O caso do ex-adjunto do Ministério da Justiça: “Falha grave de cibersegurança no Estado: factos, riscos e propostas” foi desenvolvido em torno de canais no Signal e no Telegram, recordando a proposta apresentada em 2024 para a redução de riscos de segurança em equipamentos do Estado.

Conforme propusemos em 2024, este caso — envolvendo computadores e provavelmente telemóveis do Ministério Público — mostra que continua a ser possível aceder a redes inseguras a partir de equipamentos do Estado, muitas delas alojadas fora da União Europeia.

No caso do assessor do Ministério da Justiça, não teria sido possível impedir o acesso ao conteúdo das comunicações, mas teria sido possível limitar ou condicionar o acesso às plataformas através de políticas de rede adequadas.

Do ponto de vista técnico, não é possível inspecionar o conteúdo das comunicações no Signal nem no Telegram, porque são cifradas de ponta a ponta. O que é possível é atuar ao nível do acesso à rede e ao serviço, não ao nível da mensagem. O gestor da rede do MJ poderia ter bloqueado ou condicionado domínios, endereços IP ou padrões de tráfego associados a estas plataformas. É uma solução imperfeita, contornável e com efeitos colaterais, mas existe e é usada em ambientes controlados da administração pública.

Outra via teria sido agir no ponto final, no próprio dispositivo. Através de políticas de gestão de dispositivos é possível impedir a instalação de aplicações ou monitorizar o seu uso. Não é controlo de comunicações, é controlo do utilizador, prática comum e legal em muitas organizações.

Mesmo quando se usa Signal ou Telegram, existem sempre metadados. Há IPs, horários, volumes de tráfego e padrões de ligação. A Homeland Security não precisou de aceder ao conteúdo para identificar a origem do acesso. Se uma ligação parte de um IP do Ministério da Justiça, isso fica registado em múltiplos pontos da cadeia. A internet nunca foi anónima por defeito.

Há ainda um aspeto frequentemente ignorado. Raramente estes casos envolvem apenas aplicações de mensagens. Normalmente existem acessos a sites, serviços web e plataformas de alojamento de ficheiros. Esses acessos deixam rasto completo. No caso concreto, o assessor acumulou vários discos com conteúdos ilegais, o que torna altamente improvável que tudo tenha sido obtido apenas através de Signal ou Telegram.

É também praticamente certo que houve correlação de eventos. Um serviço estrangeiro deteta atividade criminosa, regista o IP de origem e associa-o a uma entidade institucional portuguesa, dando início à cooperação internacional normal entre autoridades.

Por fim, importa recordar que muitas organizações públicas concentram o tráfego de saída em poucos endereços IP. Isso torna os acessos mais identificáveis, não mais seguros. No caso do Ministério da Justiça, não há indícios da existência de filtragem básica de conteúdos, algo que já tinha sido proposto e que continua por implementar.

Dito de forma directa: usar uma app encriptada não é o mesmo que ser invisível.