Mantenha sua comunicação digital privada

Atualizado31 de agosto de 2018

Índice

...Loading Table of Contents...

    Para proteger sua comunicação digital, você precisa abordar uma variedade de ameaças. Fazer isso requer algum conhecimento técnico – como entender o que acontece com suas mensagens entre seu dispositivo e o da pessoa destinatária – mas requer também bons hábitos, como manter seu dispositivo livre de malware, usar senhas fortes, evitar tentativas de phishing e manter um plano de comunicação que se adeque às suas necessidades.

    O que você pode aprender com este guia

    • Quais informações ficam vulneráveis quando você se comunica por meios digitais
    • Por que muitos serviços de webmail e mensagens instantâneas não são seguros
    • Quais medidas você pode tomar para proteger sua comunicação digital
    • O que procurar ao escolher ferramentas e serviços para comunicação digital
    • O que fazer se você acha que alguém pode estar acessando um de seus serviços digitais, como sua conta de e-mail

    Introdução à comunicação digital

    Quando você entrega uma bilhete sensível a uma pessoa ou conversa pessoalmente com ela, é relativamente fácil imaginar quem pode ser capaz de ver ou ouvir a informação que vocês estão trocando. Ao considerar a exposição de sua comunicação digital, você continua tendo que se preocupar com as pessoas que podem estar observando diretamente as mensagens que você envia e recebe, mas também tem que considerar coisas como a infraestrutura da rede, as políticas do provedor e a criptografia.

    Seja na Internet, em uma rede de telefonia móvel ou alguma outra tecnologia, você provavelmente tem uma série de diferentes meios de comunicação para escolher. Cada uma dessas tecnologias e meios vem com seu próprio conjunto de vantagens e desvantagens em termos de conveniência, popularidade, custos, desempenho e segurança, entre outras considerações. Os exemplos incluem:

    • Chamadas de voz em telefones móveis e fixos
    • E-mail
    • Mensagens de texto em redes de telefonia móvel
    • Aplicativos de mensagens online que normalmente transmitem texto, fotos e chamadas de voz e vídeo
    • Fóruns online e plataformas de redes sociais

    Embora algumas recomendações sobre segurança digital estejam necessariamente adaptadas a uma ferramenta, tecnologia de rede ou meio de comunicação específico, outras recomendações são mais universais. Abaixo, você encontrará alguns conceitos gerais que ajudarão a entender onde sua comunicação digital pode estar exposta e como você pode reduzir alguns desses riscos.

    Para onde vão suas mensagens

    Teoricamente, é possível enviar informação digital de modo que esta passe pelos dispositivos do emissor e do receptor e ninguém mais. Você pode, por exemplo, conectar dois computadores por um cabo ou entregar a alguém um cartão de memória USB. No entanto, tais técnicas só são praticas para certos tipos de comunicação. Também é pouco comum comunicar-se através de equipamentos de rede de propriedade de uma única companhia ou organização – talvez apenas em uma chamada de telefone ou mensagem de texto entre duas pessoas que utilizam o mesmo provedor, em um país hipotético sem vigilância governamental, assumindo que o fabricante do seu telefone não está coletando seus dados ou armazenando suas cópias de segurança.

    Nada disso significa que a comunicação privada é impossível! No entanto, isso evidencia o fato de que, quase sempre, a privacidade depende mais da criptografia que do controle sobre a infraestrutura. Nos dias de hoje, a criptografia é o mais próximo que se pode estar de ter um cabo oculto entre você e as pessoas com quem você precisa trocar informação digital regularmente. Falaremos mais sobre criptografia abaixo.

    Acessando serviços digitais

    Quando você se comunica por meios digitais – deixando de lado, por hora, cenários relativamente incomuns como os descritos acima – a informação que você envia e recebe passa através de vários dispositivos diferentes controlados por diversas companhias, organizações, agências governamentais e indivíduos. Embora não seja possível prever a rota exata que uma determinada informação seguirá, pode ser útil considerar um exemplo específico, mas comum.

    Quando você visita um website no seu computador, seu navegador envia uma solicitação para esse website. Essa solicitação utiliza sua conexão Wi-Fi para acessar seu roteador doméstico, que a envia por meio da infraestrutura local (geralmente algum tipo de cabo) para seu Provedor de Serviço de Internet (em inglês, Internet Service Provider, ou ISP). A solicitação passa, então, por vários servidores, frequentemente atravessando uma ou mais pontes de rede nacionais (em inglês, gateways) antes de alcançar o ISP do website. A partir daí, a solicitação é provavelmente roteada através de uma fazenda de servidores até o servidor onde o website se encontra hospedado de fato. Depois de receber sua solicitação, o servidor do website responderá com a informação de que seu navegador precisa para visualizar uma cópia do website. O conteúdo seguirá um caminho similar, mas não idêntico, ao que está descrito acima.

    Esta é uma descrição simplificada, é claro. Por exemplo, ela ignora o Sistema de Nome de Domínio (em inglês, Domain Name System ou DNS) que é como seu navegador utiliza o endereço de um website para achá-lo na Internet. Ela também ignora os elementos do website que estão hospedado por terceiros, incluindo os rastreadores de web que companhias de publicidade usam para construir um perfil dos seus hábitos de navegação. Na realidade, seu tráfego passará através de ainda mais dispositivos.

    Comunicando-se com outras pessoas

    A comunicação na web não é tão diferente. Ela tipicamente envolve duas ou mais pessoas seguindo praticamente os mesmos passos. Se elas estão usando o mesmo serviço, seus caminhos estão conectados em suas metades pelo website descrito anteriormente. Esse website pode ser o Gmail, por exemplo. As plataformas de redes sociais, aplicativos de mensagens, discussões em fóruns e outros serviços de comunicação funcionam mais ou menos da mesma maneira.

    Se as pessoas envolvidas usam serviços diferentes, o desenho fica ainda mais complexo. Digamos que você é um usuário de Riseup que envia mensagens a alguém no Gmail. Nesse caso, os dois provedores de serviço trocam informação – incluindo as mensagens que você manda e recebe - através de mais um caminho com vários passos.

    Até mesmo chamadas telefônicas e mensagens de texto funcionam de forma similar, pressupondo que pelo menos uma pessoa participante está em uma rede distinta, em um país diferente ou sujeita a algum tipo de vigilância. Além disso, muito de nossas comunicações móveis depende dos nossos serviços de Internet. Independentemente de você estar se conectando através de Wi-Fi ou dados móveis, os calendários, rastreadores de fitness, leitores de notícias, aplicativos de redes sociais e aplicativos de mensagens (como WhatsApp, Signal ou iMessage) todos enviam e recebem informação utilizando a Internet.

    Para mais informação sobre dispositivos móveis, veja o Guia Tático sobre como usar seu smartphone da forma mais segura possível.

    Pontos onde sua informação pode estar em risco

    Sua comunicação pode ser alvo de criminosos, governos, companhias, grupos sociais ou indivíduos. Esses agentes podem estar à procura de informação valiosa, querer assediar pessoas que se encaixem um certo perfil ou tentar impedir você de fazer seu trabalho, entre outros motivos. Ao atravessar os caminhos de vários passos descritos anteriormente, sua comunicação digital pode estar sendo monitorada ou interceptada:

    • Em seu dispositivo, se ele estiver infectado com malware ou se alguém observar sua comunicação diretamente
    • Em seu roteador Wi-Fi, se ele estiver infectado com malware ou sendo controlado por alguém com más intenções
    • Por seu ISP ou provedor móvel, seja por intenções próprias ou de terceiros
    • Por uma ponte de rede nacional (gateway), às vezes até mesmo se todas as pessoas ou serviços participantes estiverem localizados no mesmo país
    • Enquanto passam através de cabos físicos na espinha dorsal da Internet, se estes cabos estiverem "grampeados" (tipicamente por um ator do Estado)
    • Pelo ISP ou website do serviço que você está usando
    • Pelo ISP ou provedor móvel das pessoas com as quais você está se comunicando
    • Em qualquer um dos serviços que armazena ou roteia sua comunicação
    • Pelo roteador de Wi-Fi de alguma outra pessoa participante, se ela tiver más intenções ou se seu roteador estiver infectado com malware
    • No dispositivo de alguma outra pessoa participante, se alguém observar sua comunicação diretamente ou se o dispositivo estiver infectado com malware

    Você pode buscar se proteger desses riscos prestando atenção ao seu redor, mantendo seus dispositivos atualizados, evitando o malware, tomando cuidado com ataques de phishing, preferindo serviços confiáveis, criando senhas fortes, usando criptografia e ajudando as pessoas com as quais você se comunica a fazer o mesmo.

    Se você tem uma preocupação em particular de que suas comunicações estejam sendo interceptadas ou monitoradas por seu ISP ou por quem quer que controle seu roteador Wi-Fi, você deve usar uma Rede Virtual Privada (em inglês, Virtual Private Network ou VPN) de confiança para dar maior proteção ao seu tráfego na Internet. Você pode aprender mais sobre VPN no Guia de Táticas sobre como permanecer no anonimato e evitar a censura na Internet.

    Criptografia

    A criptografia é uma forma de usar matemática para cifrar o conteúdo de um arquivo digital ou mensagem de maneira que só possa ser decodificado e lido por alguém que tenha uma peça particular de informação, como uma senha ou chave de criptografia. Ela é usada de diversas maneiras. Você pode criptografar seus arquivos no disco rígido do seu computador ou em seu dispositivo móvel, por exemplo. Para saber mais sobre o tema, veja o Guia de Táticas sobre como proteger arquivos sensíveis em seu dispositivo. Esta seção focará principalmente na comunicação criptografada.

    Mesmo no contexto da comunicação segura, a criptografia aparece de várias formas e em várias fases. Dependendo de como seu roteador de Wi-Fi está configurado, seu tráfego pode ser criptografado entre seu dispositivo e o roteador. Muitos serviços criptografam o tráfego entre o dispositivo e os servidores deles, mas ainda se permitem ler o conteúdo uma vez que ele chega lá (mesmo se “lá” for só uma parada no caminho até o destinatário pretendido). Você pode aprender mais sobre esse tipo de criptografia na seção abaixo sobre TLS e HTTPS.

    Este guia falará muito sobre a criptografia de ponta a ponta. Ela acontece quando o conteúdo que você envia e recebe é criptografado ao longo de todo o caminho entre seu dispositivo e o dispositivo da pessoa, ou das pessoas, com quem você está se comunicando. Isso protege o conteúdo contra seu provedor de serviço, o provedor de serviço da outra parte e qualquer outro agente ao longo do caminho. Você pode aprender mais sobre isso na seção seguinte sobre criptografia de ponta a ponta.

    Metadados

    A criptografia de ponta a ponta previne que o conteúdo de sua comunicação seja exposto, mas outros tipos de dados potencialmente sensíveis são mais difíceis de esconder. Exemplos incluem informações sobre o remetente e o destinatário, data e hora de quando as mensagens foram enviadas e recebidas, quanta informação foi enviada e diversos dados sobre os dispositivos utilizados. Essas “informações sobre a informação” são comumente chamadas de metadados. Os metadados podem parecer relativamente insignificantes, mas podem revelar bastante sobre suas redes de sociabilidade e seus padrões de comunicação pessoal e profissional, especialmente se alguém for capaz de analisar um grande volume deles.

    A criptografia por si só não consegue resolver o problema de muitos tipos de metadados. Suponhamos, por exemplo, que você está usando uma ferramenta que criptografa as informações de data e hora dentro de uma mensagem. Observadores ao longo do caminho podem simplesmente anotar o horário em que eles veem sua mensagem (ilegível) passar. E, certamente, criptografar as informações de destinatário torna um tanto quanto difícil que a mensagem chegue ao destino pretendido!

    Esconder informações como essas de todos os dispositivos ao longo da rota através da qual você está se comunicando é extremamente difícil, mesmo usando um serviço que não armazena ou compartilha metadados. Mantê-las ocultas em uma conversa longa, com muitas idas e vindas, será ainda mais difícil. Fazê-lo requer, no mínimo:

    • Usar o Tor Browser ou Tails (você pode aprender mais no Guia de Táticas sobre como permanecer no anonimato e evitar a censura na Internet)
    • A criação cuidadosa de uma ou mais contas separadas e descartáveis
    • O uso de serviços e ferramentas de comunicação confiáveis e seguras que suportem criptografia de ponta a ponta
    • Uma boa dose de paciência e disciplina

    TLS e HTTPS

    Quando você visita um website seguro, o Localizador Uniforme de Recursos (URL) na barra de endereço do seu navegador deve começar com HTTPS:// em vez de HTTP://:

    Se isso acontecer, e seu navegador não apresentar nenhum outro erro, você estará se comunicando através de uma conexão criptografada entre seu navegador e o servidor onde o website está hospedado. Você poderá notar também um símbolo de cadeado perto do endereço Web. Essas são pistas para você saber que será muito mais difícil que alguém intercepte sua comunicação com esse site em particular. Alguns navegadores também indicam os sites HTTP como "não seguros".

    O tráfego HTTPS é criptografado usando Transport Layer Security (TLS), que é o sucessor do Secure Sockets Layer (SSL). O TLS também é usado para proteger outros serviços online e é a forma mais comum de se criptografar dados entre um dispositivo e um servidor. O HTTPS é hoje bastante comum e dificilmente você verá um website reconhecido que não o implementa (se você administra um website, veja o projeto Let's Encrypt, que pode ajudar você a criptografar seu tráfego de visitas).

    Você deve evitar digitar sua senha ou qualquer outro tipo de informação sensível em um website que não é compatível com HTTPS. Além das senhas e transações financeiras, o HTTPS também ajuda a proteger suas mensagens em webmail, as pesquisas feitas em ferramentas de busca e as comunicações nas redes sociais que viajam entre você e seu provedor. Se você está usando um serviço como esse, e que não oferece conexão HTTPS, você deveria trocar de provedor.

    Se você usa Firefox ou Chrome como seu navegador, você pode também instalar a extensão HTTPS Everywhere ([Windows] [Linux] [Mac]). Ela tentará garantir que você não acabe usando uma conexão insegura ao visitar sites que são compatíveis com HTTPS. Para mais dicas, veja o Guia de Ferramentas para Firefox:

    Maos à obra: Comecemos com Firefox e complementos de segurança para uma navegação mais segura [Windows] [Mac] [Linux]

    É importante lembrar que o TLS e HTTPS só criptografam a comunicação entre seu dispositivo e o serviço que você está usando. Uma vez que a comunicação alcançar o servidor, ela será descriptografada, armazenada, examinada e muito provavelmente enviada a outro lugar. Além disso, se o que você enviou é uma mensagem para outra pessoa, não há garantia de que ela será novamente criptografada antes de ser enviada ao destino final. Por exemplo, um e-mail que você envia pode viajar criptografado entre seu computador e seu servidor e continuar descriptografado a partir daí até o servidor do destinatário. Se o passo final é criptografado ou não, isso dependerá do serviço utilizado pelo destinatário.

    Algumas pessoas enviam e recebem e-mails usando um cliente de e-mails em vez de um navegador Web. Se você utiliza uma ferramenta como Thunderbird, Apple Mail ou Outlook, você não terá uma barra de endereço para procurar o HTTPS://. Mas, mesmo assim, você poderá continuar usando a criptografia TLS. Inclusive, os provedores de e-mail mais respeitáveis exigem isso. Se você quer saber quais medidas seu provedor atual toma ao se comunicar com outros servidores de e-mail, acesse STARTTLS Everywhere.

    Criptografia de ponta a ponta

    Como se mencionou anteriormente, para garantir que apenas o destinatário pretendido possa descriptografar o conteúdo que você lhe enviou, você precisará usar a criptografia de ponta a ponta. As plataformas de comunicação utilizam diferentes métodos para obtê-la. A seção seguinte descreve um exemplo de criptografia de e-mail. A seção subsequente discute outras ferramentas e funcionalidades adicionais de segurança.

    Criptografia de ponta a ponta para e-mail

    Uma das formas mais conhecidas de criptografia de ponta a ponta é chamada de Gnu Privacy Guard (GPG), que é uma implementação de código aberto da especificação OpenPGP ("PGP" significa Pretty Good Privacy e os termos são frequentemente usados de forma intercambiável). O GPG é usado para diferentes propósitos, mas um deles é a criptografia de ponta a ponta para e-mail (S/MIME é uma especificação alternativa para criptografar e-mails, às vezes utilizada dentro de grandes empresas; ela é mais centralizada e, em muitos casos, menos segura).

    O GPG emprega dois tipos diferentes de chaves de criptografia: uma chave privada e uma chave pública. Ele gera um par delas automaticamente, depois de solicitar a você a criação de uma senha para proteger a chave privada. Sua chave privada é usada para descriptografar o conteúdo e deve permanecer secreta. A chave pública existe para ser compartilhada com outras pessoas, que podem usá-la para criptografar conteúdos para o dono ou dona da chave privada correspondente.

    Assim, quando você envia um e-mail cifrado com GPG, você precisa da chave pública do destinatário; e, para ler o que foi enviado, o destinatário precisa ter uma chave privada própria com senha. Isso garante que só o destinatário pode ler as mensagens que você lhe enviou. O GPG irá criptografar o conteúdo do e-mail, incluindo o corpo da mensagem e os anexos, mas não os metadados. Dependendo de sua configuração, a linha de assunto pode ser ou não criptografada.

    Muitas pessoas acham o GPG um pouco difícil de entender. Esta animada explicação sobre o Conceito da Chave pode ser útil.

    Alguns métodos de criptografia podem também ajudam a verificar que o remetente de fato é quem diz ser. Entre outros usos, esse tipo de verificação pode ajudar você a evitar ataques de phishing que falsificam os metadados de remetente para que eles pareçam vir de alguém em quem você confia. Por outro lado, é importante entender que assinar seus e-mails deixa provas matemáticas de que foram enviados por você. O GPG oferece esse recurso permitindo que você adicione assinaturas digitais a mensagens ou arquivos. Assinar com GPG é o inverso da criptografia. Você usará sua chave privada para assinar uma mensagem e outras pessoas usarão sua chave pública para verificar sua assinatura.

    **Maos à obra: Comecemos com Thunderbird, Enigmail e OpenPGP para e-mails com criptografia de ponta a ponta* [Windows] [Mac] [Linux]

    Outras ferramentas de criptografia de ponta a ponta e funcionalidades adicionais

    Nem todas as ferramentas de criptografia de ponta a ponta funcionam da forma descrita anteriormente. Algumas ferramentas mais novas, como Signal, têm propriedades similares mas usam técnicas diferentes.

    Maos à obra: Comecemos com Signal para mensagens segura [Android]

    Algumas dessas ferramentas oferecem funcionalidades adicionais de segurança. É uma boa ideia fazer pesquisas sobre o software que você utiliza para se comunicar digitalmente. Isso ajudará você a fazer escolhas apropriadas e baseadas nas suas necessidades.

    Desaparecimento das mensagens: Às vezes é importante manter uma cópia de suas mensagens, anexos ou conversas, mas a maioria de nós não precisa guardar toda a nossa comunicação digital por tempo indefinido. Plataformas de mensagens como Signal e Wire permitem definir um período de tempo até que as mensagens trocadas com um usuário específico desapareçam. Essa é uma forma fácil de limitar as informações que podem ser expostas caso seu dispositivo se perca ou seja roubado, confiscado ou infectado com malware. Mantenha em mente que características como essas não previnem que o remetente ou destinatário das mensagens façam uma cópia delas.

    Sigilo de encaminhamento: É provável que muitos dos e-mails GPG que você recebe ao longo de vários anos tenham sido criptografados com a mesma chave privada. Como resultado, alguém que obtiver uma cópia dessa chave terá acesso a anos de correspondência. Signal e outras plataformas de mensagens usam uma chave diferente para cada mensagem ou sessão. Isso limita consideravelmente a quantidade de informação que pode ser comprometida por um atacante.

    Criando um ambiente seguro para a comunicação

    Muito do que se apresentou acima está focado em como proteger sua comunicação enquanto as informações digitais vão e vêm entre as partes. Mas manter seu e-mail seguro começa com impedir que outras pessoas acessem sua conta de e-mail se fazendo passar por você. A mesma lógica se aplica a outras plataformas de comunicação. Você pode aprender mais sobre isso no Guia de Táticas sobre como criar e manter senhas fortes e como proteger seu dispositivo de malware e ataques de phishing.

    As ferramentas de comunicação frequentemente armazenam uma cópia local do conteúdo que você envia e recebe, de modo que é importante que você também aprenda como proteger arquivos sensíveis em seu computador.

    A comunicação é inerente à atividade social e você não é a única pessoa fazendo escolhas que afetarão a segurança do ambiente no qual ela acontece. É importante ajudar as pessoas com quem você se comunica para que elas tomem medidas que protejam quem está envolvido. A tecnologia não evita que as pessoas se comportem mal ou façam mau uso da informação que você compartilha. Da mesma forma, a criptografia não protegerá você das pessoas com quem você pretende compartilhar a informação. Ter cuidado com quem acessa a informação pode ajudar a limitar alguns riscos.

    Erros e acidentes podem acontecer mesmo que todas as pessoas envolvidas tenham tomado todas as precauções com seriedade. Quando se trata de comunicação sensível, sua última linha de defesa está nas coisas que você diz. Sempre é uma boa ideia estar ciente do que aconteceria se algumas dessas coisas caíssem nas mãos erradas. Em alguns casos, pode fazer sentido desenvolver um sistema de pseudônimos e códigos para nomes, datas, locais e temas particularmente sensíveis.

    Escolhendo as ferramentas apropriadas

    Em alguns casos, a forma mais fácil de se comunicar é verbalmente, seja pessoalmente ou à distância através de uma chamada de voz ou vídeo. Outras vezes, uma mensagem curta ou um documento são mais adequados. As imagens, vídeos e gravações de áudio também têm vantagens e desvantagens específicas. Ao enviar arquivos digitais, incluindo imagens, lembre-se de que eles frequentemente incluem metadados que podem revelar quando e onde foram criados, detalhes sobre os dispositivos em que foram criados e outras informações potencialmente sensíveis. Descubra se a plataforma que você está usando remove metadados automaticamente.

    É uma boa ideia procurar um conjunto de ferramentas de comunicação seguras que seja compatível com os formatos que você usa regularmente. Se você não consegue encontrar um, faça um plano específico para mudar a forma com que você se comunica com seus contatos importantes. Ainda que nós recomendemos o Signal, os serviços de e-mail e VPN da Riseup e o GPG, você pode precisar de opções adicionais.

    Mesmo se você pensa ter encontrado a solução perfeita, você ainda deveria prestar atenção em outras opções. É uma boa ideia ter um plano secundário de comunicação caso o método que você está usando deixe de funcionar temporária ou permanentemente. Caso contrário, você não conseguirá se comunicar de forma segura – ou terá que usar uma ferramenta com a qual não tem familiaridade – em um momento critico.

    Pactuando um plano de comunicação

    Todos os métodos de comunicação têm suas vantagens e desvantagens, e é bom saber as limitações daqueles que você mais utiliza. Proponha, discuta e pactue um plano específico de como você irá se comunicar com seus contatos, incluindo os riscos conhecidos e os passos que irá tomar, caso algo dê errado. Isso pode envolver conversas informais sobre assuntos como a criação de endereços de e-mail secundários, a troca de números de telefone e o compartilhamento de contatos de emergência. Isso também pode incluir atividades mais formais, como a especificação dos métodos de comunicação aceitos nas políticas organizacionais de segurança, armazenamento de dados ou retenção de documentos.

    Estabelecer e ensaiar um plano de comunicação pode ajudar você a cuidar de si e da sua comunidade em momentos de estresse ou crise. É muito mais fácil e efetivo fazer um plano prévio do que improvisar em meio a uma emergência.

    O que fazer se você acredita que um atacante tem acesso à sua conta

    Apesar de raramente ser possível ter certeza, abaixo há algumas pistas que indicam que uma conta com um provedor de serviços – como uma conta de e-mail, mensagens instantâneas ou rede social – pode estar comprometida:

    • Você percebe mudanças no conteúdo ou na configuração da conta que não foram feitas por você
    • Um contato lhe diz que recebeu uma mensagem que você nunca enviou (ainda que às vezes atacantes consigam “falsificar” a informação do remetente)
    • Você não consegue acessar sua conta apesar de saber que sua senha está correta
    • Com frequência, você não recebe mensagens que seus contatos têm certeza de ter enviado (e que não caíram na pasta de “spam”)
    • Você descobre que a informação que trocou exclusivamente através desta conta caiu nas mãos de uma terceira pessoa, mesmo que nem o remetente, nem o destinatário a tenham compartilhado com outra pessoa
    • Em determinadas circunstâncias, você pode receber uma notificação de que uma senha foi alterada com sucesso sem que você tenha feito isso
    • Você recebe notificações de solicitações sem sucesso de alteração de senha pouco antes de perceber alguns desses outros indicadores
    • Você perdeu seu celular ou ele foi roubado ou confiscado enquanto estava conectado à conta
    • Caso seu provedor de serviços ofereça um registro das atividades recentes da sua conta, você pode perceber conexões feitas em uma hora ou local em que você não poderia ter se conectado

    Se você perceber um ou mais desses indicadores – e outras explicações parecerem improváveis – você deve considerar seguir alguns dos seguintes passos ou todos eles:

    Pare de usar essa conta para troca de informação sensível, a menos até que você entenda melhor a situação.

    Mude sua senha imediatamente se você puder fazê-lo. Veja o Guia de Táticas sobre como criar e manter senhas fortes.

    Crie uma senha nova e única para outras contas que tenham uma senha similar ou idêntica. Faça uma lista de outros serviços que você tenha vinculado a essa conta (muitos serviços de terceiros permitem acesso com sua senha de Facebook, Google ou Microsoft, por exemplo). Se puder, tente desvinculá-los.

    Considere a ajuda de uma pessoa especialista. Podem existir pessoas especializadas em tecnologia ou segurança em sua comunidade que podem lhe prestar assistência (Access Now tem um canal de ajuda que oferece diretamente, em tempo real, assistência técnica e conselhos a ativistas, jornalistas, defensores de direitos humanos e outros membros da sociedade civil).

    Faça logout de todas as suas sessões ativas se seu provedor permitir esta ação. Será necessário fazer um novo login em cada dispositivo do qual você quer acessar sua conta.

    Ative a autenticação de dois fatores se possível (e se for compatível com seu provedor). Isso evitará que qualquer pessoa que tenha obtido sua senha possa acessar sua conta. Você pode aprender mais sobre isso no Guia de Táticas sobre como criar e manter senhas fortes. Acesse o website Two Factor Auth para verificar se seu provedor oferece essa funcionalidade. Google, Facebook e Twitter possuem tutoriais úteis sobre como instalar a autenticação de dois fatores em seus respectivos serviços.

    Se você não conseguir entrar em sua conta, você pode entrar em contato com seu provedor de e-mail para recuperá-la. Alguns provedores de e-mail têm procedimentos especiais para ajudar usuários em tais situações, mas muitos outros não.

    Faça o que puder para reduzir o impacto sobre você e as pessoas com quem você se comunicou por meio dessa conta (isso será mais fácil se você já tiver estabelecido um plano de comunicação e pensado sobre quais medidas tomar). Conforme apropriado, alerte seus contatos e busque as formas em que a conta possa ser usada para afetar outras pessoas, mesmo que você mantenha o controle sobre ela. Exemplos podem incluir opções de encaminhamento automático de mensagens que enviam cópias aos atacantes; novos “amigos” em contas de redes sociais; a desativação de configurações de privacidade; ou links maliciosos adicionados a publicações de blogs, assinaturas de e-mails ou respostas automáticas (como mensagens out-of-office).

    Tente determinar o que pode ter dado errado. Poderia ser por causa de uma senha fraca? Será que o site Have I Been Pwned lista outras contas com a mesma senha? Existem sinais de que um de seus dispositivos foi infectado com malware? Existem outros membros da sua comunidade que viveram situações similares? Quanto mais você souber sobre as circunstâncias que permitiram que as contas fossem comprometidas, melhor será sua chance de recuperar, proteger seus contatos e se defender de ataques similares no futuro.

    Revise a segurança de outros dispositivos com que você tenha acessado essa conta ou nos quais você tenha armazenado a senha dessa conta. Para mais informações, veja o Guia de Táticas sobre como proteger seu dispositivo de malware e ataques de phishing, como proteger sua informação de ameaças físicas e como usar smartphones da forma mais segura possível. Se você encontrar evidências de infecção de malware, considere fazer uma cópia de segurança dos seus dados e reinstalar o sistema operacional. Depois de ter feito as melhorias de segurança sugeridas em seus dispositivos, você pode ter que trocar a senha de suas contas novamente.

    Considere mudar para um servidor mais seguro ou adotar métodos de comunicação mais seguros no futuro. Procure um serviço que seja compatível com a autenticação de dois fatores, que tenha uma boa trajetória prevenindo esse tipo de ataque e que notifique você sobre tentativas de conexão pouco habituais. Dependendo de suas circunstâncias, você pode considerar usar um provedor localizado em um país diferente. Para contas de e-mail, considere adotar a criptografia de ponta a ponta. Você pode aprender mais sobre isso no Guia de Ferramentas de Thunderbird, Enigmail e OpenPGP ([Windows] [Linux] [Mac]. Você pode também considerar trabalhar com seus contatos para mover a comunicação sensível para plataformas que suportem o desaparecimento de mensagens, como Signal.

    Lembre-se: uma comunicação segura não se baseia apenas em empregar técnicas fortes de defesa. Ela requer prestar atenção em como você e seus contatos se comunicam entre si, bem como manter uma disciplina em relação a seus hábitos de segurança que não são de cunho técnico.

    Leitura adicional

    • A Política de Privacidade do Gmail, que você deve aceitar ao criar uma conta Gmail, explica que “Também coletamos o conteúdo que você cria, de que faz upload ou que recebe de outras pessoas ao usar nossos serviços. Isso inclui e-mails enviados e recebidos”. De fato, até certo ponto, todos os provedores analisam suas mensagens para que possam oferecer serviços antispam e outras funcionalidades.
    • Uma série de entrevistas em 2008 abordou a política de privacidade e criptografia de vários serviços importantes de mensagens instantâneas.
    • Um website chamado Secure messaging apps comparison, ou Comparação de aplicativos de mensagens seguras tenta especificar as propriedades de segurança de várias plataformas de mensagens.
    • Access Now opera um canal de ajuda que oferece diretamente, em tempo real, assistência técnica e conselhos a ativistas, jornalistas, defensores de direitos humanos e outros membros da sociedade civil.
    • Uma lista de outras ferramentas de mensagens seguras incluem: para mensagens e chamadas, Wire; para mensagens, XMPP com OTR, Briar ou Ricochet; Jitsi Meet ou um servidor confiável de chamadas e videoconferências com muitos participantes como Jitsi Video Bridge (não há criptografia de ponta a ponta, mas é útil se você confia no provedor de serviços); para e-mails, Tutanota ou ProtonMail; para redes sociais, Crabgrass; e para mensagens entre equipes, Matrix.