Criptografia de mensagens: por que ficar atento a isso?

Recentemente, muito tem se falado sobre a segurança, privacidade e criptografia em aplicativos de envio de mensagens. Quem tem conhecimentos sobre a área de tecnologia da informação, sabe que existem diversas formas de um hacker acessar mensagens e arquivos de celulares. 

Quando se trata de aplicativos de troca de mensagens instantâneas, uma questão importante a ser levada em consideração é a criptografia. Esse recurso é, de certa forma, uma garantia de que apenas emissor e receptor poderão ler, ouvir ou acessar arquivos que são enviados nestes aplicativos. Porém, na prática, às vezes não é o que acontece.

Toda empresa possui dados sigilosos, informações sobre sua estratégia, diferencial competitivo, metodologias e até mesmo questões de ordem legal, como salários e contratos que, se vierem a público, podem causar grande prejuízo à organização, seja pelo fato de um concorrente ter acesso aos dados ou mesmo por um processo por danos morais. Em alguns casos tais informações podem ser inclusive usadas para chantagem e lucro indevido. Apesar de estarem sempre buscando atualizações que visam a segurança do usuário, os aplicativos e programas de mensagens instantâneas já se mostraram vulneráveis em relação a este ponto. Então como é possível assegurar que os dados ou informações da minha empresa estão seguros ao serem enviados nestes aplicativos?

Criptografia de mensagens é garantia de segurança?

Bem, deveria ser, uma vez que, como já foi dito anteriormente, esse recurso teria que permitir o acesso às mensagens apenas pelo emissor e receptor. Ainda assim, os casos recentes mostram que apesar de ser um fator decisivo para a segurança da informação, ela não deve ser o único elemento usado para esse fim.

A criptografia tem como finalidade proteger dados dos usuários de tentativas de acesso não autorizada, utilizando chaves de segurança para validar as informações fornecidas. Existem diferentes tecnologias e tipos de criptografia que permitem a verificação destas chaves de segurança: entre elas, podemos citar a criptografia simétrica e assimétrica.

A diferença entre as duas técnicas é que a criptografia simétrica utiliza apenas uma chave de segurança, compartilhada entre emissor e destinatários, enquanto a criptografia assimétrica faz uso de uma chave pública, utilizada para cifrar o conteúdo, e outra privada, que serve para decifrar a mensagem.

É importante compreender que existem diferentes tecnologias de criptografia, que alteram a sua complexidade. Quanto maior a complexidade da criptografia, maior será a dificuldade para que a mesma seja quebrada e maior será o nível de processamento exigido do equipamento. Dessa forma podemos entender que quanto mais estratégica for uma informação, mais complexa deve ser a criptografia utilizada para protegê-la.

Algumas empresas e até organizações públicas de alguns países buscam desenvolver aplicativos próprios para comunicação interna, a fim de defender suas informações estratégicas de possíveis ataques. 

Um caso como esse aconteceu na França. Um dia após o governo lançar um aplicativo exclusivo para conversas entre parlamentares do país, o programa já foi acessado por uma cidadão, que não tinha qualquer relação com o governo. Por sorte, o usuário avisou aos desenvolvedores do programa sobre o erro, que rapidamente foi corrigido. Mas nem todos os invasores agem com a mesma boa-fé.

Muitas vezes, as invasões a aplicativos para trocas de mensagens desenvolvidos internamente acontecem porque os desenvolvedores estão focando esforços em uma aplicação que não faz parte do core-business da empresa e não tem exatamente a expertise e as boas práticas para desenvolver aplicações realmente seguras. Isso faz com que falhas como a exemplificada anteriormente se torne mais frequente e possível de acontecer.

Outro ponto importante a ser visto em relação aos aplicativos ou programas de mensagens públicos é que o desenvolvimento deles é feito fora do Brasil e muitas vezes as regras de segurança aplicadas a eles são relativas aos países de origem dos apps. 

Além disso, esses aplicativos estão disponíveis para qualquer usuário a qualquer momento. Isso facilita o hackeamento da aplicação, já que hackers têm acesso constante às aplicações e mais tempo para quebrar o código. É importante ficar de olho nisso!

Segurança da informação na comunicação empresarial

Parece bastante óbvio, mas muitas vezes as pessoas acabam se esquecendo que, no ambiente empresarial, é necessário garantir a segurança da informação e que dados sobre produtos ou projetos devem ser  mantidos sob sigilo. Afinal, ninguém deseja ter sua ideia indo a público ou sendo lançada pela concorrência devido a uma invasão de celulares.

E como essa segurança pode ser aplicada com tanta precisão em uma empresa? 

O compromisso de cuidar das informações pertinentes às empresas é mais uma das funções que acabam acumulando para os gestores de TI, que precisam buscar soluções acessíveis e práticas para entregar à diretoria. 

Além do cuidado com a escolha de aplicativos ou programas que possuem um ambiente mais seguro, e fazem uso de criptografia, o gestor de TI pode desenvolver processos e instruir os demais funcionários quanto ao tipo de informações que podem ou não ser compartilhadas e quais medidas de seguranças podem ser utilizadas para aumentar a segurança. 

Uma ideia é criar a cultura de pequenos “talks”, palestras internas, que visam o tema, assim a conversa se torna mais aberta, e é possível também que os colaboradores tirem suas dúvidas sobre segurança da informação.

Veja algumas orientações que o gestor de TI pode usar com o time para aumentar a segurança: 

Autenticação em duas etapas: apesar de comum, muitos usuários não utilizam a autenticação em duas etapas. O gestor de TI pode orientar e explicar os benefícios de utilizar a camada extra de segurança. A segunda camada de segurança dificulta a ação de um hacker, que precisa de um segundo validador, mesmo tendo acesso à senha do usuário;

Links suspeitos nos SMS: alguns hackers inserem links em mensagens via SMS que abrem brechas de segurança no celular dando acesso a todo conteúdo do aparelho. É importante orientar os usuários comuns a não clicar em links de mensagens suspeitas, principalmente de e-mails promocionais e de lojas nos quais eles não realizaram compras recentes;

Bloqueio de tela: pode parecer besteira ter que orientar quanto a esse tipo de descuido, mas muitos usuários não utilizam o recurso ou definem longos períodos para que a tela seja bloqueada. É preciso orientar o usuário lembrando que qualquer pessoa mal intencionada passa a ter acesso total ao telefone quando a tela está desbloqueada. Não se trata apenas da instalação de aplicativos espiões e malwares, mas do acesso a informações confidenciais nos apps de mensagens e e-mail;

Ativar a busca ou acesso remoto ao celular: nem todos os usuários conhecem essa função disponível tanto nos celulares Android quanto nos iPhones. No caso de furto ou perda, ela dá ao usuário a opção de proteger os dados, localizar, apagar arquivos ou até mesmo bloquear o aparelho, evitando o acesso indevido às informações do smartphone;

Baixar aplicativos apenas da loja oficial: outra dica que parece bem simples, mas não é todo mundo que a segue. Fazer download de aplicativos por outros meios que não através da Google Play ou App Store já é uma forma de deixar o celular mais vulnerável a invasões e programas maliciosos. Alguns usuários têm esse hábito, mas é importante reforçar a questão da segurança, e no caso de celulares corporativos, garantir essa prática e revisar periodicamente as configurações.

Criptografia e segurança nunca é demais.

Como vimos, muito mais do que tomar cuidado com senhas, a segurança da informação passa por uma série de precauções para que dados não sejam acessados, utilizados ou venham a  público expondo informações importantes para empresas ou organizações. A orientação do gestor de TI quanto as dicas de segurança pode ser o que irá diferenciar a sua empresa das concorrentes.