Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

A Crypto AG e suas lições sobre dependência tecnológica e segurança da informação para a soberania nacional

Pedro Amaral, co-coordenador do Observatório da Criptografia (ObCrypto) 

Tente imaginar um dos maiores golpes da Inteligência dos Estados Unidos, considerado o maior case de sucesso da Agência Central de Inteligência (CIA). Quem você pensa que são os alvos e os parceiros? Quais os métodos, as estratégias e as ferramentas usadas? Essa história envolve criptografia e uma empresa que fazia negócios com meio mundo, mas era secretamente comandada pela CIA e pelo Serviço Federal de Inteligência da Alemanha Ocidental, o Bundesnachrichtendienst (BND).  

Em 2020, o jornalista Greg Miller, do Washington Post, revelou “o golpe de inteligência do século”: a CIA, junto com o BND, comandava secretamente a empresa suíça Crypto AG, que chegou a fornecer equipamentos de criptografia para mais de 120 países ao redor do mundo desde os anos 50. Essas agências de inteligência tinham acesso às comunicações realizadas usando esses equipamentos, por meio de falhas intencionais nos equipamentos, facilitando a quebra dos códigos das mensagens encriptadas. Como o próprio relatório interno conclui, “governos estrangeiros estavam pagando um bom dinheiro para os EUA e Alemanha Ocidental pelo privilégio de ter suas comunicações mais secretas lidas” (tradução livre).

Antes de assumir o nome de Crypto AG, a empresa, fundada em 1920 pelo sueco Arvid Gerhard Damm, se chamava AB Cryptoteknik. Damm faleceu antes da guerra e a empresa foi passada para as mãos de um de seus primeiros investidores, Boris Hagelin. Em 1940, após a invasão da Noruega pela Alemanha, Hagelin levou consigo algumas das máquinas para os EUA e, depois, conseguiu fechar um acordo para produção de 140 mil unidades do modelo C-36, conhecido nos EUA como M-209, para tropas estadunidenses durante a Segunda Guerra Mundial. O modelo era ideal para tropas em campo de batalha, por sua mobilidade e por não depender de energia elétrica ou combustível. 

Essa produção, vale atentar, foi realizada em território estadunidense, usando a fábrica de máquinas de escrever da Smith Corona. Esse acordo de produção do equipamento rendeu 8,6 milhões de dólares estadunidenses à empresa de Hagelin. Após a guerra, ele retorna a Suécia, seu país natal, para reabrir sua fábrica, mas posteriormente se muda para a Suíça para fugir às políticas suecas de nacionalização da indústria de defesa. 

As promessas de melhorias e novos desenvolvimentos nos produtos da Crypto AG e o risco de fortalecimento das comunicações de outros países passa a configurar um problema para os EUA, definido pela própria CIA como “Idade das Trevas da Criptologia Americana”: os soviéticos, chineses e norte coreanos tinham comunicações impenetráveis. O medo estadunidense era de que o resto do mundo entraria nas trevas também, um argumento familiar muito usado por agências de aplicação da lei da aliança Five Eyes (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia), a conhecida narrativa “Going Dark”.

Lançando mão das relações amigáveis já estabelecidas com Hagelin e uma dose de ameaça econômica velada, a CIA fecha um acordo de “cooperação”, no qual o empresário sueco restringiria a venda de modelos mais sofisticados para países escolhidos pelo Tio Sam. Isso, claro, contou também com uma vultosa recompensa financeira. Esse acordo foi renovado nos anos 1960, incluindo assessoria para garantir o sucesso de vendas da Crypto AG para governos ao redor do mundo. 

Nessa década, a CIA e a Agência de Segurança Nacional (NSA) dos EUA, preocupadas com o impacto dos circuitos integrados na criação de uma era de “criptografia inquebrável”, dão assistência direta à Crypto AG no desenvolvimento de um sistema baseado nessa tecnologia e aparentemente seguro, mas com falhas conhecidas que permitiriam uma rápida decodificação das comunicações. Segundo o relatório interno da CIA:  “Imagine a ideia do governo americano convencendo um fabricante estrangeiro a alterar um produto a seu favor (…). Imagine um admirável mundo novo.”

Sob medo de perder mercado, Hagelin aceitou a ajuda externa para adaptar sua tecnologia aos circuitos eletrônicos. O resultado veio dois anos depois e o novo modelo eletrônico da Crypto AG tinha sido projetado pela NSA. A vulnerabilidade agilizou o processo de decodificação das comunicações, de meses para alguns segundos. A NSA, contudo, ainda teria que interceptar as comunicações. Posteriormente, a empresa passou a vender dois modelos diferentes do equipamento: um para países amigos e outro para o resto do mundo.

Ganho-ganho: informação y mucha plata

A recompensa não foi só a invasão dos dispositivos, mas também a dependência da Crypto AG do apoio estadunidense. Enquanto isso, governos compravam equipamentos modernos, mas secretamente vulneráveis. Com o avanço da idade de Hagelin, a CIA, em parceria com a Alemanha, comprou a empresa em junho de 1970.  A partir daí, as duas agências se reuniriam regularmente para decidir as políticas de venda de equipamentos e dividir os lucros. A CIA e o BND tiveram lucros milionários com a Crypto AG. Os EUA, contudo, não gostavam de vender dois tipos de equipamento e, com o tempo, cada vez menos países recebiam o equipamento não viciado, apesar da resistência alemã. Os países também trouxeram as empresas Siemens (alemã) e Motorola (EUA) para assessorar a Crypto AG em questões de negócio, que sabiam da finalidade secreta. 

O relatório interno da CIA aponta que as vendas da Crypto AG saíram de 15 milhões em 1970 para 51 milhões de francos suíços em 1975. Não por acaso, esse relatório chama a operação de “o empreendimento de inteligência mais lucrativo da guerra fria”, cujo lucro foi usado para financiar outras operações das agências. O foco não era o lucro, ainda que muito bem vindo. Inteligência pode ser considerada um conflito informacional, como lembra Marcos Cepik (2003), professor titular da UFRGS, atualmente diretor adjunto da Agência Brasileira de Inteligência (Abin). Nesse sentido, a Crypto AG foi um sucesso além das expectativas nas disputas por informação e conhecimento. O empreendimento representava 40% das comunicações estrangeiras decodificadas pela NSA e 90% dos relatórios diplomáticos da Alemanha.

No entanto, havia conflitos entre os parceiros, especialmente pelo grande apetite estadunidense por informação. Cada vez mais ao longo do tempo, a espionagem não se limitava aos adversários, mas também a aliados próximos como membros da Organização do Tratado do Atlântico Norte (OTAN), como Espanha, Grécia, Turquia e Itália. Por outro lado, a Alemanha nunca conseguiu o privilégio de integrar a aliança Five Eyes. Nos anos 1990, a Alemanha avaliou que os riscos da operação não valiam a pena e vendeu sua parte para a CIA, que, por sua vez, usou os lucros da empresa para expandir sua influência em empresas do setor de criptografia. Com a difusão e ubiquidade da computação e de smartphones, a relevância da Crypto AG caiu e acabou sendo vendida e desmontada em 2018. A perda dessa operação não teria incomodado os EUA devido à crescente influência global das empresas de tecnologia estadunidenses na Internet. 

Vale lembrar das revelações de Mark Klein e Edward Snowden sobre diversas operações de vigilância massiva da NSA, incluindo de monitoramento direto dos dados que trafegam nos cabos terrestres e submarinos que conectam regiões e continentes (Ogasawara, 2021). Se a Crypto AG ficou obsoleta com a expansão e massificação da Internet, o setor de inteligência dos Estados Unidos foi capaz de se adaptar e, quem sabe, até aumentar sua capacidade de vigilância global, incluindo até das comunicações de Angela Merkel, então Chanceler da Alemanha, sua antiga parceira na Crypto AG. 

Dependência Tecnológica, Soberania Nacional e o caso da Criptografia

Essas dinâmicas do setor de inteligência mostram como a tecnologia é central para soberania e segurança estatais na ordem internacional. Enquanto países mais abertamente adversários dos EUA, como Rússia, China e Coreia do Norte, nunca usaram dos serviços da Crypto AG, diversas nações tiveram suas comunicações coletadas, decodificadas e analisadas durante décadas, incluindo Irã, Brasil, Argentina, Líbia, entre muitas outras. Um exemplo crítico dessa exploração de vulnerabilidade ocorreu durante a Guerra das Malvinas, quando a Argentina tentou tomar as Ilhas Malvinas do Reino Unido, amargando uma derrota assombrosa. Nosso vizinho sulamericano também era cliente da Crypto AG e, como membro da aliança Five Eyes, os serviços de inteligência do Reino Unido receberam informações oriundas das comunicações sigilosas de autoridades argentinas. 

Após as revelações do Washington Post, os pesquisadores Vitelio Brustolin (UFF), Dennison de Oliveira (UFPR) e Alcides Peron (USP) investigaram implicações do caso para o Brasil (Brustolin et al, 2020) e descobriram contratos que duraram até dezembro de 2019, começando na década de 1950. Mesmo após revelações parciais da relação da empresa com a NSA e a enorme perda de clientes, na década de 80, o Brasil continuou comprando da Crypto AG. As compras brasileiras também visaram a distribuição desses equipamentos para países parceiros na Operação Condor, plano que envolveu sequestros, torturas e assassinatos pelas ditaduras de Argentina, Chile, Bolívia, Paraguai e Uruguai, o que “prova que funcionários do governo americano estavam cientes” dos crimes cometidos pelas ditaduras. 

O problema ainda vai além. Dennison de Oliveira, um dos autores, em matéria d’O Globo, aponta como essa espionagem foi usada para prejudicar o Brasil na época do acordo nuclear com a Alemanha: “houve um conluio entre os dois países, a par de tudo o que acontecia do lado brasileiro, para empurrar um acordo péssimo”. O pesquisador aponta como as críticas dos Estados Unidos às investidas da China no setor de 5G no Brasil, argumentando que a China enfraqueceria a tecnologia para fins de espionagem, são problemáticas. Na verdade, tais práticas são comprovadamente realizadas justamente pelos Estados Unidos. 

Essa suspeita estadunidense também se aplica ao tratamento que dão a empresas como a russa Kaspersky, que fornece soluções de cibersegurança, como antivírus, e como as chinesas Huawei e TikTok, que vêm enfrentando fortes sanções e ameaças do governo estadunidense. No caso dessas duas empresas chinesas, há uma dinâmica intensa nos EUA contra sua operação no território nacional. O TikTok, por exemplo, há grande pressão do governo federal estadunidense para que a empresa seja vendida e passe a ser controlada por empresas deste país, sob acusações de que o TikTok conduz espionagem para o governo chinês. Enquanto isso, é público, notório e descontrolado o compartilhamento de dados entre empresas estadunidenses e seu governo.

Além de disputas econômicas, o caso da Crypto AG evidencia como a dependência tecnológica pode fragilizar a soberania nacional de países, especialmente daqueles em desenvolvimento. Dennison de Oliveira, em entrevista ao site da UFPR, aponta a necessidade de “deslanchar um extenso e profundo debate sobre o que acontecerá com o Brasil se seguirmos importando, para uso do governo e das Forças Armadas, equipamentos e sistemas de codificação e decodificação de mensagens desenvolvidos no estrangeiro”.

Soberania digital e criptografia

O caso da Crypto AG evidencia como a tecnologia é um elemento central para soberania e segurança nacional. Enquanto países do Norte Global desenvolvem e vendem essas tecnologias, frequentemente resta a países como o Brasil servir de consumidor, vulnerável às prioridades e aos interesses estrangeiros. Com a difusão da Internet, o cenário da soberania nacional tem se transformado, visto que a rede não segue facilmente os comandos ou os limites nacionais. Entre China, Índia, Rússia e União Europeia, várias são as iniciativas para lidar com as ameaças à soberania que advém da dependência tecnológica, que forma um colonialismo de dados (Avelino, 2023).

Num mundo conectado, os riscos à soberania também passam pelos efeitos extraterritoriais de políticas estrangeiras. No IGF 2023, em Quioto, organizamos, em parceria com a Internet Society, um workshop sobre os efeitos extraterritoriais no Sul Global de políticas anti-criptografia do Norte Global. Num cenário de economia e serviços públicos cada vez mais dependentes de mensageria privada, como o Whatsapp no caso brasileiro, são enormes os riscos aos países e cidadãos, caso a segurança e a privacidade garantidas pela criptografia forte sejam enfraquecidas por legislações estrangeiras, como o Online Safety Act do Reino Unido.

Por outro lado, também vale atentar para o caso do uso do First Mile, ferramenta fornecida pela Cognyte à Agência Brasileira de Inteligência, usado para rastrear a localização de celulares com base nos dados enviados para torres de telecomunicação. O caso está sendo investigado pela Polícia Federal por suspeitas de espionagem de desafetos e adversários políticos do ex-presidente Bolsonaro durante a gestão do atual deputado federal Alexandre Ramagem (PL) na Abin. Preocupa mais ainda o fato de que esses dados estavam expostos no servidor da empresa em Israel. Além da dependência tecnológica para vigiar ilegalmente pessoas no Brasil, ainda os dados estavam vulneráveis a acesso por estrangeiros.

Sabemos que as tecnologias da informação e comunicação são cada vez mais centrais para a maioria das sociedades contemporâneas, suas economias e as vidas cotidianas, das dimensões mais públicas às mais privadas. A privacidade, enquanto qualidade de controle da informação nas interações sociais, é um aspecto central para manutenção da confiança nas trocas entre pessoas, grupos, organizações e instituições (Waldmann, 2018). No contexto de tantas interações mediadas por tecnologias, a criptografia forte é um elemento central para garantir essa privacidade, segurança e confiança, mas também, no limite, a soberania digital de um país e seu povo.

A criptografia pode ser entendida como uma infraestrutura que torna “certas coisas possíveis e outras coisas impossíveis” (Easterling, 2014). Essa infraestrutura digital organiza a mobilidade de informação e comunicação (Amicelle e Grondin, 2021). A criptografia forte torna possível a comunicação segura e privada e torna impossível ou muito difícil, dependendo dos algoritmos e protocolos empregados e de outros elementos dessa “opaca assemblage sociotécnica” (Kitchin, 2016), o acesso não autorizado a informações.

Nesse sentido, é necessário o desenvolvimento e adoção de infraestruturas que fortaleçam a segurança e a privacidade, que não só direitos que empoderam cidadãos, mas requisitos, necessidades, para uma sociedade justa. Isso passa pelo abandono de insegurança infraestrutural, como conceituado por Niels ten Oever e Christoph Becker (2024) em paper recente. Os autores apontam como a padronização das redes de telecomunicações tem sido usada para manutenção da insegurança infraestrutural, que geralmente beneficia atores particulares, especialmente estatais. Um dos casos analisados pelos autores é justamente do Signalling System Nº 7, explorado inclusive pelo FirstMile, citado anteriormente.

Com o avanço nas discussões sobre infraestrutura digital pública, é importante atentarmos para o que essas infraestruturas facilitam e dificultam (Easterling, op.cit), incluindo privacidade e segurança ou vigilância e insegurança. Me parece que agentes estatais devem aqui promover no debate e nas políticas públicas os primeiros. Isso passa por abandonar narrativas e políticas anti-criptografia, que podem ter um efeito contraproducente a uma boa soberania digital e popular, assim como estimular o desenvolvimento de conhecimentos e soluções tecnológicas para e pelas pessoas que delas precisam, incluindo a criptografia.

Referências

AMICELLE, Anthony; GRONDIN, David. Algorithms as suspecting machines: Financial surveillance for security intelligence. In: Lyon, David; Wood, David Murakami (Ed.). Big data surveillance and security intelligence: The Canadian case. UBC Press, 2020.

AMOORE, Louise; Raley, Raley. Securing with Algorithms: Knowledge, Decision, Sovereignty. Security Dialogue, v48, 2016.

AVELINO, Rodolfo da Silva. Colonialismo Digital: Tecnologias de rastreamento online e a economia informacional. Alameda, 2023.

CEPIK, Marco. Espionagem e democracia. FGV Editora, 2003.

EASTERLING, Keller. Extrastatecraft: The power of infrastructure space. Verso Books, 2014.

KITCHIN, Rob. Thinking critically about and researching algorithms. In: The Social Power of Algorithms. Routledge, 2019. p. 14-29.

OGASAWARA, Midori. Collaborative surveillance with big data corporations: Interviews with Edward Snowden and Mark Klein. In: LYON, David; WOOD, David Murakami. Big data surveillance and security intelligence: The Canadian case, p. 21-42, 2021.

TEN OEVER, Niels; BECKER, Christoph. (2024). Infrastructural insecurity: Geopolitics in the standardization of telecommunications networks. Media International Australia, 0(0). https://doi.org/10.1177/1329878X231225748

WALDMAN, Ari Ezra. Privacy as trust: Information privacy for an information age. Cambridge University Press, 2018.