Extorso criptoviral

Autor: Spencer Toth Sydow

No vai demorar a chegar ao Brasil a denominada extorso criptoviral, popular e
erradamente denominada sequestro virtual.
Prtica existente e identificada desde os idos de 1996,(1) trata-se de circunstncia
em que algum tem seu dispositivo informtico infectado por um malware no
intuito de torn-lo indisponvel ou tornar indisponveis determinadas pastas ou
arquivos.
Em seguida, o vitimizado recebe instrues via email ou via caixa de dilogo
(surge na tela uma janela pop up) informando que apenas voltar a ter acesso ao
seu sistema ou dados aps pagar um resgate. Caso contrrio, seu dispositivo
informtico ficaria sem utilidade e seus arquivos sem acesso.
O resgate pode ser em dinheiro, aquisio de produtos em sites determinados,
aquisio de crditos de celular ou carto de crdito pr-pagos e, mais
modernamente, aquisio de dinheiro digital (bitcoin, dogecoin etc). E os arquivos
almejados so aqueles mais importantes de acordo com a profisso do usurio.
Tecnicamente, a estratgia pode ser definida como a seguir: A extorso criptovital
um ataque de negao de recursos que usa criptografia de chave pblica. um
protocolo de trs ciclos que conduzido por um atacante em face de uma vtima.
O ataque conduzido via um criptovrus que usa um criptossistema hbrido para
encriptar dados do hospedeiro enquanto apaga ou reescreve os dados originais
no processo.(2)
Encriptar significa transformar uma informao que inicialmente poderia ser lida
pelo usurio em um algoritmo, de modo a impossibilitar a leitura por seu titular,
limitando-a quele que possui uma chave especial ou informao particular, no
caso, o delinquente. A infeco coloca a mquina da vtima sob controle do
malfeitor at que esta aceite cumprir suas exigncias. Caso aceite fazer o
pagamento, a chave entregue vtima, que retorna o acesso e o uso dos
recursos normalmente.
Exemplificativamente o autor infecta o computador alheio com um malware que
informa que certos arquivos do usurio esto corrompidos (como arquivos de texto
ou mdias) e sugere a instalao de um aplicativo para consertar tais arquivos. O
usurio, desavisado, instala o programa que aparenta estar corrigindo os arquivos
falsamente corrompidos, mas que na realidade est criptografando os arquivos de
acesso ao sistema ou arquivos importantes.

Assim, o autor consegue tomar controle dos dados alheios e indisponibiliz-los,

tornando o sistema ou o arquivo sem acesso at que se atenda ao pagamento.
Para estabelecimento da exigncia, geralmente uma tela surge ao usurio
informando as condies para liberao.
Assim, a engenhosidade social est criada e o movimento principal fazer com
que o usurio vitimizado acredite que no h outra maneira de voltar a acessar
seus dados a no ser aceitando e cumprindo com o estabelecido. H, pois,
verdadeiro compelimento por meio virtual, a partir do surgimento de novos e
elevados valores atribudos informtica, aos dados e virtualidade.
Destaque-se que h um movimento de aceitao na instalao do programa por
parte da vtima, fazendo com que a caracterstica informtica da interatividade
esteja presente. H, pois, uma participao da prpria vtima na instalao do
ransomware.
A Lei 12.737/2012 criou o art. 154-A, com duas figuras distintas:
A primeira figura trata da ao de invadir dispositivo informtico alheio, conectado
ou no rede de computadores, mediante violao indevida de mecanismo de
segurana e com o fim de obter, adulterar ou destruir dados ou informaes sem
autorizao expressa ou tcita do titular do dispositivo. tipo complexo e que
exige fim especfico: invadir para obter, adulterar ou destruir dados. O objetivo do
agente, nesta circunstncia, so os dados em si.
Nota-se que na extorso criptoviral, pela prpria lgica inerente e etimologia, o
objetivo do agente o de obter vantagem econmica (indevida) pela utilizao de
um golpe de engenharia social e no obter dados.
, em verdade, scam que se utiliza de armadilha informtica especial, fazendo o
sujeito alvo entrar em situao de angstia ou desespero. O fim do agente,
portanto, sempre o de obter vantagem e as condutas intermedirias devem ser
consideradas delitos meio e devem ser absorvidas.
A segunda figura a de instalao de vulnerabilidades para obteno de
vantagem ilcita. Por vantagem ilcita, compreende-se toda aquela reprovvel e
no admissvel em lei e, nas palavras de Prado, todo o benefcio ou proveito
contrrio ao Direito, constituindo, portanto, elemento normativo jurdico do tipo de
injusto.(3) Em nosso exemplo, tal tipo tambm parece ficar excludo.
Isso porque por vulnerabilidade entende-se a circunstncia que d condio de
ataque ou ofensa vtima. E o legislador pecou na redao da lei ao pluralizar a
expresso instalao de vulnerabilidadeS, fato que no ocorre no caso em si.
Apenas uma vulnerabilidade instalada na mquina capaz de ofender o usurio, a
partir do arquivo que modifica os arquivos de acesso aos recursos.

 dizer, portanto, que apesar de violar a disponibilidade de arquivos ou sistema e

de atacar frontalmente a segurana informtica que defendemos como bem
jurdico autnomo, trata-se, em verdade, de situao de extorso propriamente
dita.
H um constrangimento virtual com grave ameaa de perdas considerveis
(patrimoniais ou morais) para que o vitimizado faa um movimento que gerar
vantagem patrimonial indevida a si ou a terceiro.
Golpes semelhantes se disseminaram em dois exemplos de scam(4) bastante
conhecidos, mas sem a infeco da mquina: (a) no primeiro ataque de tal
natureza, surgia um informe na tela alertando que o usurio estaria utilizando uma
verso ilegal do Windows, exigindo-se que este pagasse um valor para que no
fosse alertada a polcia federal dos EUA (FBI) a ttulo de licena do sistema
operacional; (b) um segundo exemplo foi o de mensagens que surgiam na tela
informando que o FBI ou outra instituio havia detectado pornografia ilegal no
computador do usurio e ele deveria pagar um valor a ttulo de fiana.
H, portanto, conforme amadurecemos no meio ambiente informtico, crescentes
novas competncias a serem desenvolvidas pelos usurios e crescentes novos
cuidados a serem tomados.
Referncias bibliogrficas
Prado, Luiz Regis. Curso de direito penal brasileiro, v. 2: parte especial. 7. ed. rev.,
atual. e ampl. So Paulo: RT, 2008.
Sydow, Spencer Toth. Crimes informticos e suas vtimas. So Paulo: Saraiva,
2013.
Young, A.; Yung, M., Cryptovirology: extortion-based security threats and
countermeasures. Proceedings 1996 IEEE Symposium on Security and Privacy.
p. 129. Disponvel em: <http://www.techrepublic.com/blog/it-security/ransomwareextortion-via-the-internet/2976/). Acesso em 18 mar. 2014, s 20h15min
<http://citeseerx.ist.psu.edu/viewdoc/download?
doi=10.1.1.121.3120&rep=rep1&type=pdf>. Acesso em 18 mar. 2014, s
20h16min.
Notas:
(1) Adam Young e Moti Yung cunharam o termo criptovirologia e demonstraram
seu funcionamento em 1996, atravs do paper Cryptovirology: Extortion-Based
Security
Threats
and
Countermeasures.
Disponvel
em:
<citeseerx.ist.psu.edu/viewdoc/download?
doi=10.1.1.121.3120&rep=rep1&type=pdf>. Acesso em: 18 mar. 2014, s
11h56min.
(2) Definio de Young e Yung, cf. artigo citado na nota de rodap anterior.
Original: Crypto-viral extortion, which uses public key cryptography, is a denial of
resources attack. It is a three-round protocol that is carried out by an attacker
against a victim. The attack is carried out via a crypto-virus that uses a hybrid

cryptosystem to encrypt host data while deleting or overwriting the original data in
the process.
(3) Prado, Luiz Regis. Curso de direito penal brasileiro, v. 2: parte especial. 7. ed.
rev., atual. e ampl. So Paulo: RT, 2008, p. 445.
(4) Defendemos a existncia de duas modalidades de scam, quais sejam o scam
estelionato e o scam extorso.
Spencer Toth Sydow
Mestre e doutorando em Direito Penal (USP).
Professor de Graduao e Ps-graduao (UNIP, GV-Law).

Fonte: http://www.ibccrim.org.br/boletim_artigo/5105-Extorso-criptoviral