No final de 2024, um relatório do Tribunal de Contas da União (TCU) constatou que os órgãos públicos federais estavam vulneráveis a ataques hackers 0.5x 1x 1.25x 1.5x 2x 00:00 00:00 Sistema da Defesa Civil foi usado para emitir falso alerta entre sexta-feira e sábado — Foto: Divulgação/MIDR RESUMO Sem tempo? Ferramenta de IA resume para você GERADO EM: 22/06/2026 - 22:27 Alertas Falsos Exponem Falhas de Cibersegurança na Defesa Civil O disparo acidental de alertas falsos pela Defesa Civil em sete estados e no DF revelou vulnerabilidades críticas na cibersegurança dos órgãos públicos brasileiros. O incidente, investigado pela PF, destacou falhas na segurança do sistema Idap, com credenciais vazadas e falta de autenticação em múltiplos fatores. Especialistas apontam a necessidade urgente de melhorias na proteção cibernética governamental. CLIQUE E LEIA AQUI O RESUMO Investigado pela Polícia Federal (PF), o disparo do alerta falso da Defesa Civil para milhões de aparelhos celulares de sete estados e do Distrito Federal no fim de semana expôs, em escala nacional, fragilidades dos órgãos públicos no campo da cibersegurança. Especialistas afirmam que o caso específico do envio das mensagens sobre “misantropia” — informações preliminares indicam que credenciais da Interface de Divulgação de Alertas Públicos (Idap) foram vazadas — foi possível pela falta de implementação de fatores adicionais de segurança, que vão da dupla verificação das contas à restrição territorial dos alertas, e acompanha um movimento de alta nos registros de ataques hackers a instituições federais. Dados do Gabinete de Segurança Institucional (GSI) mostram que, de janeiro a maio deste ano, o governo contabilizou 45 incidentes cibernéticos por dia envolvendo seus órgãos. Informações preliminares indicam que os disparos, ocorridos entre a noite de sexta-feira e a madrugada de sábado, foram feitos a partir de duas credenciais vazadas de agentes da Defesa Civil do Pará. Com os acessos, foi possível enviar os alertas para capitais brasileiras e até estados inteiros. Professor da FGV Direito Rio e coordenador do Centro de Tecnologia e Sociedade, Luca Belli afirma que o país erra no básico quando o tema é cibersegurança. — Pelo que foi divulgado, não foi um ataque extremamente sofisticado, com inteligência artificial de última geração. Quem fez o ataque, provavelmente não é de um grupo criminoso, mas um jovem que viu uma falha simples de ser explorada e divulgou uma mensagem de brincadeira — diz Belli. — Se fosse um ataque com motivação político-econômica, a mesma vulnerabilidade poderia ter sido explorada de forma mais maliciosa. Segundo o pesquisador, pela natureza do serviço prestado pelo Idap, a plataforma deveria ter um nível de cibersegurança avançado. No final de 2024, um relatório do Tribunal de Contas da União (TCU) constatou que os órgãos públicos federais estavam vulneráveis a ataques hackers. Apenas 14 das 229 entidades avaliadas haviam implementado mais de 70% das medidas de segurança recomendadas. Uma das principais falhas era a ausência de treinamento de pessoal para evitar exposição de dados ou engenharia social. — Estamos diante de falhas básicas — diz o professor, que cita a ausência de sistemas de autenticação em múltiplos fatores em órgãos da administração pública. Segundo divulgado em junho do ano passado pelo Ministério da Integração e Desenvolvimento Regional, ao menos 180 instituições e 600 usuários entre estados e municípios estavam cadastrados e capacitados para usar o Idap. Cerca de 1.200 agentes operam o sistema em todo o país. — Por ser um sistema utilizado para urgências, principalmente climática, talvez não sejam necessárias tantas pessoas. Mas a falha é dupla, o acesso amplo sem se implementar o básico de segurança — diz Belli, que vê outra falha na possibilidade de uma credencial do Pará emitir alertas para outros estados. — Tivesse tido uma compartimentalização das funções associadas a cada credencial e o tipo de acesso com base territorial, o impacto teria sido mais limitado. Travas virtuais O advogado Ronaldo Lemos, do Instituto de Tecnologia e Sociedade do Rio de Janeiro, também defende que o caso expôs fragilidades graves da segurança do sistema de alerta. O maior problema não está na quantidade de pessoas que podem acessar o sistema, avalia, mas na falta de fatores de segurança implementados. Entre eles, está a possibilidade do usuário de um estado enviar notificações para outros lugares. — O desenho é no fio do bigode. É baseado na confiança de que os agentes não mandem para outros estados. Isso não existe — afirma. Outras medidas que defende é a implementação de um duplo fator de autentificação para todas as contas; a renovação das credenciais a cada três meses; e um duplo grau de supervisão. Ou seja, uma mensagem só seja enviada depois da autorização de um segundo nível hierárquico. — O certo mesmo é jogar esse sistema fora e criar outro completamente diferente — diz Lemos. — E esse caso do alerta é só um dos incidentes. Vimos nos últimos anos outros igualmente graves. Belli, da FGV, também vê falhas regulatórias no Brasil que levam ao cenário de fragilidade na segurança cibernética: falta ao país uma agência que seja responsável por fiscalizar a adoção de medidas de cibersegurança nos órgãos públicos, bem como mecanismos para responsabilizar e punir falhas. O pesquisador é membro do Comitê Nacional de Cibersegurança da Presidência da República (CNCiber), que propôs em abril uma Lei Geral de Cibersegurança, com sanções administrativas. — Não temos uma agência de cibersegurança, mas temos controles definidos pelo GSI e o Ministério da Gestão e Inovação. O que falta nesse momento é a obrigatoriedade e capacidade de sancionar quem descumpre — diz Belli, que defende que a Anatel cumpra a função de autoridade nacional de cibersegurança. — Ela já lida com tema nas telecomunicações há mais de 20 anos e tem uma rede por todos os estados. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR.Gov), vinculado ao GSI, contabiliza 6.774 incidentes em redes governamentais até o dia 31 de maio, o equivalente a 45 ocorrências por dia. Os números mostram ainda que foram verificadas 14.006 vulnerabilidades neste ano. Desde janeiro, o CTIR.Gov ampliou a capacidade de monitorar possíveis riscos cibernéticos por meio de fontes de informação automatizadas. Com isso, o número de alertas enviados a órgãos públicos também cresceu. O mapa dos disparos — Foto: Reprodução Maior digitalização Segundo o secretário de Segurança da Informação e Cibernética do GSI, André Luiz Bandeira Molina, o aumento ocorre por dois fatores: maior capacidade de detecção e a chamada fronteira digital do Brasil. Como o governo lançou diversos serviços digitais nos últimos anos, o setor público se tornou alvo natural de cibercriminosos. — É importante ter esses dados porque sabemos que esses incidentes estão sendo tratados. Quanto mais a gente tem essa visibilidade, melhor. É um trabalho muito importante porque esses números ainda são subnotificados, é o trabalho de ter a maior visibilidade — diz Molina, destacando que, no caso da plataforma Gov.br, o login dispõe de uma série de mecanismos de segurança. No caso dos incidentes identificados neste ano, a maior parte (48%) são classificados como de engenharia social, quando um criminoso utiliza algum tipo de manipulação para que uma pessoa execute determinadas ações. Um dos exemplos mais comuns é o envio de páginas falsas para que a vítima insira informações sensíveis, como senhas. Outros 46% foram classificados como “conteúdo abusivo”, que inclui envio ou divulgação de informações não solicitadas, ou informações nocivas ou pessoais. Apenas 2% dos casos são intrusões, isto é, tentativas ou acesso a redes e sistemas no contexto de uma ação maliciosa, como desfiguração de sites ou vazamento de dados. Não faltam exemplos de impacto no serviço público. Em 2020, o Superior Tribunal de Justiça (STJ) detectou um vírus circulando na rede de informática do tribunal e, como medida de precaução, os links para a rede mundial de computadores foram desconectados, o que implicou no cancelamento das sessões de julgamento. Em 2024, pacientes do Instituto Nacional do Câncer (Inca) tiveram consultas e exames cancelados após o sistema ser invadido. No mesmo ano, outro alvo foi o Sistema Integrado de Administração Financeira (Siafi) — os bandidos conseguiram desviar R$ 15 milhões. No ano seguinte, um ataque hacker à C&M Software, empresa de tecnologia que conectava os sistemas das instituições financeiras aos do Banco Central, conseguiu desviar R$ 800 milhões de oito instituições financeiras.