Como o Ámbito foi hackeado: O que é defacement e tudo o que sabemos sobre o ataque

O ataque ao site do jornal Ámbito trouxe mais uma vez à tona um tipo de hacking cada vez mais comum em veículos de comunicação, órgãos públicos e plataformas digitais: o defacement , uma técnica que não tem como objetivo roubar informações ou obter lucro financeiro, mas sim modificar o conteúdo visível de uma página para deixar uma mensagem .

O incidente ocorreu na manhã de sexta-feira, dias após o Supremo Tribunal Federal (STF) ter mantido a condenação de Cristina Kirchner por corrupção no caso Rodovias.

Por um breve período, a página inicial do site especializado em economia e negócios foi completamente alterada: fotos de caveiras, mensagens contra o ex-presidente e slogans como "#CFKPRESA" e "#CFKCHORRA" dominaram as manchetes de vários artigos. Tudo isso assinado por um grupo que se identificava como @gov.eth , um nome já conhecido no cenário do ciberativismo argentino.

O jornal confirmou que o ataque foi de defacement , um método que envolve acessar o painel de administração do site e substituir seu conteúdo original por outros textos, imagens ou vídeos. "Isso modificou enormemente o conteúdo", explicou em um comunicado oficial, no qual também pediu desculpas aos leitores e anunciantes.

O nome @gov.eth não é novo. Nos últimos meses, este usuário assumiu a responsabilidade por hackear vários sites de notícias, como Perfil.com e La Unión Digital de Catamarca, bem como o site oficial do governo argentino , argentina.gob.ar , no final de 2024.

Em entrevista ao Clarín , um dos agressores se identificou com esse pseudônimo e afirmou não haver motivação política por trás de suas ações. "Éramos dois jovens entediados e conseguimos fazer isso", disse ele na época, explicando que trabalha com marketing digital, mas realiza esses ataques "como um hobby".

Segundo seu depoimento, em alguns dos ataques anteriores, eles conseguiram entrar no sistema usando credenciais vazadas nas próprias páginas de teste do governo. Como os servidores não tinham autenticação de dois fatores habilitada, bastava digitar um nome de usuário e uma senha para acessar o backend , o painel que gerencia o conteúdo do site.

Embora a natureza exata da violação neste último ataque ainda não tenha sido confirmada, a própria Ámbito reconheceu que os invasores acessaram a lista de nomes de usuário e senhas , permitindo-lhes modificar o conteúdo em massa. Tudo aponta, como em casos anteriores, para um possível vazamento de credenciais ou uma falha nas medidas básicas de segurança do sistema .

O exemplo mais ilustrativo é o ataque ao argentina.gob.ar em dezembro passado. Os invasores revelaram que o servidor não possuía autenticação de segundo fator (também conhecida como 2FA ou MFA), uma medida que permite que a identidade do usuário seja verificada com um código adicional — enviado para um celular, aplicativo ou por biometria — e que atua como uma barreira de segurança adicional .

"Acessamos o site usando uma credencial vazada que obtivemos de um site de teste do governo e usamos o mesmo login para acessar o backend de argentina.gob.ar", explicou o gov.eth na época. A partir daí, eles escalaram as permissões e assumiram o controle do sistema.

Ao contrário de outros ataques cibernéticos mais complexos ou com motivação financeira, a desfiguração é uma forma de "vandalismo digital". O objetivo é alterar a aparência de um site para transmitir uma mensagem, deixar uma marca ou simplesmente demonstrar que é possível. Geralmente, nenhuma informação é roubada ou malware é instalado , embora isso não signifique que não represente um risco.

A técnica envolve acessar o painel de controle do site — por meio de uma vulnerabilidade, uma senha fraca ou uma credencial vazada — e substituir seu conteúdo por outro . Pode incluir imagens, mensagens políticas , vídeos, ameaças ou zombarias. Em muitos casos, como este, uma caveira é usada como assinatura, acompanhada de hashtags e links para canais do Telegram ou outras redes.

O termo vem da palavra inglesa " deface " e se refere à alteração da "face" de um site . Embora seja menos sofisticado do que outros ataques cibernéticos, ele pode ter um impacto público significativo, especialmente se afetar veículos de comunicação ou sites oficiais.

Além das intenções do invasor, o episódio destaca os riscos de não implementar medidas básicas de segurança cibernética . Usar senhas fortes e únicas, ativar a autenticação de dois fatores e atualizar constantemente os softwares são recursos essenciais para prevenir esses tipos de invasões.