Alerta extremo deve ter sido causado por roubo de uma credencial de um usuário com acesso ao sistema
Advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro
Recurso exclusivo para assinantes
assine ou faça login
benefício do assinante
Você tem 7 acessos por dia para dar de presente. Qualquer pessoa que não é assinante poderá ler.
benefício do assinante
Assinantes podem liberar 7 acessos por dia para conteúdos da Folha.
Salvar para ler depois
Recurso exclusivo para assinantes
assine ou faça login
20.jun.2026 às 12h00
Edição Impressa Diminuir fonte
Por volta de 23h45 desta sexta-feira (19) as primeiras mensagens de alerta extremo começaram a chegar em celulares de Curitiba. Nas duas horas seguintes, celulares no Distrito Federal, São Paulo, Rio de Janeiro, Bahia, Pará, Mato Grosso e outros estados começaram a disparar com o texto "misantropia" e um forte sinal sonoro acordando muita gente na madrugada. Até que a plataforma foi tirada do ar.
Tudo indica que a credencial de um usuário com acesso total ao sistema IDAP (Interface de Divulgação de Alertas Públicos) operado pelo MIDR (Ministério da Integração e Desenvolvimento Regional) foi roubada pelo atacante para esse fim.
Esse incidente demonstra de novo como o país está à deriva na questão de cibersegurança. Um estudo feito nos EUA sobre a desmoralização de sistemas de alerta mostrou que isso tem um custo claro em vidas. Falsos alarmes em sistemas oficiais elevam as fatalidades esperadas em calamidades públicas em até 29% e o número de pessoas feridas em até 32%.
É o efeito chamado "cry wolf": se alguém grita lobo sem razão, as pessoas passam a ignorar e até bloquear os alertas. O dano não é só um susto, mas o descrédito de um bem público que salva vidas
Para entender a dimensão do problema é fundamental compreender a cadeia de responsabilidade. O sistema de alerta é hoje coordenado pela Anatel, em conjunto com uma série de parceiros que incluem as prestadoras de serviço de celular, o Sindicato Nacional de Empresas de Telefonia Móvel, o MIDR e a Presidência da República.
A operação técnica na prática é feita pela ABR Telecom (Associação Brasileira de Recursos em Telecomunicações). Para enviar um alerta, um agente credenciado entra no site do IDAP, clica para selecionar a gravidade do alerta, seleciona o local de envio (estados, municípios, etc.), preenche a mensagem de texto e aperta o botão de envio.
A questão é que no Brasil há ao menos 180 instituições cadastradas para enviar alertas desse tipo no site do IDAP e ao menos 600 usuários com cadastro e poderes para acessar a ferramenta e enviar alertas para todo o Brasil, bastando digitar usuário e senha. Isso é receita para o desastre.
Em termos de comparação, os EUA têm um sistema semelhante. Só que para acessá-lo é necessário passar por um procedimento formal e por uma cadeia de autenticação criptográfica. Cada credenciado precisa assinar termo de responsabilidade individualizado e sua credencial dura por tempo limitado.
Receba no seu email uma seleção de colunas da Folha
Além disso, desde um incidente no Havaí em 2018, as mensagens começaram a ter dupla supervisão. Antes de serem enviadas, são autenticadas por um supervisor. Só disparam com a autorização de duas hierarquias distintas.
Outro ponto é a centralização. O governo federal vem centralizando poderes sobre todas as questões tecnológicas do país. Isso é um risco: centralização e cibersegurança caminham em direções opostas (e também liberdades civis). Isso ficou claro ontem: foi preciso que cada estado se manifestasse para dizer que não foi responsável pelos alertas. O sistema gerido pela União atuou e falou indevidamente em nome dos entes federativos.
