Em 2019, um ataque silencioso na função de chamadas do WhatsApp instalou o Pegasus, um programa-espião (spyware), em cerca de 1.400 telemóveis: jornalistas, ativistas, dissidentes. Bastava uma chamada, sem sequer ser preciso atender. Em maio de 2025, um júri federal nos Estados Unidos condenou a NSO Group, a empresa israelita que fabrica o Pegasus e o vende a governos, a pagar cerca de 168 milhões de dólares. Meses depois, uma juíza proibiu-a, em definitivo, de voltar a atacar o WhatsApp e os seus utilizadores. A 8 de junho de 2026, a Meta veio dizer que a apanhou a tentar fazê-lo na mesma, e pediu ao tribunal que a declare em desacato.
O que me interessa aqui não é o processo. É a forma como o ataque mudou.
De ataque silencioso a isco com um clique
Em 2019, o Pegasus era «zero-click»: infetava o aparelho sem a vítima tocar em nada. Era a porta dos fundos perfeita, invisível e automática. Desta vez, segundo a Meta, as tentativas foram outra coisa: engenharia social. Por outras palavras, mensagens a tentar levar as pessoas a clicar em links maliciosos que as conduziam para fora do WhatsApp. A própria Meta compara-as às campanhas de phishing «de um clique», as mensagens fraudulentas com um link já antes ligadas à NSO, e diz que as detetou e desmontou depois de investigar denúncias de utilizadores, removendo contas e grupos de teste associados à atividade.
Repara na descida de degrau. Quem dispunha de um exploit, uma falha técnica explorável que dispensava o clique, passou a precisar do clique. Quando a porta técnica se fecha, porque a falha foi corrigida, porque o caso foi a tribunal, porque a injunção caiu, o atacante não desiste. Recua para a porta mais antiga de todas: a confiança da pessoa que segura o telemóvel.
Uma sentença no papel não corrige o telemóvel
E aqui está o ponto que vale a pena levar para casa. Uma injunção é um instrumento jurídico, não um controlo técnico. Não corrige uma vulnerabilidade, não bloqueia uma mensagem, não impede um ator determinado e bem financiado de tentar outra vez. Faz o que a lei sabe fazer: traça uma fronteira e prevê uma consequência. É útil e necessário, mas não é um patch, uma correção de software que feche a falha. A prova é o próprio pedido de desacato: a fronteira existe há meses e, ainda assim, segundo a Meta, foi atravessada. Vale lembrar que mesmo a fatura encolheu, o valor de 168 milhões foi depois cortado por uma juíza para cerca de quatro milhões, embora a proibição permanente se tenha mantido.
Isto não é uma notícia distante. A NSO está na lista de entidades sancionadas do governo dos Estados Unidos, e os seus clientes nunca foram só regimes longínquos. No Parlamento Europeu, a comissão de inquérito ao Pegasus, a chamada PEGA, investigou o uso do programa dentro da própria União, e a NSO admitiu que pelo menos cinco Estados-membros a ele recorreram. O alvo histórico do Pegasus tem nome: jornalistas, ativistas, advogados, responsáveis públicos. A vigilância por encomenda é uma indústria, e a Europa está dentro do mapa, não à margem dele.
Como te proteges
A boa notícia é que, no momento em que o ataque desce ao nível da engenharia social, a defesa volta a estar ao teu alcance. As mesmas regras que derrotam qualquer phishing derrotam um phishing com a etiqueta da NSO:
- Mantém o telemóvel e o WhatsApp sempre atualizados. É o que fecha a porta dos ataques silenciosos.
- Desconfia de qualquer link não solicitado, mesmo que chegue dentro do WhatsApp e mesmo que pareça vir de um contacto conhecido.
- Nunca cliques para «confirmar a conta», «validar a identidade» ou «ativar uma funcionalidade» através de uma página externa.
- Liga a verificação em duas etapas do WhatsApp, com um código PIN próprio.
- Se tens um perfil de risco, no jornalismo, no ativismo ou num cargo público, ativa o Modo de Confinamento (Lockdown Mode) no iPhone ou o equivalente no Android, e revê os indicadores que a Meta partilhou para perceber se foste alvo.
- Reporta as mensagens suspeitas. Foi precisamente a partir de denúncias de utilizadores que esta campanha foi apanhada.
O tribunal disse «nunca mais». O atacante ouviu «encontra outra porta». Dessa vez, a porta é o clique, e o clique é teu. A decisão de o dar, ou não, continua a ser a defesa mais barata e mais eficaz que tens à mão.
Fonte original: Help Net Security.
#StaySafe
🙏🖖