No seu escritório num dos andares superiores da sede do comité organizador dos Jogos Olímpicos de Paris, Franz Regul não tem dúvidas do que está por vir.
“Seremos atacados”, disse Regul, que lidera a equipe responsável por afastar ameaças cibernéticas contra os Jogos Olímpicos de Verão deste ano em Paris.
Empresas e governos em todo o mundo agora têm equipes como a de Regul, que operam em salas espartanas equipadas com bancos de servidores de computador e telas com luzes indicadoras que alertam sobre ataques de hackers. No centro de operações de Paris, existe até um sinal vermelho para alertar o pessoal sobre o perigo mais grave.
Até agora, disse Regul, não houve perturbações graves. Mas à medida que os meses até às Olimpíadas se reduzem a semanas e depois a dias e horas, ele sabe que o número de tentativas de pirataria informática e o nível de risco aumentarão exponencialmente. Ao contrário das empresas e dos governos, que planeiam a possibilidade de um ataque, Regul disse que sabia exactamente quando esperar o pior.
“Poucas organizações podem dizer que serão atacadas em julho e agosto”, disse ele.
As preocupações com a segurança em grandes eventos como as Olimpíadas geralmente se concentram em ameaças físicas, como ataques terroristas. Mas à medida que a tecnologia desempenha um papel crescente na implementação dos Jogos, os organizadores olímpicos encaram cada vez mais os ataques cibernéticos como um perigo mais constante.
As ameaças são múltiplas. Especialistas dizem que grupos de hackers e países como Rússia, China, Coreia do Norte e Irão têm agora operações sofisticadas capazes de desativar não apenas redes informáticas e Wi-Fi, mas também sistemas de bilhetes digitais, scanners de credenciais e até sistemas de cronometragem de eventos.
Os temores sobre ataques de hackers não são apenas hipotéticos. Nos Jogos Olímpicos de Inverno de Pyeongchang 2018, na Coreia do Sul, um ataque bem-sucedido quase atrapalhou os Jogos antes que pudessem começar.
O ataque cibernético começou em uma noite fria, quando os fãs chegaram para a cerimônia de abertura. Os sinais de que algo estava errado surgiram de repente. A rede Wi-Fi, ferramenta essencial para transmissão de fotografias e cobertura noticiosa, caiu repentinamente. Simultaneamente, o aplicativo oficial das Olimpíadas para smartphone – aquele que continha os ingressos dos torcedores e informações essenciais sobre transporte – parou de funcionar, impedindo a entrada de alguns torcedores no estádio. Os drones de transmissão foram aterrados e as televisões conectadas à Internet destinadas a mostrar imagens da cerimônia em todos os locais ficaram em branco.
Mas a cerimônia prosseguiu e os Jogos também. Dezenas de responsáveis pela segurança cibernética trabalharam durante a noite para repelir o ataque e corrigir as falhas, e na manhã seguinte havia poucos sinais de que uma catástrofe tivesse sido evitada quando os primeiros eventos começaram.
Desde então, a ameaça às Olimpíadas só cresceu. A equipe de segurança cibernética dos últimos Jogos de Verão, em Tóquio em 2021, relatado que enfrentou 450 milhões de tentativas de “eventos de segurança”. Paris espera enfrentar de oito a 12 vezes esse número, disse Regul.
Talvez para demonstrar a escala da ameaça, os responsáveis pela segurança cibernética do Paris 2024 utilizam livremente a terminologia militar. Descrevem “jogos de guerra” destinados a testar especialistas e sistemas, e referem-se ao feedback de “veteranos da Coreia” que foi integrado nas suas defesas em evolução.
Especialistas dizem que vários atores estão por trás da maioria dos ataques cibernéticos, incluindo criminosos que tentam reter dados em troca de um resgate lucrativo e manifestantes que querem destacar uma causa específica. Mas a maioria dos especialistas concorda que apenas os Estados-nação têm a capacidade de realizar os maiores ataques.
O ataque de 2018 em Pyeongchang foi inicialmente atribuído à Coreia do Norte, vizinho antagónico da Coreia do Sul. Mas os especialistas, incluindo agências dos EUA e da Grã-Bretanha, concluíram mais tarde que o verdadeiro culpado – agora amplamente aceite como sendo a Rússia – utilizou deliberadamente técnicas concebidas para atribuir a culpa a outra pessoa.
Este ano, a Rússia é mais uma vez o maior foco.
A seleção russa foi excluída das Olimpíadas após a invasão da Ucrânia pelo país em 2022, embora um pequeno grupo de russos individuais possa competir como atletas neutros. A relação da França com a Rússia azedou tanto que O presidente Emmanuel Macron acusou recentemente Moscou de tentar minar os Jogos Olímpicos através de uma campanha de desinformação.
O Comité Olímpico Internacional também apontou o dedo às tentativas de grupos russos de prejudicar os Jogos. Em novembro, o COI emitiu uma declaração incomum dizendo que havia sido alvo de “postagens de notícias falsas” difamatórias depois que um documentário apresentando uma narração gerada por IA, supostamente do ator Tom Cruise, apareceu no YouTube.
Mais tarde, uma publicação separada no Telegram – a plataforma de mensagens e conteúdos encriptados – imitou uma notícia falsa transmitida pela rede francesa Canal Plus e transmitiu informações falsas de que o COI estava a planear barrar equipas israelitas e palestinianas dos Jogos Olímpicos de Paris.
No início deste ano, brincalhões russos – fazendo-se passar por um alto funcionário africano – conseguiram falar com Thomas Bach, o presidente do COI, ao telefone. A ligação foi gravada e divulgada no início deste mês. A Rússia aproveitou os comentários do Sr. Bach acusar os dirigentes olímpicos de se envolverem numa “conspiração” para manter a sua equipa fora dos Jogos.
Em 2019, segundo a Microsoft, hackers estatais russos atacaram as redes informáticas de pelo menos 16 organizações desportivas e antidopagem nacionais e internacionais, incluindo a Agência Mundial Antidopagem, que na altura estava preparada para anunciar punições contra a Rússia relacionadas com o seu estado- programa de doping apoiado.
Três anos antes, a Rússia tinha como alvo as autoridades antidoping nos Jogos Olímpicos de Verão do Rio de Janeiro. De acordo com acusações de vários oficiais da inteligência militar russa apresentadas pelo Departamento de Justiça dos Estados Unidosos agentes naquele incidente falsificaram redes Wi-Fi de hotéis usadas por autoridades antidoping no Brasil para penetrar com sucesso nas redes de e-mail e bancos de dados de sua organização.
Ciaran Martin, que foi o primeiro executivo-chefe do centro nacional de segurança cibernética da Grã-Bretanha, disse que o comportamento passado da Rússia a tornou “a ameaça perturbadora mais óbvia” nos Jogos de Paris. Ele disse que as áreas que podem ser visadas incluem programação de eventos, transmissões públicas e sistemas de bilheteria.
“Imagine se todos os atletas chegassem na hora certa, mas o sistema de varredura dos iPhones no portão travasse”, disse Martin, que agora está professor da Escola de Governo Blavatnik da Universidade de Oxford.
“Você segue em frente com o estádio meio vazio ou atrasamos?” ele adicionou. “Mesmo ser colocado naquela posição onde você tem que adiar ou ter atletas de classe mundial no maior evento de suas vidas se apresentando em frente a um estádio meio vazio – isso é absolutamente um fracasso..”
Regul, chefe da segurança cibernética de Paris, recusou-se a especular sobre qualquer nação específica que possa ter como alvo os Jogos deste verão. Mas ele disse que os organizadores estão se preparando para combater métodos específicos de países que representam uma “forte ameaça cibernética”.
Este ano, os organizadores de Paris têm conduzido o que chamaram de “jogos de guerra” em conjunto com o COI e parceiros como a Atos, o parceiro tecnológico oficial dos Jogos, para se prepararem para ataques. Nesses exercícios, os chamados hackers éticos são contratados para atacar os sistemas existentes para os Jogos, e “recompensas por bugs” são oferecidas àqueles que descobrem vulnerabilidades.
Anteriormente, os hackers atacaram organizações esportivas com e-mails maliciosos, personas fictícias, senhas roubadas e malware. Desde o ano passado, os novos contratados do comitê organizador de Paris passaram por treinamento para detectar golpes de phishing.
“Nem todo mundo é bom”, disse Regul.
Em pelo menos um caso, um membro da equipe dos Jogos pagou uma fatura em uma conta após receber um e-mail se passando por outro oficial do comitê. Membros da equipe de segurança cibernética também descobriram uma conta de e-mail que tentava se passar pela conta atribuída ao chefe do Paris 2024, Tony Estanguet.
Mais milhões de tentativas estão chegando. Os ataques cibernéticos têm sido tipicamente “armas de irritação em massa, em vez de armas de destruição em massa”, disse Martin, o ex-oficial britânico de segurança cibernética.
“Na pior das hipóteses”, disse ele, “eles têm sido armas de perturbação em massa”.