As autoridades europeias deram um golpe duro no cibercrime. Segundo o site Tom’s Hardware, uma iniciativa liderada pela Europol, baptizada Operação Saffron, conseguiu desmantelar a First VPN, um serviço frequentemente utilizado para mascarar ataques de ransomware e outras actividades ilícitas na Internet.
Uma rede global de servidores apreendidos
A operação resultou na apreensão de 33 servidores espalhados por 27 países. As autoridades conseguiram identificar 506 utilizadores e seguiram o rasto digital até uma residência na Ucrânia. O relatório da Europol, citado pelo mesmo portal, indica que a Operação Saffron teve a participação de 18 países, onde se destacam França, Países Baixos, Luxemburgo, Roménia, Suíça, Ucrânia e Reino Unido.
Os domínios normais da First VPN e as respectivas versões “.onion” (acessíveis através do browser Tor) foram confiscados e exibem agora um aviso oficial da polícia a confirmar o encerramento da infra-estrutura.
O que distinguia a First VPN
A First VPN promovia-se como um serviço “à prova de bala”. A plataforma garantia anonimato total, afirmava não cooperar com qualquer autoridade judicial e dizia não estar sujeita a nenhuma jurisdição. Além disso, a publicidade era feita quase em exclusivo em fóruns de cibercrime de língua russa.
A Europol referiu que este serviço surgia em quase todas as investigações de crimes digitais que a agência estava a conduzir. A investigação começou em 2021 e culminou agora no desmantelamento total da rede.
Privacidade legítima versus cibercrime
Existe uma linha ténue, mas fundamental, entre serviços focados na privacidade e plataformas criadas para facilitar crimes. Serviços populares como a Mullvad ou a ProtonVPN oferecem políticas estritas de não retenção de dados, mas operam dentro da legalidade e de forma transparente.
A título de exemplo, a Mullvad recebeu seis agentes da polícia sueca nas suas instalações em 2023, que saíram de mãos a abanar por não existirem dados para entregar. De forma semelhante, no ano passado, um tribunal grego ilibou o director executivo da Windscribe de acusações de cumplicidade em crimes informáticos. Os servidores desta empresa usavam apenas discos na memória RAM, sem armazenamento permanente, o que impediu a recolha de informações quando as autoridades neerlandesas os desligaram para inspecção.
A comunidade online tem expressado preocupação com o excesso de zelo legal nestas apreensões. A ironia reside no facto de a Carta dos Direitos Fundamentais da União Europeia e o Regulamento Geral sobre a Protecção de Dados (RGPD) defenderem a privacidade digital como um direito básico. As empresas que fornecem VPN legítimas respeitam estas regras, mas continuam sujeitas a acções policiais baseadas em leis nacionais, onde a necessidade de mandados varia consoante a jurisdição.
O conceito de privacidade digital na União Europeia está sob pressão devido a iniciativas como o “ProtectEU“, que exige a retenção de dados para fins policiais, ou o polémico “Chat Control“, que permitiria analisar comunicações privadas a pretexto de proteger menores. Esta última medida, para já, tem sido sucessivamente chumbada, mas mantém o debate aceso sobre o futuro da privacidade online.
