A ideia não me tem saído da cabeça desde que entrevistei, no final do ano passado, Ondřej Vlček, diretor executivo da Avast, um dos principais nomes do mundo da segurança informática. Qual foi o meu espanto quando este homem, que anda à caça de vírus, piratas informáticos e outras ameaças há mais de 25 anos, disse que o maior desafio que temos pela nossa frente é… o da identidade digital. “Como assim?”, pensei com os meus botões. “A identidade é o maior problema por resolver”, defende o especialista checo.
Nos dias que correm temos perfis de utilizador em todo o lado – nas redes sociais, nos serviços de streaming, nas consolas de videojogos, em serviços do Estado e mais sabe-se lá bem onde. “Tecnicamente tens dezenas ou centenas de contas que estão a viver algures e estás a dar dados pessoais – como o nome, e-mail, o que seja – a estas empresas”, acrescentou nessa entrevista. Isto coloca, por si só, um desafio grande em termos de privacidade e é este aquele que mais tem sido debatido e escrutinado nos últimos anos – ainda que considere que nem sempre olhemos para o sítio certo. Conhece o conceito de data brokers? Na prática são empresas especializadas na recolha de dados e metadados de utilizadores para vender literalmente a quem os quiser comprar. Se acha que a Google e o Facebook são os bichos-papões dos dados digitais, vai ficar surpreendido com quão vasta e discreta é a atividade destes data brokers.
Mas esta é uma ‘missa’ que deixarei para outro dia. Isto porque há um outro problema associado à grande fragmentação da nossa identidade digital – este mais ligado à segurança informática e que temos vindo a aprender, cada vez mais, da pior maneira, que este modelo de funcionamento precisa de ser mudado.
Eis como o mundo digital funciona atualmente. Eu, Rui, cada vez que quero registar-me num novo serviço tenho de criar uma conta de utilizador nesse serviço. Dou dados pessoais no processo de registo. E se esse serviço for popular suficiente, significa que centenas, milhares, milhões e até mesmo milhares de milhões de pessoas vão fazer o mesmo. Resultado? Existem dezenas, centenas, milhares de empresas que têm dados de milhões de utilizadores.
No mundo da segurança informática existe um conceito que se chama ‘superfície de ataque’. Quanto maior é a superfície de ataque, melhor para o atacante, pois tem mais por onde atacar, pior para o utilizador, que tem mais para proteger e assim fica mais vulnerável a ataques. Exemplo: se eu usar apenas um dispositivo ligado à internet, aquela é a única superfície de ataque (na prática dentro do equipamento existem mais, mas para o exemplo vamos simplificar). Se já usar cinco equipamentos diferentes (computador, tablet, televisor, frigorífico, aspirador), então significa que já existem cinco potenciais portas de entrada para o pirata informático.
Ao ‘centralizarmos’ a nossa identidade nas empresas que prestam os serviços, na prática estamos a aumentar a superfície de ataque. O que é mais interessante: atacar um equipamento e roubar uma única identidade ou atacar um servidor e roubar milhões de identidades? E sabemos, até pelo caso recente do português que é suspeito de ter criado uma das maiores plataformas de venda de dados roubados do mundo, que as identidades no mundo online têm muito valor.
Não é por isso de estranhar que, praticamente todos os dias, ouçamos falar de um ataque informático a uma empresa que resultou no roubo de milhões de e-mails, passwords, moradas, números de identificação fiscal ou até de números de cartões de crédito.
Onde pretendo chegar com esta lengalenga? O paradigma da identidade digital precisa de mudar – pela privacidade, mas acima de tudo pela segurança. Eis como acredito que deveria funcionar. Eu, Rui, tenho uma única identidade online, quase como uma espécie de Cartão de Cidadão que contém aquelas que são as principais informações relevantes para uma utilização de serviços online. E sempre que me registo num desses serviços, uso a minha identidade – um sistema que teria de ser transversal a muitos serviços online – e digo, naquele momento, que informações quero partilhar e logo durante quanto tempo. Por exemplo, quero partilhar o meu nome e e-mail, apenas e somente, durante 24 horas. À empresa que presta o serviço, seriam garantidos os dados explicitamente fornecidos no período de tempo acordado, sob pena de ser multado pela entidade reguladora da privacidade caso não cumprisse o acordado. Imaginemos uma espécie de sistema de autenticação como os das empresas Google, Facebook e Apple, mas que não é controlado centralmente por uma (ou várias) grande(s) empresa(s), mas é sim controlado por cada utilizador, numa lógica descentralizada.
Imaginando que um pirata informático ataca o LinkedIn, a Adobe ou o Facebook – em vez de roubar às dezenas de milhões de identidades, talvez roubasse apenas algumas centenas que ainda estivessem ‘ativas’ no momento do ataque. No mundo do investimento, diz-se que nunca se deve colocar os ovos todos no mesmo cesto. Bem, aquilo que estamos a fazer com a nossa identidade digital neste momento é colocar os nossos ovos todos em cestos já cheios de ovos, muito mais apetecíveis para roubar. Se esses cestos estiverem vazios e eu apenas tiver um ovo, que posso colocar e tirar de qualquer cesto quando bem entender, deixa logo de existir aquela que é uma das principais motivações de ataque, que é dados em barda guardados todos no mesmo local.
Podemos inclusive ir mais longe. Já existe tecnologia que permite verificar dados sem que tenhamos que fornecer estes dados explicitamente. Por exemplo, eu registar-me num serviço online para maiores de 18 anos e fornecer uma prova digital que tenho mais de 18 anos, mas sem dizer em específico se tenho 18, 19, 35 ou 98 anos de idade. Com a blockchain, a tecnologia de registos imutáveis, já é possível fazer algo dentro deste nível. Dando novamente palavra a Ondřej Vlček: “O modelo certo é descentralizar os sistemas de segurança no qual tu, enquanto consumidor, és dono dos teus dados e apenas providencias alguma espécie de provas, que são criptograficamente verificáveis, às partes da transação apenas à medida que são necessárias. Em vez de alojares os dados com as empresas, apenas provas algo que queres provar, mas não é suposto as empresas saberem quem tu és”.
‘Mas se é tão fácil de fazer, então porque ainda não existe?’, estarão a perguntar. Fácil. Porque não há incentivo para tal. A economia da internet é uma economia de dados, portanto toda e qualquer proposta que vá contra este princípio, está morta à nascença. Antes dados roubados, do que negócios sem faturar, pensam as pessoas que mandam nas grandes empresas. Mas, aos poucos, o paradigma vai mudar, quero acreditar que sim.
Eu sei que é impossível recuperarmos por completo a nossa identidade digital – ao longo da minha ‘curta’ vida no online, já me registei em centenas de serviços e não me lembro certamente de 80% deles –, mas também acredito que é preferível emendar algo mal feito, do que sabermos que o problema existe e continuarmos a ignorá-lo, sob pena de ele continuar a crescer.
