O Serviço de Segurança e Inteligência do Canadá (CSIS) obteve do Tribunal Federal um mandato judicial inédito para aceder remotamente e neutralizar dois botnets controlados por Estados estrangeiros — que operavam a partir de servidores, routers domésticos e dispositivos IoT em solo canadiano.
A decisão, conhecida como Cyber Threat Reduction Measures Warrant (TRM), foi emitida a 1 de maio de 2024 pela Juíza Catherine Kane, renovada em agosto de 2024, e a versão pública expurgada só foi divulgada a 15 de junho de 2026. É a primeira vez que um tribunal canadiano autoriza o serviço secreto a intervir diretamente em dispositivos infetados por malware em território nacional.
O CSIS precisou de mandato judicial porque as medidas de neutralização dos botnets — alterar, degradar e destruir dados em dispositivos infetados — constituiriam crime ao abrigo do Código Penal canadiano sem autorização judicial.
Routers em fim de vida e IoT como porta de entrada
Segundo o Tribunal Federal do Canadá (processo C-6-24), os botnets usavam servidores baseados no Canadá, routers SOHO (small office/home office) e dispositivos IoT — como campainhas Ring, câmaras de segurança, televisões e outros eletrodomésticos com conectividade Wi-Fi — como relays de tráfego para mascarar ataques contra infraestruturas críticas, militares e governamentais canadianas.
O tribunal considerou que a ameaça à segurança do Canadá estava «claramente estabelecida e iminente» e que os dispositivos «em fim de vida», que já não recebem atualizações de segurança, eram particularmente vulneráveis. O mandato permitiu ao CSIS alterar, degradar e destruir dados nos dispositivos infetados, mas apenas nos que estivessem em solo canadiano e sem recolher informações pessoais ou de identificação dos proprietários.
Os dispositivos foram desinfetados, mas as vulnerabilidades subjacentes — firmware obsoleto, credenciais padrão não alteradas — persistem. Uma simples reinicialização pode reinfetá-los se o utilizador não corrigir as configurações de segurança.
Ameaça associada à China
Embora a versão pública do acórdão omita a identidade dos agressores, fontes like o relatório público do CSIS de 2024 e a imprensa canadiana indicam que um dos botnets estava associado a uma entidade suspeita de estar ligada à China. O tribunal considerou que ambos os Estados estrangeiros representavam uma ameaça real e iminente à segurança nacional.
O que isto significa para Portugal
Portugal não dispõe de legislação equivalente que permita ao CNCS (Centro Nacional de Cibersegurança) ou às autoridades de investigação criminal atuar sobre dispositivos IoT de cidadãos infetados. O precedente canadiano é particularmente relevante para o debate europeu em torno das diretivas NIS2 e Ciber-Resiliência, que exigem aos Estados-membros capacidade de resposta a ameaças cibernéticas em larga escala.
Os routers fornecidos pelas operadoras portuguesas — MEO, NOS e Vodafone — são frequentemente o elo mais fraco da segurança doméstica. Muitos modelos em fim de vida, que já não recebem atualizações de firmware, são vetor idêntico ao explorado pelos botnets canadianos. Um router infetado pode ser usado para espiar tráfego, atacar outros alvos ou servir de porta de entrada para dispositivos IoT na mesma rede.
O mandato do CSIS abrangeu servidores, routers SOHO e dispositivos IoT. O precedente levanta questões sobre a capacidade de resposta de Portugal a ameaças cibernéticas em infraestruturas críticas.
O tribunal concluiu que as ações dos dois adversários estrangeiros constituíam uma ameaça à segurança do Canadá, que havia motivos razoáveis para acreditar que o mandato era necessário para reduzir essa ameaça e que as medidas específicas descritas eram necessárias, razoáveis e proporcionais nas circunstâncias. As medidas foram dirigidas contra dispositivos, não contra pessoas; nenhuma informação de identificação pessoal foi recolhida.
— Tribunal Federal do Canadá, Processo C-6-24
O caso estabelece um precedente mundial que outros países — incluindo os da União Europeia — poderão seguir para criar enquadramento legal que permita às autoridades neutralizar botnets sem violar a lei, equilibrando segurança nacional e privacidade dos cidadãos.
Feito por humanos — Portugal Binário
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!