WhatsApp e Signal entram na mira de espionagem russa e são considerados inseguros para dados sensíveis na Holanda
Os serviços de inteligência civil (AIVD) e militar (MIVD) da Holanda emitiram um alerta contundente: WhatsApp e Signal não devem ser usados para troca de informações classificadas, confidenciais ou sensíveis dentro do governo. O aviso foi divulgado após a descoberta de que um “ator cibernético russo” conseguiu invadir contas de mensageria de diversos funcionários públicos holandeses ao longo do último ano.
Segundo as agências, os invasores concentraram seus esforços em roubar códigos de verificação e PIN de usuários, com o objetivo de tomar o controle de contas do Signal e do WhatsApp. Uma das principais técnicas observadas é a engenharia social: os criminosos se passam por um suposto chatbot oficial de suporte do Signal, enviam mensagens às vítimas e as convencem a compartilhar códigos que, na prática, abrem a porta de acesso às conversas.
Outro ponto explorado pelos hackers é o recurso de vinculação de dispositivos, presente em ambos os aplicativos. Essa função, pensada para permitir que o usuário utilize o mesmo número em mais de um aparelho ou em versões desktop, acaba sendo abusada pelos atacantes, que conectam secretamente novos dispositivos à conta da vítima. Com isso, conseguem ler mensagens à distância, muitas vezes sem que o titular da conta desconfie de nada.
De acordo com a AIVD e a MIVD, o interesse russo em especial no Signal não é casual. O aplicativo consolidou a reputação de “meio de comunicação confiável e independente”, com criptografia de ponta a ponta e código aberto, o que o tornou bastante popular em ambientes em que a proteção das mensagens é prioridade – incluindo órgãos governamentais. Exatamente por isso, virou alvo privilegiado para operações de espionagem que buscam obter informações estratégicas.
O vice-almirante Peter Reesink, diretor da MIVD, destacou que a presença de criptografia de ponta a ponta, embora importante, não basta para tornar um canal adequado ao trânsito de dados altamente sensíveis. Segundo ele, aplicativos de chat como Signal e WhatsApp não foram projetados para o tratamento de informações classificadas ou de alto valor estratégico. Por esse motivo, Reesink reforça que apenas equipamentos e aplicativos oficialmente designados pela própria organização devem ser usados nesse contexto.
No comunicado sobre a campanha de phishing, as agências holandesas ressaltam que o problema não está apenas na tecnologia, mas também no comportamento dos usuários. A confiança excessiva em aplicativos populares pode levar funcionários a usá-los para muito além do que foi pensado originalmente, misturando conversas pessoais com trocas de documentos e decisões operacionais. Em ambiente governamental, esse hábito abre brechas que serviços de inteligência estrangeiros estão cada vez mais preparados para explorar.
As autoridades não detalharam quantos servidores públicos foram atingidos, tampouco revelaram em quais órgãos atuam ou como, exatamente, se deu a operação dos atacantes. O que está claro, porém, é que não se trata de casos isolados: o padrão de ataque mostra uma campanha estruturada, com foco em perfis que podem ter acesso a informações politicamente ou militarmente relevantes.
Esse tipo de operação expõe um dilema crescente para governos de todo o mundo. De um lado, aplicativos como WhatsApp e Signal oferecem agilidade, praticidade e uma base de usuários já acostumada ao seu uso no dia a dia. De outro, eles não foram concebidos para cumprir todos os requisitos de segurança, rastreabilidade e controle exigidos em ambientes de alta criticidade, como forças armadas, diplomacia e setores estratégicos da administração pública.
Além disso, a dependência de serviços em nuvem e soluções SaaS (Software como Serviço) introduz outra camada de risco. Ao contrário do que muitos usuários imaginam, manter dados em plataformas de nuvem não significa ter backup garantido ou controle absoluto sobre onde e como essas informações são armazenadas e protegidas. Em contextos sensíveis, a ausência de políticas claras de backup, retenção e recuperação pode transformar um incidente de segurança em perda definitiva de dados.
Os ataques descritos pelas agências holandesas também ilustram o avanço da engenharia social como vetor principal de comprometimento. Em vez de tentar quebrar a criptografia – algo extremamente complexo -, criminosos buscam a parte mais vulnerável da cadeia: o próprio usuário. Mensagens que imitam comunicações oficiais, urgência forjada e linguagem técnica são combinadas para convencer vítimas a colaborar sem perceber.
Nesse cenário, a educação e o treinamento contínuo de funcionários se tornam tão importantes quanto o uso de ferramentas seguras. Entender que nenhum suporte legítimo solicita códigos de verificação, que PINs e tokens nunca devem ser compartilhados e que qualquer pedido inesperado de autenticação extra deve ser encarado com desconfiança é parte essencial da defesa. Sem essa camada humana de proteção, mesmo as tecnologias mais robustas acabam neutralizadas.
Para organizações públicas e privadas, o alerta holandês funciona como um chamado à revisão de políticas internas. É necessário definir claramente quais canais podem ser usados para que tipo de informação, estabelecer ferramentas oficiais para comunicação sensível e proibir o uso de mensageiros comerciais em determinadas situações. Complementarmente, devem ser adotados mecanismos de autenticação forte, segmentação de acesso e monitoramento contínuo de atividades suspeitas.
Outro ponto crítico é a gestão de dispositivos. Se recursos como vinculação entre múltiplos aparelhos são inevitáveis, é fundamental ter visibilidade sobre quais dispositivos estão autorizados, quando foram registrados e em que circunstâncias. Ferramentas de gerenciamento de dispositivos móveis (MDM) podem ajudar a aplicar políticas mais rígidas, impedindo, por exemplo, que contas de trabalho sejam abertas em aparelhos pessoais que não atendam a requisitos mínimos de segurança.
Essa discussão também afeta a percepção cotidiana de segurança por parte do cidadão comum. A criptografia de ponta a ponta é, sem dúvida, um avanço significativo para a privacidade, mas não representa blindagem total. Golpes que miram a captura de contas, o roubo de códigos de SMS, a clonagem de SIM e a instalação de aplicativos maliciosos continuam sendo ameaças reais. Adotar boas práticas – como ativar PIN adicional, revisar dispositivos conectados à conta e desconfiar de qualquer contato pedindo código de autenticação – é essencial para todos os usuários.
A decisão da AIVD e da MIVD de declarar WhatsApp e Signal inadequados para dados governamentais sensíveis reforça uma tendência global: a necessidade de separar, de forma mais rígida, os canais de uso cotidiano daqueles destinados a comunicações críticas. Para além da espionagem entre Estados, a mesma lógica vale para setores como saúde, finanças, infraestrutura e pesquisa, onde a exposição de informações pode ter impactos concretos sobre a sociedade.
Em última instância, o caso holandês ilustra que segurança digital hoje não depende apenas de protocolos de criptografia, mas de uma combinação de tecnologia, governança, processos e cultura organizacional. Aplicativos populares continuam tendo seu papel como ferramentas de comunicação massiva, porém governos e empresas que lidam com informações sensíveis precisam ir além, adotando soluções específicas, controles rigorosos e uma postura permanente de vigilância contra ataques de espionagem e campanhas de phishing cada vez mais sofisticadas.