A Polícia Federal (PF) abriu investigação para apurar a instalação clandestina de dispositivos de espionagem em servidores de computadores espalhados por seis dos 10 andares do edifício-sede do Instituto Nacional do Seguro Social (INSS), em Brasília. Pela primeira vez na história, criminosos conseguiram instalar “chupa-cabras” (foto em destaque) no prédio que concentra o fluxo de dados de pagamento de 39 milhões de beneficiários.

A coluna Na Mira teve acesso exclusivo às imagens dos aparelhos nocivos ainda instalados nos sistemas do INSS. Os dispositivos foram descobertos pela equipe de servidores lotada no Departamento de Tecnologia da Informação (TI) durante inspeção física na rede, ocorrida em 26 de junho deste ano. A Polícia Federal foi chamada à sede do Instituto pela própria presidência da autarquia previdenciária.

Na sede, os chupa-cabras tiveram potencial acesso a todo o trânsito de informações da rede que não fosse protegido por criptografia. Os sistemas utilizados para conceder os benefícios já utilizam a criptografia há algum tempo, de acordo com fonte ligada ao INSS. No entanto, o acesso aos dados de todas as pessoas que solicitaram benefícios ao órgão exige apenas nome de usuário e a senha.

Equipes veladas

Para não levantar suspeita, as equipes da PF que foram até a sede do INSS estavam à paisana e utilizaram viaturas descaracterizadas. A iniciativa era não chamar a atenção de funcionários e servidores, principalmente pelo fato de que os chupa-cabras foram encontrados em locais de acesso restrito da infraestrutura do prédio.

De acordo com uma fonte ouvida pela coluna, quem quer que tenha instalado esses dispositivos, em seis dos 10 andares do edifício, teria tido acesso privilegiado a áreas extremamente seguras e vigiadas. As apurações da PF tentam identificar quem seriam os suspeitos de instalar os dispositivos e se houve algum tipo de facilitação interna.

A ação dos criminosos cibernéticos que enxertaram os dispositivos de espionagem pode ter comprometido, inclusive, as senhas de alta gestão, incluindo a do presidente do INSS, de sua substituta, dos diretores e de outros usuários da cúpula da instituição.

No dia 27 de junho, apenas um dia após a visita sigilosa de especialistas em TI da Polícia Federal, todos os funcionários do prédio foram orientados a trocar suas senhas.

INSS se manifesta

Procurado pela coluna, o INSS se manifestou por meio de nota, confirmando que dispositivos de espionagem haviam sido instalados nos servidores do órgão. Leia nota na íntegra:

“No final do mês passado, uma equipe da Diretoria de Tecnologia da Informação detectou um comportamento estranho à rede. Imediatamente foi iniciada a varredura no prédio do INSS para localizar a máquina que poderia estar gerando esse comportamento. Ao encontrar o dispositivo irregular, seguindo o protocolo de segurança, o INSS chamou a Polícia Federal.

Importante destacar que o tráfego interno na rede é criptografado e para acessar os sistemas é necessário ter certificado digital, estar logado na VPN, utilizar validação em dois fatores, entre outros. Não foi identificado o vazamento de informações ou comprometimento de senhas de servidores que atuam no prédio.

Os sistemas que dão acesso a essas informações são criptografados e para ter acesso é preciso adotar todos os protocolos listados acima. Finalizando, a troca de senhas é um procedimento padrão em caso de indício de qualquer irregularidade. O caso está sob investigação da Polícia Federal.”

Farra do INSS

O INSS enfrenta uma série de escândalos recentes. Nas últimas semanas, o Metrópoles revelou a farra de associações sem fins lucrativos acusadas de aplicarem descontos indevidos em aposentadorias. As entidades embolsaram mais de R$ 2 bilhões desde janeiro de 2023. Essas associações respondem a 62 mil processos judiciais em todo o país e chegam a ganhar mais de R$ 30 milhões por mês com contribuições descontadas diretamente da folha de pagamento dos aposentados.

Dados obtidos por meio da Lei de Acesso à Informação mostram que existem hoje 29 associações autorizadas pelo INSS a praticar “desconto de mensalidade associativa” nos benefícios de aposentadoria e pensão, por meio de acordos de cooperação técnica. No início do ano passado, eram 21 entidades aptas a aplicar a contribuição em troca de supostos serviços oferecidos aos associados, como assistência em saúde.

No período, o número de filiados explodiu, assim como o faturamento mensal dessas associações, que saltou de R$ 85 milhões, no início de 2023, para R$ 250 milhões atualmente. O problema é que dezenas de milhares de aposentados dizem ter sido filiados a essas entidades sem autorização, o que é ilegal, e se veem obrigados a acionar a Justiça para conseguir reaver o dinheiro descontado indevidamente.