Ataques DDoS (Distributed Denial of Service) segundo a legislação brasileira

Os ataques DDoS (Distributed Denial of Service), ou Ataques de Negação de Serviço Distribuída, são uma das ameaças mais comuns e devastadoras no ciberespaço contemporâneo. Esses ataques visam sobrecarregar os servidores, redes ou sistemas de um alvo específico com uma quantidade massiva de tráfego de dados, de modo a tornar os serviços inacessíveis para os usuários legítimos. Ao invés de comprometer diretamente a integridade dos sistemas, o DDoS busca paralisar o acesso aos serviços, causando interrupções significativas, prejuízos financeiros, danos à reputação e comprometimento de atividades operacionais.

Embora os ataques DDoS não envolvam necessariamente a invasão ou roubo de dados, eles têm um impacto substancial em empresas, governos e usuários individuais. Com o aumento do uso da internet e a digitalização dos serviços, a segurança cibernética tornou-se uma prioridade, e a legislação brasileira tem acompanhado esse cenário, buscando enquadrar práticas de cibercrime, incluindo os ataques DDoS, e definir suas implicações legais.

Um ataque DDoS é realizado com a intenção de sobrecarregar a infraestrutura de servidores e sistemas de uma rede com tráfego de dados massivo. Ele envolve o uso de uma rede de dispositivos comprometidos (geralmente computadores, dispositivos IoT, etc.), conhecidos como botnets, que são manipulados remotamente por um atacante. Esses dispositivos, muitas vezes sem o conhecimento dos seus proprietários, geram requisições simultâneas para o servidor alvo, fazendo com que o sistema fique congestionado e incapaz de processar as requisições legítimas dos usuários titulares.

Os tipos mais comuns de ataques DDoS incluem:

• Ataques volumétricos: Consistem no envio de uma enorme quantidade de tráfego de dados para esgotar a largura de banda do alvo.

• Ataques de amplificação: Usam servidores públicos (como servidores DNS) para aumentar o volume do tráfego enviado ao alvo.

• Ataques de exaustão de recursos: Focam em consumir a capacidade de processamento do servidor, sobrecarregando os recursos computacionais do sistema alvo.

  
  

O que se visualiza é que o objetivo de um ataque DDoS não é obter dados confidenciais, mas sim paralisar os serviços de uma rede ou site, resultando em indisponibilidade e prejuízos operacionais.

Os ataques DDoS têm causado grandes prejuízos para organizações no Brasil, incluindo empresas de e-commerce, bancos, serviços públicos e até plataformas governamentais. Além de custos diretos com reparação e recuperação dos sistemas, os efeitos colaterais podem incluir: a) Interrupção de serviços essenciais: Como nos casos de bancos, serviços de saúde ou até mesmo sistemas de emergência; b) Prejuízos financeiros: Empresas podem perder clientes e receitas, principalmente se os ataques ocorrerem durante períodos críticos (como datas de vendas ou eventos importantes); c) Danos à reputação: Organizações afetadas podem sofrer um impacto negativo em sua imagem, gerando uma perda de confiança por parte de seus usuários.

No Brasil, a legislação sobre crimes cibernéticos tem avançado para lidar com novas formas de ataque, incluindo os ataques DDoS. A Lei nº 12.737/2012, conhecida como a Lei Carolina Dieckmann, é um marco importante no combate aos crimes informáticos, pois tipifica diversas condutas criminosas no ambiente digital, incluindo a invasão de sistemas e a interferência no funcionamento de dispositivos.

Embora a Lei Carolina Dieckmann não trate explicitamente de ataques DDoS, ela contém dispositivos relevantes para a responsabilização penal dos responsáveis por essas ações. A lei tipifica como crimes a invasão de dispositivos eletrônicos, a obtenção não autorizada de dados, a alteração de sistemas e a interrupção de sistemas.

• Artigo 154-A do Código Penal: Estabelece que invadir dispositivos informáticos para obter, adulterar ou destruir dados é crime, com pena de detenção de 3 meses a 1 ano, além de multa. Embora esse artigo não se refira diretamente a ataques DDoS, ele pode ser utilizado quando a ação envolver a invasão de sistemas para facilitar o ataque, como o uso de botnets.

• Artigo 266 do Código Penal: Tipifica o crime de "interrupção de serviços", o que pode ser utilizado para punir quem realizar ataques DDoS com a finalidade de paralisar sistemas ou redes. A pena para esse crime é de detenção de 1 a 3 anos, além de multa. Para que haja condenação, é necessário demonstrar a intenção de causar a interrupção de serviços essenciais, o que é uma característica central dos ataques DDoS.

O Código Penal Brasileiro também pode ser utilizado para enquadrar os ataques DDoS, especialmente quando há intenção de causar dano, como nos crimes de danos (art. 163) ou perturbação do funcionamento de serviços essenciais (art. 266). Quando os ataques DDoS afetam serviços essenciais, como hospitais ou órgãos públicos, os responsáveis podem ser punidos com penas de detenção ou reclusão, dependendo da gravidade do impacto causado.

Além da responsabilização dos atacantes, a legislação brasileira também busca assegurar a responsabilidade das empresas e provedores de serviços de internet na proteção contra ataques cibernéticos. A Lei Geral de Proteção de Dados (LGPD) (Lei nº 13.709/2018) impõe que as empresas adotem medidas de segurança para proteger os dados pessoais dos usuários contra incidentes de segurança, incluindo ataques DDoS, que podem comprometer a confidencialidade e integridade desses dados.

Os provedores de serviços de internet também devem colaborar na investigação e identificação dos responsáveis por ataques, conforme previsto no Marco Civil da Internet (Lei nº 12.965/2014), que estabelece a responsabilidade das plataformas e prestadores de serviços em ações que envolvem a violação da segurança.

Diante da ameaça representada pelos ataques DDoS, é essencial que as empresas adotem medidas preventivas e estratégias de resposta eficazes. Algumas das melhores práticas incluem:

• Infraestruturas de proteção: Como firewalls, sistemas de prevenção de intrusão (IPS), e cloud computing para absorver grandes volumes de tráfego.

• Monitoramento constante: Detecção precoce de tráfego anômalo ou ataques em andamento para limitar os danos.

• Colaboração com autoridades: Em caso de ataque, as empresas devem colaborar com as autoridades para identificar os responsáveis e minimizar os impactos.

Os ataques DDoS representam uma ameaça séria à segurança e à continuidade de serviços em diversos setores da sociedade, com impactos econômicos e operacionais significativos. A legislação brasileira tem se adaptado para enfrentar essa ameaça, com instrumentos legais como a Lei Carolina Dieckmann, a Lei de Crimes Cibernéticos e o Marco Civil da Internet, que buscam responsabilizar os infratores e proteger os sistemas e dados.

Logo, a aplicação eficaz dessas normas depende da constante atualização das legislações para acompanhar a evolução das técnicas de ataque e garantir a segurança no ambiente digital. Portanto, é fundamental que as empresas e os provedores de serviços adotem uma postura proativa na implementação de medidas de cibersegurança para prevenir e mitigar os efeitos de ataques DDoS, ao mesmo tempo em que a colaboração com as autoridades se torna crucial para a identificação e punição dos responsáveis.

Núcleo Científico Interno (NCI)

Me. Andreza da Silva Jacobsen

Esp. Edmundo Rafael Gaievski Junior

REFERÊNCIAS

BRASIL. Decreto-lei n. 2.848, de 7 de dezembro de 1940. Código Penal. Disponível em: https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Acesso em: 21 jan. 2025. 

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2020]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14020.htm. Acesso em: 21 jan. 2025.

BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Altera o Código Penal Brasileiro para tipificar crimes cometidos por meio de dispositivos eletrônicos, e dá outras providências. Diário Oficial da União: Brasília, DF, 3 dez. 2012. Seção 1, p. 1. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 21 jan. 2025.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Institui o Marco Civil da Internet e dá outras providências. Diário Oficial da União: Brasília, DF, 24 abr. 2014. Seção 1, p. 1. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 21 jan. 2025. 

GOODMAN, Marc. Future crimes: tudo está conectado, todos somos vulneráveis e o que podemos fazer sobre isso. Tradução de Gerson Yamagami. São Paulo: HSM Editora, 2015.