre o ocorrido.
Em relação às implicações financeiras, as instituições, por lei, são responsáveis pelas falhas na prestação de serviços, incluindo fraudes decorrentes de vazamentos. Isso significa que clientes não devem ser responsabilizados por empréstimos ou compras fraudulentas realizadas em seu nome. O advogado Elias Menegale ressalta a importância de manter registros de todas as interações, incluindo prints e e-mails, para futuras ações judiciais.
Quanto a serviços de telecomunicações, fraudes envolvendo dados vazados geralmente resultam na contratação de linhas telefônicas que os criminosos usam para golpes ou para burlar rastreamento. Nesses casos, a dívida gerada por tais serviços é considerada inexistente, transferindo a responsabilidade para as operadoras de cancelar e resolver qualquer implicação relacionada às vítimas.
