A Rússia está avançando com uma legislação que exigirá que todos os operadores móveis utilizem um algoritmo de criptografia desenvolvido internamente, o NEA-7, para a rede 5G do país. Se aprovado, o projeto de lei determinará que todos os telefones vendidos na Rússia deverão suportar o NEA-7 para se conectarem às redes móveis. Algoritmos estrangeiros, como SNOW (Europa), AES (EUA) e ZUC (China), terão suporte apenas até 2032, como parte de uma fase transitória para permitir que os smartphones atuais atinjam o fim de sua vida útil.
O projeto, que está em sua segunda minuta, faz parte de um conjunto mais amplo de medidas destinadas a dificultar as operações de drones e mísseis ucranianos, que utilizaram cartões SIM russos para se conectar a torres móveis, determinar sua localização e se guiar para alvos. No entanto, o uso de um algoritmo de criptografia personalizado para o tráfego 5G não impedirá o lado ucraniano de usar a rede móvel russa, já que sempre poderá recorrer a protocolos mais antigos, como LTE e 3G.
Implicações Técnicas e de Mercado
A medida é vista como uma flexibilização legislativa “patriótica”, mas enfrenta desafios práticos significativos. A Rússia representa apenas 2% das vendas anuais de smartphones no mercado global, tornando possível que a maioria dos fabricantes ignore a implementação do NEA-7 em seus chipsets. Além disso, não existe atualmente nenhum equipamento de torre base que suporte o algoritmo, o que pode atrasar em anos a implantação da rede 5G russa.
O veículo de notícias russo Izvestia alerta que o NEA-7 pode ser usado como um cavalo de Troia por fabricantes estrangeiros para solicitar uma posição de mercado favorável ou um monopólio em troca da adição do algoritmo ao seu firmware. Do lado ucraniano, a resposta provavelmente será semelhante à implantação do aplicativo MAX na Rússia, onde os serviços de inteligência ucranianos exploraram uma aplicação móvel considerada insegura.
Riscos de Segurança e Oportunidades de Exploração
A implantação de um algoritmo de criptografia não testado e amplamente desconhecido para toda uma futura rede móvel representa um risco significativo. A newsletter Risky Business destaca que isso pode criar uma grande oportunidade para operações de hackeamento e vigilância para aqueles com conhecimento em criptografia, como os serviços de inteligência. A falta de escrutínio público e de testes rigorosos em um algoritmo proprietário pode esconder vulnerabilidades que podem ser exploradas por atores mal-intencionados.
“Rolling out an untested and largely unknown encryption algorithm for your entire future mobile network may be a major opportunity for hacks and surveillance operations if you know your way around encryption, and intelligence services usually do.”
Contexto Mais Amplo de Incidentes Cibernéticos
O boletim também relata uma série de outros incidentes de segurança relevantes, incluindo:
- Malware no governo de Luxemburgo: Hackers violaram a plataforma MDM do governo e implantaram malware em mais de 4.850 telefones e tablets de funcionários do setor público no final de fevereiro.
- Violação da Polícia Holandesa: Um funcionário caiu em um ataque de phishing, levando a uma investigação interna sobre o acesso obtido pelo invasor.
- Implante de hardware em fábrica de drones ucraniana: Serviços de inteligência russos instalaram um dispositivo de escuta embutido em um termostato em uma fábrica de drones, equipado com câmera, microfone e roteador. A fabricante TechEx, alertada pela inteligência ucraniana, colaborou com o SBU para compartilhar informações incorretas.
- Campanha de phishing no GitHub: Um ator de ameaça abriu mais de 2.000 discussões no GitHub sobre falsos alertas de segurança do Visual Studio Code, marcando milhares de usuários em uma tentativa de engenharia social.
Conclusão
A iniciativa russa de impor um algoritmo de criptografia doméstico para o 5G é um movimento geopolítico e técnico complexo. Embora tenha como objetivo declarado aumentar a soberania e a segurança, ele introduz riscos operacionais significativos, possíveis atrasos tecnológicos e novas superfícies de ataque. A eficácia real dessa medida na prevenção do uso hostil de suas redes móveis é questionável, enquanto os riscos de segurança associados a um padrão criptográfico fechado e não testado publicamente são substanciais. A situação serve como um lembrete de como considerações de segurança nacional podem colidir com as realidades técnicas e de mercado global.
Análise baseada no Risky Bulletin de 27 de março de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário