‹ ARQUIVO NB-L070 · .log · 2026·07

A fechadura do Signal aguentou. Foste tu que a abriste.

A fechadura do Signal aguentou. Foste tu que a abriste.
NB-L070 .log

O FBI e a agência de cibersegurança dos Estados Unidos voltaram a avisar: os serviços de informações russos andam a convencer utilizadores do Signal, a aplicação de mensagens encriptadas, a entregar-lhes a própria chave de recuperação da cópia de segurança. Entregada uma vez, o atacante restaura essa cópia noutro telemóvel e passa a ler o histórico de conversas privadas e de grupo, ou fica mesmo dono da conta.

Repara no que não aconteceu, porque é aí que está a lição. Ninguém partiu a encriptação do Signal. A matemática que cifra as mensagens continua intacta; o que cedeu foi a pessoa que segurava a chave.

É uma mudança de alvo que vale a pena perceber. Durante anos, quem quisesse ler conversas encriptadas tinha de atacar a tecnologia, e a tecnologia aguentou. Agora atacam o utilizador, com uma conversa que parece inofensiva. Nada disto exige génio, exige paciência e um guião que soe verdadeiro.

Como a conversa te apanha

A mensagem faz-se passar pelo «apoio do Signal». As primeiras vagas pediam códigos de verificação por SMS e o PIN da conta. A versão mais recente vai mais longe e conduz a vítima passo a passo, pede-lhe para ativar as cópias de segurança, abrir a chave de recuperação, a senha-mestra que permite restaurar essas cópias noutro aparelho, e colá-la ali na conversa.

O detalhe cruel é a persistência. Segundo o aviso, a chave continua a funcionar mesmo depois, e criar uma conta nova com o mesmo número não resolve, a chave antiga ainda serve contra ela. Só há uma saída real, gerar uma chave nova nas definições, o que anula a velha.

O aviso conjunto do FBI e da CISA, atualizado a 26 de junho, dá dois nomes de código a estes grupos, UNC5792 e UNC4221, e liga a atividade aos serviços secretos russos, o FSB e os serviços militares. Os alvos preferidos são pessoas de alto valor para a espionagem, atuais e antigos governantes dos Estados Unidos e de outros países, militares, figuras políticas, jornalistas e responsáveis ucranianos. Não é caso isolado dos Estados Unidos, os serviços secretos holandeses, a agência francesa e as alemãs já tinham deixado o mesmo alerta, e foi a Google a documentar a campanha pela primeira vez, em fevereiro de 2025. O Departamento de Estado americano chega a oferecer até 10 milhões de dólares por informações sobre um destes grupos.

Porque isto te diz respeito mesmo que não sejas alvo

Podes pensar que nada disto te toca, que não és espião nem jornalista de investigação. Mas o guião é o mesmo que se usa contra toda a gente, todos os dias. É a chamada do falso banco a pedir o código que acabaste de receber por SMS, é o email do falso estafeta, é o «suporte» que aparece a resolver um problema que tu não tinhas. Muda o alvo e o prémio, a manobra é sempre a mesma, levar-te a entregar com as tuas próprias mãos aquilo que nenhuma fechadura entregaria sozinha.

É por isto que a ideia de que «uso uma app encriptada, logo estou seguro» é uma meia-verdade perigosa. A encriptação protege a mensagem enquanto ela viaja, não te protege de seres convencido a abrir a porta por dentro.

Como te proteges

As recomendações das autoridades são simples e valem para qualquer aplicação, não só para o Signal:

  • Trata qualquer mensagem do «apoio» como hostil. O apoio verdadeiro não te aborda dentro da própria aplicação a pedir dados.
  • Nunca coles uma chave, um código ou um PIN numa conversa. Nada de legítimo te pede isso, um código que recebeste é só teu.
  • Verifica os dispositivos ligados. Nas definições, vê a lista de aparelhos com acesso à tua conta e remove tudo o que não reconheças.
  • Se já entregaste a chave, gera já uma nova. Anula a antiga nas definições e parte do princípio de que a cópia de segurança anterior ficou comprometida.

A fechadura do Signal aguentou, e essa é ao mesmo tempo a boa e a má notícia, porque quando a tecnologia fica difícil de arrombar, o caminho mais curto para as tuas conversas passa a ser convencerem-te a abri-las tu mesmo.

Fontes: The Hacker News, FBI / IC3 (aviso I-062626-PSA), Google Threat Intelligence.

#StaySafe
🙏🖖

DOMÍNIO
BRI assistente

Quer saber sobre um projeto, um serviço ou uma notícia recente? Pergunte. Conheço todo o conteúdo deste site.