Derrubando mitos: as empresas de cibersegurança não criam as ameaças digitais

Indagando em suas possíveis origens e apresentando argumentos concretos, neste artigo desmistificaremos uma crença (errada) que circula no campo da segurança da informação.

Neste caso, vale a pena começar o artigo com um alerta de spoiler tão direto quanto necessário: NÃO, as empresas dedicadas à cibersegurança não são as que criam as ameaças digitais. Neste texto, vamos nos aprofundar em como se originou um dos mitos que circundam o campo da segurança cibernética e argumentar por que ele é falso.

No imaginário de algumas pessoas está a crença (reitero, errônea) de que são as mesmas empresas de cibersegurança que criam o malware, para assim vender seus produtos e fazer o próprio negócio ser mais próspero. A seguir, então, tentaremos encontrar a origem do mito e abordaremos os argumentos pelos quais está totalmente infundado.

A origem do mito

A vinculação da indústria de cibersegurança com a cultura hacker pode ter servido como uma desculpa ideal para que essa lenda urbana começasse a tomar forma. Em seus primórdios, as ameaças eram desenvolvidas por pessoas curiosas cujo objetivo era demonstrar seu conhecimento e experimentar com equipamentos que estavam apenas começando a se popularizar.

Naquela época, a comunidade de segurança digital era muito rasa e, para criar um “vírus”, eram necessários conhecimentos avançados de cibersegurança, o que colocava os indivíduos que se aventuravam com as ameaças, muito perto daqueles que foram pioneiros em criar barreiras para proteger os usuários e usuárias dessas criações maliciosas.

Para compreender isso, nada melhor do que conhecer o testemunho de Len Adleman, um dos criadores do algoritmo de criptografia RSA e responsável pelo termo "vírus de computador". Em 1983, Adleman e Fred Cohen lançaram as bases de pesquisa sobre ameaças digitais e do futuro desenvolvimento de técnicas de proteção, justamente aprendendo com elas.

A evolução da tecnologia e a queda do mito

Muitos anos se passaram desde as primeiras pesquisas de Adleman e Cohen, mas, acima de tudo, muitas evoluções (e revoluções) a nível tecnológico. De fato, hoje em dia, grande parte da humanidade possui um dispositivo conectado à Internet, e o acesso à tecnologia é claramente muito mais fácil do que na década de 80.

O objetivo deste post não é analisar as consequências desses avanços, mas focar em como isso impacta o mito. Com uma enorme quantidade de usuários, a criação de malware passou de algo experimental e da motivação inicial de demonstrar conhecimento para um propósito puramente comercial, comumente chamado de "cibercrime".

É importante ressaltar a enorme diferença que existe entre o começo da cultura hacker e o panorama atual, no qual o cibercrime movimenta milhões de dólares ao redor do mundo. Ao mesmo tempo, atualmente (e em notável diferença comparado ao que acontecia nas décadas de 80 e 90) não se requer muitos conhecimentos técnicos para criar ameaças digitais, que inclusive, são vendidas como produtos e serviços em mercados clandestinos.

Lamentavelmente, para todos os usuários da Internet, atualmente existem mais ferramentas para criar malware e golpes, assim como uma maior facilidade para distribuí-los. Mas também existe um fator-chave a ser considerado: a ética profissional e a tendência "white-hat" dentro da segurança da informação.

A motivação das empresas de cibersegurança

Ao afirmar que são as próprias empresas de cibersegurança as que criam as ameaças digitais, não se considera uma parte essencial, que para a ESET é uma missão por trás do desenvolvimento das ferramentas de segurança, há milhares de pessoas trabalhando para melhorar os produtos e conseguir a detecção das últimas ameaças, mantendo seguras mais de 1.000.000.000 de pessoas que protegemos, acompanhando o progresso em todo o mundo.

Seguindo com o (falso) mito, se fossem as mesmas empresas que criam as ameaças, elas não deveriam sofrer nenhum tipo de contratempo na detecção. No entanto, isso acontece com todas as companhias. E quem quiser usar como argumento que as ameaças que não são detectadas são aquelas criadas pelas outras empresas, é necessário voltar à filosofia “white-hat” e ao ambiente colaborativo que impera na indústria, onde se trabalha em conjunto, trocando informações, com o objetivo de proteger as pessoas do malware.

Por outro lado, também é necessário mencionar a grande quantidade de casos em diferentes países nos quais um cibercriminoso é condenado à prisão por suas ações maliciosas. Isso significa que, muitas vezes é possível conhecer as identidades dos criadores do malware que afeta pessoas e empresas em todo o mundo.

Adicionalmente a esses pontos, no caso da ESET, o compromisso com nossos usuários é inquebrantável, com mais de 30 anos de trajetória que o demonstram. Entre nossos valores estão a Coragem, a Integridade, a Responsabilidade Social e a Confiabilidade. A eles se soma a Paixão, a mesma com a qual trabalhamos todos os dias para proteger as tecnologias e o progresso.