Não é verdade que urnas eletrônicas do TSE podem ser invadidas pela internet

É falso que as urnas eletrônicas usadas no Brasil hoje são conectadas à internet ao transmitir os votos para o TSE (Tribunal Superior Eleitoral) e que, neste momento, seria possível invadi-las, como afirmou o hacker Marcos Roberto da Silva em entrevista ao deputado Filipe Barros (PSL-PR), relator da PEC do Voto Impresso (PEC 135/2019). Em nenhum momento do processo eleitoral os equipamentos são ligados a redes externas.

Preso desde março sob suspeita de participação no vazamento de dados da Serasa, Silva também distorce fatos ao alegar que as urnas brasileiras teriam sido invadidas durante uma conferência hacker em 2017. Os modelos do TSE não foram usados no evento. Também não procede que a suposta invasão ao sistema do tribunal no ano passado tenha acessado dados de eleitores: foram vazados apenas dados administrativos de servidores.

Reproduções do vídeo com a entrevista e publicações que repercutem as informações enganosas ditas pelo hacker (veja aqui) acumulavam ao menos 6.000 compartilhamentos no Facebook até a tarde desta sexta-feira (23) e foram marcadas com o selo FALSO na ferramenta de verificação da plataforma ‌(‌saiba‌ ‌como‌ ‌funciona‌).

Geralmente, na hora da votação, ela [a urna eletrônica] é desligada [da internet]. Mas no automático, quando eles vão contar o voto, ela já é, sim, ligada e conectada à internet.

Não é verdade que as urnas eletrônicas em uso hoje no Brasil sejam conectadas à internet na hora de totalizar os votos. Isso não ocorre em nenhum momento da votação ou da apuração dos resultados. Os equipamentos nem mesmo têm placa de rede ou mecanismos que deem acesso a redes externas. Os dados tampouco saem da urna direto para o TSE.

Ao final da votação, são impressas cinco vias do boletim de urna com o resultado da votação naquele equipamento antes que os dados sejam transmitidos ao TSE. Depois, é retirado da urna o flash card, uma espécie de pendrive criptografado com os dados da votação e que traz duas assinaturas digitais, uma com algoritmo fornecido pela Abin (Agência Brasileira de Inteligência) e outra pelo algoritmo de domínio público.

Este flash card, então, tem sua autenticidade verificada no cartório da zona eleitoral e, uma vez que isso é confirmado, os dados contidos nele são transmitidos ao TRE (Tribunal Regional Eleitoral) por meio de uma rede privada que só pode ser acessada em equipamentos específicos localizados nos tribunais e nas zonas eleitorais.

Segundo o TSE, mesmo na hipótese de que alguém consiga acessar o sistema privado da Justiça Eleitoral, a totalização dos votos não poderia ser fraudada, já que não é possível modificar os dados impressos nos boletins de cada urna. Tampouco pode-se alterar os números registrados nos flash cards porque arquivos sem as devidas autenticações e chaves de segurança não são lidos pelo sistema da Justiça Eleitoral.

Há ainda uma etapa adicional de segurança para garantir que não houve manipulação durante a contagem dos votos. Os presidentes de cada seção eleitoral devem manter uma das cinco vias impressas do boletim da urna para, depois, conferir se os números coincidem com os divulgados na página do tribunal que compila os resultados.

Especialistas entrevistados por Aos Fatos e pelo projeto Comprova também explicaram, em checagem anterior, que este tipo de manipulação dos dados eleitorais seria impossível. Segundo Paulo Lício de Geus, representante da SBC (Sociedade Brasileira de Computação, tentativas de inserção de dados de votação falsos no sistema do TSE seriam rejeitadas por não terem assinatura e criptografia oficiais.

[Dados dos eleitores:] Nome, CPF, foto, RG, dados biométricos também. Consegui acesso a tudo isso [no suposto ataque hacker ao TSE em 2020].

Não é verdade que o suposto ataque hacker que resultou no vazamento de dados de funcionários do TSE no primeiro turno das eleições de 2020 também tenha conseguido acessar informações de eleitores, como afirma o hacker neste trecho da entrevista ao deputado. De acordo com o tribunal, "não houve qualquer vazamento de informações de eleitores, mas apenas de informações administrativas do tribunal''.

Em 15 de novembro de 2020, quando os dados foram divulgados nas redes sociais, o presidente do TSE, ministro Luís Roberto Barroso, disse que as informações vazadas sobre os servidores eram antigas e se referiam apenas ao período entre 2001 e 2010. Mais tarde, no entanto, a PF (Polícia Federal) confirmou que os hackers tiveram acesso a dados de 2020 dos funcionários públicos da corte. A análise aponta que a violação ocorreu no Portal do Servidor do tribunal, que não tem nenhuma relação com o processo eleitoral.

Ainda segundo a PF, a suspeita é que tenha havido dois ataques: um antes de 1º de setembro, que conseguiu acessar os dados dos servidores; e outro no dia do primeiro turno das eleições, com o intuito de derrubar o site do TSE. Esta tentativa foi neutralizada com sucesso pelos técnicos do tribunal.

Filipe Barros: 'Vendo quão fácil foi violar o sistema do TSE, você acredita que é impossível violar a situação do processo eleitoral?'
Marcos Silva: 'A minha base é que tudo que é conectado à internet é vulnerável. Nos EUA, numa conferência de hacker lá, chamada Defcon, já comprovaram a existência que existem, sim, falhas de cibersegurança nas urnas eletrônicas.'

Neste trecho da entrevista, o deputado Filipe Barros e o hacker Marcos Silva distorcem fatos sobre a invasão de urnas eletrônicas durante a conferência de tecnologia Defcon em 2017 nos EUA. Os modelos usados pelo TSE não foram utilizados no evento. As urnas atacadas no teste de segurança tinham mecanismos de rede ou portas de depuração na placa mãe, recursos que não são utilizados nos equipamentos brasileiros.

Peças de desinformação com alegações semelhantes foram checadas por Aos Fatos no início deste mês. As publicações usavam uma fala do cientista-chefe do ITS-Rio (Instituto de Tecnologia e Sociedade do Rio de Janeiro), Ronaldo Lemos, que mencionava a DefCon. O pesquisador, no entanto, explicou depois que os equipamentos testados nos EUA não eram os mesmos usados no Brasil.

Hacker. Marcos Roberto Silva foi preso pela PF em março deste ano no âmbito da Operação Deepwater por ter vazado 223 milhões de dados de brasileiros do sistema da Serasa. Ele também foi alvo de uma outra operação, deflagrada em novembro de 2020, para apurar os ataques ao TSE e foi denunciado por participação na invasão dos sistemas do Senado em agosto de 2020.

O deputado Filipe Barros (PSL-PR) explicou ao UOL que a entrevista foi realizada no dia 15 de julho no Presídio Professor Jacy de Assis, em Uberlândia (MG) e foi autorizada pela Secretaria Estadual de Segurança Pública de Minas Gerais

Outro lado. Aos Fatos entrou em contato com o gabinete de Barros na tarde de quarta-feira (21), mas não recebeu resposta até a publicação desta checagem. Ele atualmente é relator da PEC do Voto Impresso (PEC 135/2019) na Câmara.

O UOL Confere e o Estadão Verifica também desmentiram as alegações do vídeo.

Referências:

1. EBC
2. TSE (1, 2, 3, 4,
3. Aos Fatos (1 e 2)
4. Senado
5. G1 (1, 2, 3 e 4)
6. Folha de S.Paulo
7. UOL