Esse artigo foi adaptado da reportagem especial da AQ sobre segurança cibernética | Read in English | Leer en español
Em fevereiro, autoridades jamaicanas revelaram um ataque cibernético que tinha como alvo o gabinete do primeiro-ministro. Embora esse incidente não tenha causado grave abalo no governo — como ocorreu na Argentina e na Costa Rica em 2022 —, a Jamaica procurou assistência internacional para fortalecer suas defesas cibernéticas. Diálogos iniciais com os Estados Unidos e organizações multilaterais resultaram em um investimento de 10 milhões de dólares por meio de doações e empréstimos da Agência dos EUA para o Desenvolvimento Internacional (USAID) e do Banco Interamericano de Desenvolvimento (BID). O governo da Jamaica alocou internamente 20 milhões de dólares jamaicanos (130 mil dólares americanos) para reforçar recursos de cibersegurança.
Esse episódio mostra a crescente necessidade de colaboração internacional para fortalecer as defesas de cibersegurança na América Latina e no Caribe e ilustra o esforço dos EUA para se apresentar como parceiro preferível no âmbito cibernético — uma frente relativamente nova e cada vez mais relevante na competição acirrada com a China por influência na região. A cibersegurança é um novo campo de batalha na disputa entre EUA e China na América Latina e no Caribe. Apesar dos avanços dos EUA, há muito o que essa nação e os países latino-americanos e caribenhos podem fazer juntos para melhorar as defesas contra ameaças cibernéticas que estão em ascensão.
Ampla variedade de ferramentas disponíveis
A América Latina e o Caribe são particularmente atraentes para criminosos que atuam no ciberespaço. A combinação de escassez de recursos, políticas e mecanismos regulatórios deficientes e infraestrutura digital antiquada criou um ambiente em que o crime cibernético prospera.
No entanto, apenas metade dos países da região definiu uma estratégia de cibersegurança e um número ainda menor implementou legislação relacionada à cibersegurança. Os códigos criminais que reconhecem crimes cibernéticos geralmente se limitam a mencionar a ilegalidade da violação de sistemas governamentais. A identificação de sistemas vitais de infraestrutura que precisam de proteção é inconsistente e há restrições financeiras e de pessoal. Esses desafios são agravados por sistemas antigos com vulnerabilidades inerentes e software de proteção desatualizado. Para destacar a importância dessa transformação digital, um relatório recente financiado pelo Google estimou que investimentos adequados nesse campo poderiam ajudar a impulsionar as exportações de seis países da América Latina e do Caribe para 140 bilhões de dólares ao ano até 2030. O relatório enfatizou que as exportações digitais quadruplicariam com investimentos na construção de infraestrutura digital mais resiliente, na eliminação de limitações em habilidades digitais, na promoção da segurança digital e da confiança entre empresas e consumidores, além de medidas e políticas de facilitação do comércio exterior.
Essa situação é uma preocupação relevante do governo americano, que tem interesse em promover a segurança digital na América Latina e no Caribe. Resumidamente, a prosperidade e a segurança nessa região fortalecem todo o continente americano. No contexto da competição entre superpotências, os países democráticos podem estar inclinados a buscar ajuda dos EUA devido à maior variedade de investimentos em cibersegurança. Porém, muitas dessas nações enfrentam um dilema: esperar o apoio de Washington para itens de valor elevado (como tecnologias de informação e comunicação (TICs), e desenvolvimento de infraestrutura) ou aceitar a enxurrada de recursos que a China fornece no curto prazo?
Do ponto de vista chinês, o setor de TICs se tornou esfera primordial de investimentos para desafiar a influência dos EUA na América Latina e no Caribe. Empresas chinesas como a Huawei fizeram investimentos significativos na implementação de redes 4G e 5G em toda a região, incluindo notáveis projetos no Brasil, Chile e México. No Brasil, a Huawei ICT Academy vem ganhando força, com a adesão de mais de 90 universidades e instituições de ensino e aproximadamente 36 mil alunos treinados desde 2013. Essa posição permitiu que Pequim expandisse ainda mais a presença chinesa em computação em nuvem, transformação digital e e-commerce, focando em investimentos nos quais dados têm grande peso. Uma das principais preocupações explicitadas pelos EUA envolve a Lei de Segurança de Dados da China, que regula “a coleta, armazenamento, uso, processamento, transmissão, provisão e divulgação” de dados na China. Essas preocupações se referem sobretudo à forma como empresas chinesas lidam com esses dados e à possibilidade de que os dados dos usuários — independentemente de seu país de origem — fiquem sob controle do governo chinês.
Diante dessas circunstâncias, os EUA têm incentivo adicional para investir na proteção da infraestrutura digital de países parceiros, para que não sejam atraídos para acordos deletérios com Pequim. Os EUA reconheceram isso na recém-lançada Estratégia Nacional de Cibersegurança, que enfatiza repetidamente a necessidade de fortalecer nações parceiras contra cibercriminosos e países adversários como China e Rússia. Da mesma forma, o quinto pilar da estratégia — apropriadamente intitulado “Formar parcerias internacionais para perseguir objetivos comuns” — foca em aumentar a resistência dos países às ameaças cibernéticas. Esse esforço envolve alavancar alianças internacionais existentes, fortalecer a resiliência digital – especialmente para sistemas críticos de infraestrutura – e garantir a segurança, confiabilidade e integridade das cadeias globais de suprimentos.
Para cultivar resiliência contra ameaças cibernéticas, os países latino-americanos e caribenhos podem aproveitar iniciativas internacionais existentes. Atualmente, nove países da região são membros da Convenção de Budapeste e cinco são observadores. A convenção pode não ser perfeita, mas reflete a dedicação dos governos às normas globais e à colaboração para combate ao crime cibernético. Em 2017, os países membros assinaram a Resolução 1/17 do Comitê Interamericano contra o Terrorismo da Organização dos Estados Americanos (OEA), estabelecendo um Grupo de Trabalho sobre Medidas de Cooperação e Construção de Confiança no Ciberespaço. Essa resolução representa o compromisso coletivo dos governos para reduzir os riscos de mal-entendidos, agravamentos e conflitos decorrentes da utilização de TICs. Tais compromissos sinalizam uma vontade política robusta na última década, destacando a cibersegurança como área de interesse comum.
Globalmente, países de inclinação democrática concordam sobre a necessidade de cooperação internacional em torno da cibersegurança. A Estrutura de Seul de Compromisso com o Ciberespaço Aberto e Seguro, de 2013, destaca continuamente a necessidade de ação coletiva contra as ameaças de TICs. Em 2015, a Declaração de Haia do Fórum Global de Expertise Cibernética (GFCE) enfatizou a cooperação entre os governos e a importância do envolvimento do setor privado, da comunidade técnica, da sociedade civil e do setor acadêmico nos esforços de ampliação de capacidade. Mais recentemente, em novembro de 2022, o primeiro comitê da Assembleia Geral das Nações Unidas aprovou uma resolução sobre o Programa de Ação em Cibersegurança, que visa orientar as autoridades em relação ao uso de TICs em contextos de segurança internacional. Todos os países da América Latina e do Caribe (exceto a Nicarágua) apoiaram esse esforço. A expectativa é que o programa de ação proporcione uma discussão orientada para medidas práticas após o fim do mandato do Grupo de Trabalho Aberto da ONU, em 2025, tornando-se um mecanismo permanente para discutir as ameaças às TICs, respaldar os recursos nacionais e promover engajamento e cooperação.
Estas e outras iniciativas motivaram líderes globais a defender coalizões para apoiar a região. Por exemplo, após a realização de avaliações nacionais no mundo inteiro em 2017, a Interpol lançou treinamentos e campanhas de conscientização para investigar cibercrimes. Com financiamento do Global Affairs Canada, da União Europeia e do Conselho Europeu, esses esforços pretendem aumentar a cooperação entre 35 nações latino-americanas e caribenhas. Os treinamentos incluíram análise forense digital, inteligência de código aberto e investigações na dark web, entre outros. Em 2018, o Reino Unido patrocinou Oficinas para Equipes de Resposta a Incidentes de Cibersegurança da Comunidade Britânica para melhorar o compartilhamento de informações e as estratégias de resposta a incidentes. Em parceria com Cingapura, o programa se ampliou e abrange treinamento, mentoria e trocas de aprendizados entre as nações da Comunidade Britânica — 11 das quais ficam no Caribe.
O possível papel de Washington
Apesar da recente expansão da China na América Latina e no Caribe, os EUA mantêm significativos laços históricos, culturais e econômicos com esses países e muitos ainda veem os EUA como o parceiro preferível na região. Essa relação é particularmente notável no âmbito da cibersegurança, onde interesses mútuos se alinham entre os parceiros hemisféricos.
Os EUA possuem infraestrutura de ponta e abrigam a maioria das companhias globais de cibersegurança. As autoridades têm relacionamento próximo com o setor privado para salvaguardar infraestrutura crítica. Sua estrutura organizacional é favorável à construção de capacidade em toda a região. Várias entidades sediadas no país ou apoiadas pelos EUA — como a OEA, o BID e a Junta Interamericana de Defesa — desempenham papel crucial no fortalecimento da resiliência da região contra ciberataques. Os EUA continuam demonstrando incomparável capacidade de mobilizar parceiros internacionais como o Canadá e o Reino Unido, como se viu na iniciativa de Digitalização e Resiliência de Infraestrutura Crítica da USAID nos Bálcãs Ocidentais.
A resposta dos EUA ao ransomware Conti na Costa Rica, em abril de 2022, ilustra sua capacidade de ajudar parceiros regionais. Esse ataque incapacitou o Ministério das Finanças, o Ministério do Trabalho e a Previdência Social, levando o presidente da Costa Rica, Rodrigo Chaves Robles, a declarar emergência nacional e mobilizar recursos públicos para restaurar as pastas afetadas. Os EUA imediatamente estenderam apoio, inclusive anunciando uma recompensa de até 10 milhões de dólares por informações que levassem à identificação e localização de indivíduos importantes da Conti, uma quadrilha transnacional de ransomware. Um valor adicional de 5 milhões de dólares foi oferecido por informações que resultassem em detenção ou condenação. Mais recentemente, em março de 2023, os EUA destinaram 25 milhões de dólares em assistência em cibersegurança para ajudar a Costa Rica a fortalecer sua infraestrutura digital. Esse gesto veio após um pacote de ajuda de 50 milhões de dólares para a Albânia em resposta a um ataque de ransomware semelhante, porém vinculado ao Irã.
Nos EUA, medidas de alto impacto e com custo eficiente facilitariam a ajuda a parceiros da América Latina e do Caribe.
Primeiramente, é necessário simplificar os mecanismos de compartilhamento de informações. Atualmente, a capacidade dos EUA de fornecer informações em tempo real durante ciberataques é limitada pelas chamadas restrições NOFORN (referentes a conteúdo que não deve ser compartilhado com estrangeiros) ao compartilhamento de inteligência. Essas limitações restringem o compartilhamento de informações — frequentemente de código aberto — com nações aliadas, de modo que estas dependem de entidades do setor privado para receber suporte imediato ou só conseguem responder com atraso a ciberataques que precisam ser tratados com urgência. Isso ilustra um problema mais amplo de classificação de segurança excessiva nos EUA, mas endereçar restrições específicas — na Infraestrutura de Cibersegurança e na Agência de Segurança, por exemplo — poderia alavancar significativamente os recursos de suporte em emergências.
A cooperação internacional também pode fornecer ajuda legal e regulatória. Não apenas com compartilhamento de modelos de sucesso e boas práticas, mas com envio de especialistas jurídicos para a região para oferecer aconselhamento, o que poderia gerar impacto relevante.
Os investimentos dos EUA para treinar militares em questões cibernéticas foram bem recebidos em todo o hemisfério. No entanto, o valor destinado a esses esforços ficou praticamente inalterado, subindo apenas marginalmente de 13,1 milhões de dólares em 2020 para 13,9 milhões de dólares em 2022 . Para o Departamento de Defesa dos EUA, esse acréscimo nominal é insuficiente, principalmente diante do aumento dos investimentos chineses em segurança. O lado positivo é que outros atores, como Canadá, Israel e Reino Unido, intensificaram seus investimentos diretamente ou por meio de instituições parceiras como a OEA. Investir no capital humano — tanto na mão de obra de cibersegurança quanto na conscientização da população — é sempre valioso para fomentar a boa vontade que foi conquistada.
Momento crítico
À medida que o mundo se torna mais entrelaçado digitalmente, a colaboração internacional para apoiar nações em desenvolvimento se torna fundamental no combate às ameaças cibernéticas e às entidades oportunistas que atuam no ciberespaço. Os EUA e os principais países democráticos devem ajudar seus parceiros regionais a manterem o foco na resiliência digital. Essa abordagem aparelha a América Latina e o Caribe com defesas robustas que catalisam a prosperidade econômica, além de consolidar a posição dos EUA como parceiro preferencial nesse domínio vital da segurança, reforçando a estabilidade da região. Os países latino-americanos e caribenhos têm feito louvável progresso nos investimentos internos, mas o apoio dos EUA e da comunidade internacional pode servir como catalisador na jornada em direção à resiliência digital.