Se cibercrime fosse commodity, o Brasil estava rico. Nosso país, notório pela violência e pelas atividades do crime organizado, é polo exportador de fraudes e formas de fazer dinheiro ilícito pela internet. Malwares, brechas de sistemas, invasões - a cada dia, surge um golpe novo.

E se hoje é difícil explicar esse perigo para algumas pessoas, imagina nos anos 2000, quando a internet "ainda era mato". Cristiano Lincoln Mattos encarou o desafio como co-fundador (e atual presidente-executivo) da Tempest.

Para provar que cibersegurança não é "óleo de cobra", ele batia na porta de grandes empresas, de camisa social, pasta debaixo do braço e uma certa dose de cara-de-pau. Ele alertava: "As redes vieram para ficar e é essa a porta que os ladrões usarão para roubar o dinheiro."

A Tempest viveu para ver seu próprio aviso se tornar redundante. Hoje, com a proporção que roubos e fraudes virtuais tomam, o empresário conta que muitas empresas já pensam diferente. A Tempest já está por trás da segurança digital da maioria dos bancos brasileiros, por exemplo.

Primeira empresa no Brasil a fazer threat intelligence (entrar no mundo do cibercrime para antever as ferramentas dos criminosos), ela recebeu recentemente um aporte financeiro da Embraer, para desenvolvimento da segurança de toda a malha aérea de seus carros aéreos, os eVTOLs, que logo devem povoar os céus.

Em entrevista a Tilt, Lincoln abre o jogo sobre o perfil do brasileiro na internet, as estruturas criminais na era digital e, principalmente, o que torna o cibercrime nacional tão peculiar.

Vocês criaram uma empresa de segurança de informação em 2000. Se hoje a gente tem dificuldade para entender a importância de cibersegurança, naquela época era ainda pior. O que fez vocês enxergarem isso como oportunidade?

Cada um dos três fundadores teve o seu caminho, mas a gente sabia a internet ia mudar tudo. A gente conseguia ver: estava se construindo todo um conjunto de processos, de tecnologia e acessos, mas se você abria o capô, via que tinha muita fragilidade ali embaixo. Esse era o nosso tesão.

É muito engraçado porque os três tinham a certeza de que a segurança seria essencial nesse mundo digital novo. Precisava ter essa segurança porque, senão, o castelo de cartas todo ia cair. Mas transformar essa visão em realidade, como empresa, foi outra história.

E como isso começou?

Na base do bootstrap [estrutura de componentes de programação], fazendo consultoria. Basicamente, a gente ia nas empresas e dizia: "olha, deixa eu testar sua segurança para te mostrar quais são os problemas que você tem e a partir daí te ajudar a resolver isso."

Foi um trabalho muito gradual, estabelecendo o mercado e demonstrando o nosso conhecimento. A gente publicava pesquisa, papers, os nossos achados. Fomos ganhando essa credibilidade. Isso sempre foi nosso cartão de visita da gente — a nossa capacidade técnica. O DNA da empresa é esse até hoje.

O primeiro banco que se tornou cliente foi em 2008. E foi um sucesso. Indicaram a Tempest e começamos a crescer em cima disso. Hoje, 60% da nossa receita vem do setor financeiro.

Nesse sentido, a empresa sempre se financiou sozinha desde o começo. Até porque, naquela época, cultura de venture capital era mínima aqui no Brasil.

Em que momento vocês passaram a ocupar esse espaço de especialista em segurança, especialmente em operações financeiras?

Olhando para o contexto: quem sempre foram os grandes contratadores de cibersegurança? O setor financeiro, que tinha de investir dinheiro contra fraude por regulamentação pelo Banco Central. Agora, todos os setores estão investindo, mas por muito tempo o principal mercado foram os bancos.

E foi ali que a gente foi se desenvolvendo. A gente trabalha ou já trabalhou com todos os bancos que você puder imaginar. E também todo o ecossistema: bolsa de valores, corretoras, fintechs...

Uma vez que você ganha experiência nos problemas de cibersegurança no setor financeiro, todo mundo quer a solução. Porque, no fim, é sempre o mesmo problema: o fraudador que vai atacar o banco "laranjinha" vai atacar o "banco vermelho" também. Para esse cara, é um business. A profissão dele é acordar às oito da manhã, fraudar e, no outro dia, fazer a mesma coisa de novo. Inclusive, no final do ano a fraude aumenta, porque ele precisa do 13º! [risos]

Por que o cenário de tecnologia de segurança no mercado financeiro do Brasil é tão avançado?

Se você olha lá fora, os três grandes setores que mais contratam cibersegurança são os de tecnologia, financeiro e governo. Aqui, desses três, o único que tem certa maturidade é o financeiro.

O Brasil é um caso único. Mesmo com todas as nossas desigualdades, somos confortáveis com a tecnologia. Mas, ao mesmo tempo, tem muita fraude, muito crime, pouca lei. Você junta essas duas coisas, você tem a tempestade perfeita de cibersegurança. E o que é o epicentro dessa tempestade? O setor financeiro.

O setor financeiro do Brasil até hoje ainda é muito mais avançado do que muitos países com a economia desenvolvida. Por quê? Porque a gente teve inflação galopante lá nos anos 80 e começo dos anos 90. Os bancos precisaram investir muito em tecnologia.

Quando entrou a internet, eles já tinham maturidade tecnológica. Durante muito tempo, você fazia muito mais coisas online aqui do que lá fora. Internet banking, o Brasil foi um dos primeiros países que teve.

Esse cenário é meio inesperado. Quem olha de fora nunca vai pensar que o setor financeiro do Brasil é mais avançado que o dos Estados Unidos, mas é. A população é early adopter de tecnologia. Aqui, a população não tem acesso a esgoto, mas está confortável com o TikTok. São as as contradições do nosso país.

O brasileiro já tem noção do impacto das suas decisões no digital? Já entende que tem o mesmo peso de uma decisão no mundo real?

Isso é uma discussão ainda muito incipiente no Brasil. A gente ensina para as crianças: "Vai atravessar a rua? Olha para um lado, olha para o outro." Mas não ensina isso no digital. "Não clica aqui" ou "não passa teus dados" ou "não manda aquela nude". É educação também.

Eu tenho uma filha de 17 anos e um filho de sete, os dois são 100% online. Amigos, interação, PK XD [game online], Minecraft... Tem que ter um conforto mínimo para as pessoas porque senão o negócio todo rui, né?

Aqui dentro da empresa, a gente fala que cibersegurança é um direito do mundo. Parece aqueles slogans idiotas, mas a gente acredita nisso mesmo. Estamos colocando a sociedade inteira online. O que a gente quer como direito, como pessoas? E até onde a regulamentação tem que ir para nos proteger, mas sem tirar nossa privacidade?

O Pix acabou virando uma mão na roda pros criminosos, que usam a transferência para esvaziar a conta das vítimas. Nessa situação, em que o banco praticamente transfere o caixa eletrônico para o nosso bolso, o que é que ainda é preciso fazer?

Aqui na Tempest, a gente é meio arauto da desgraça [risos]. Logo que o Pix foi lançado, olhamos assim: "isso aqui vai dar problema".

Porque a gente conhece o cibercrime. Essa é a diferença. Você está lidando com um humano inteligente do outro lado da mesa. Ele se adapta a todos os seus movimentos, o que torna a segurança uma coisa super interessante: o jogo nunca está ganho. Se você dá um passo para um lado, ele dá um passo para o outro também. Se você pula, ele se abaixa.

O Pix é uma inovação com um belíssimo valor para todo mundo. Traz economia para as pessoas, traz menos taxas. Só que, com a facilidade, também podem vir os riscos. Você sempre tem esse trade off. Como é que eu acho o equilíbrio?

A saída passa por alguns tipos de controles, que os bancos já começaram a fazer. Botar limite, só mandar Pix para gente cadastrada, ou só poder cadastrar e enviar depois de 24 horas. Você tem que limitar mesmo algumas coisas. No fim, é um conjunto da obra: colocar mais restrições para que o assalto tenha menos retorno financeiro.

E como isso é um desafio para a cibersegurança?

É difícil porque é a convergência entre o crime físico e o cibercrime. Se fosse só cibercrime, talvez tivesse uma solução técnica. Mas ali o cara tem a posse do celular assim como você. Se ele botar uma arma na sua cabeça, você vai dar a senha para ele. É muito mais difícil de resolver.

Estruturou-se aí uma ação de crime organizado, com o PCC tocando, às vezes. Hoje, o roubo de celular passa por uma linha de produção profissional extremamente organizada. É uma dor de cabeça enorme na vida das pessoas.

É que nem porco, ou boi — eles aproveitam tudo, né? O rabo faz isso, o chifre faz aquilo. É a mesma coisa quando alguém rouba um celular hoje em dia. Vão vender seu e-mail pra lista de spam, sua conta no Twitter, vão fazer chamadinha pra sua lista de contatos, dizendo "o meu número mudou" e transferir o dinheiro.

Esse tipo de problema não acontece lá fora. Lá, se você é um desenvolvedor, você pensa: "eu quero mesmo que o cara tenha acesso a tudo do meu aplicativo". Aqui no Brasil, o modelo de ameaça é diferente. Se eu tô andando de celular na mão, não preciso me preocupar com alguém me hackeando, e sim com alguém com uma arma na minha cabeça, mostrando o meu rosto para detectar a biometria.

Para encarar o cibercrime no Brasil, vocês começaram a entrar nos lugares onde eles atuam. Em que momento decidiram adotar esta postura proativa?

Não somos a única empresa a fazer isso. Mas fomos a primeira no Brasil. Esse trabalho começou por causa de um cliente, em 2009. Ele estava tendo um problema de fraude seríssimo e nos chamou. A gente começou a investigação, puxando o fio da meada e acabou chegando num mercado underground.

O crime digital tem um tipo de "mercadão" underground muito bem desenvolvido onde os criminosos trocam informação e vendem vulnerabilidades. E a gente começou a olhar, "tá aqui a informação no nosso cliente, mas também tá ali a informação daquele outro cliente". E aí a gente começou a montar uma operação para conseguir fazer esse monitoramento em escala.

Isso faz parte de uma disciplina da cibersegurança, "inteligência de ameaças". O conceito é: eu preciso conhecer o meu adversário. Se eu entender como ele opera, o que o motiva, vou estar um passo à frente dele. Parte disso envolve monitorar esses mercados para ter um "dedo no pulso", digamos assim. Saber quem é que tá vendendo e quem é que tá comprando.

E como é esse mercadão underground? O que se encontra lá?

Quando rolam os grandes vazamentos de dados, quando alguém rouba a tua conta no Facebook, ou qando tem acesso à tua conta bancária, é lá que essas coisas vão parar.

Hoje, essa é uma das nossas grandes linhas de receita. Fazemos para clientes do mercado financeiro, para clientes no exterior. Fizemos até para o Comitê Olímpico Internacional, na Suíça, para os Jogos do Rio 2016 e de Tóquio 2021 também. Ali, não estávamos monitorando fraude, mas sim gente querendo atacar as autoridades estrangeiras ou fazer alguma sacanagem.

Acho que é um exemplo de como esse assunto tem umas vertentes inesperadas em relação ao resto da computação. Você tá olhando no olho do sujeito que quer roubar. Começa extremamente técnico, um monte de nerd ali, bit e byte — e quando você vê, já tá assim, no ecossistema criminoso, envolvido com o PCC no meio.

O Brasil tem uma fama muito grande de ser "bom em cibercrime" Por que isso acontece?

Olha, tem sim essa fama. Acho que vem um pouco desse cenário com muita tecnologia, pouca proteção e pouca lei.

Mas tem uma coisa curiosa: mesmo em um país com muito problema socioeconômico e muita desigualdade na educação, sempre tem bons hackers. Acho que todo país assim, com um mínimo de acesso à tecnologia ou educação formal, tem massa crítica para gerar [criminosos desse tipo].

A melhor mentalidade que eu já vi era de um cara que não fez a oitava série. Ele não conseguia escrever sem erro de português, mas era um gênio. Isso mostra também como esse é um negócio ao mesmo tempo dramático e fantástico.

Nesse trabalho de monitorar o fórum de cibercrime, teve um post que a gente pegou de um menino lá do Pará, num dos grupos de fraude, agradecendo a um outro fraudador, um cara mais experiente, pela oportunidade de "uma nova profissão". Ele dizia: "eu sou fraudador, agradeço a fulano, que me capacitou". Antes, esse menino era seringueiro. Nunca me esqueço disso.

Qual a diferença entre o perfil socioeconômico do cibercriminoso e o do criminoso "comum", que está na rua? É só a especialização e a forma de agir?

Acho que a principal característica do cibercrime é que ele é um ecossistema. É uma cadeia de suprimentos. A melhor forma de descrever isso é como uma pirâmide. No topo, você tem os especialistas técnicos. É o cara que vai montar o hardware que faz o "chupa-cabra" na maquininha do cartão. O que cria o malware, para roubar as informações do teu PC, do teu celular, identificar a falha no site do banco. São 1% das pessoas desse meio.

No corpo da pirâmide, você tem os caras do phishing, aqueles que mandam e-mail falso o dia todo. Ele não é o mesmo cara que fez o malware. Ele só manda e-mail o dia todo, e quando sai um vazamento novo na Santa Efigênia, ele compra, e pega mais gente para mandar.

Na base, começa a se aproximar do estereótipo do perfil tradicional. Para o movimento financeiro, já tem o "laranja", ou a "mula", que vai no caixa eletrônico para sacar o dinheiro do Pix que roubaram da sua conta. Esses nem sabem de quem é a conta de onde veio aquele dinheiro.

Como é que eles operam? Em escala. Até para poder ganhar mais. E essa é uma das características do crime digital: você replica o método. Se eu criar um malware para roubar sua conta bancária, e depois copiá-lo para outras 50 mil pessoas, elas têm a mesma capacidade de roubar. E não precisam ser tão tecnicamente capacitadas quanto eu.

Este modelo de negócios é o mesmo usado por gangues de ransomware [extorsão por sequestro de dados] lá fora. Curiosamente, o Brasil não tende a ter uma gangue dessas aqui, com alvos internacionais, mas é muito vítima delas. Por que?

Não sei se tem uma resposta certeira, mas posso especular que o ecossistema no Brasil se desenvolveu associado ao setor financeiro, com roubo de cartão de crédito, ou golpe do Pix.

Aqui, você tem alguns casos de extorsão ao longo do tempo, mas eles eram mais artesanais. Teve um em 2016, por exemplo, com uma empresa que ia fazer um IPO (abertura de capital). Ela foi hackeada e vazaram os dados para prejudicar a entrada na bolsa.

Os operadores tradicionais de ransomware encontraram um filão que é: "vou entrar, roubar um monte de dados e depois vou criptografar tudo. E aí, se você não me pagar, não tem mais seus dados. E eu ainda vou vazar isso, para gerar barulho."

Isso funciona em todo tipo de empresa, de uma fabricante de carne a uma loja de roupa. Os caras pegaram esse nicho e escalaram o negócio a nível mundial. São muito profissionais.