O que parece um gesto simples de manutenção técnica é agora uma recomendação de segurança nacional. A Agência de Segurança Nacional dos EUA (NSA, na sigla original), em coordenação com o FBI e agências de cibersegurança europeias, emitiu um alerta urgente: todos os utilizadores domésticos e de pequenos escritórios devem reiniciar os seus routers de internet pelo menos uma vez por semana.A medida visa combater uma campanha global de ciberespionagem levada a cabo pelo grupo APT28 (também conhecido como Fancy Bear), uma unidade de elite da espionagem militar russa (GRU). Este grupo tem estado a 'recrutar' silenciosamente routers em toda a Europa para criar uma infraestrutura de ataque que permite o roubo de dados bancários, credenciais de acesso e a monitorização de comunicações privadas.Embora o alerta tenha contornos globais, a Europa encontra-se numa posição de vulnerabilidade particular devido à saturação de marcas de hardware específicas. Relatórios técnicos recentes indicam que os atacantes estão a explorar ativamente falhas em dispositivos da TP-Link, uma das marcas mais vendidas no mercado europeu. Mas na realidade todos os routers estão em risco.Modelos antigos na miraAs agências de cibersegurança do Reino Unido (NCSC) e da União Europeia (ENISA) alertam que modelos mais antigos e populares, como o TP-Link WR841N, são os mais vulneráveis. Por serem aparelhos que raramente recebem atualizações automáticas, muitos utilizadores continuam a usar versões de software com anos de atraso, deixando a "porta aberta" para a espionagem estatal.A investigação detalha que os atacantes estão a tirar partido da vulnerabilidade CVE-2023-50224. Esta falha de segurança permite que hackers externos contornem a autenticação do router através de pedidos HTTP maliciosos, ganhando acesso total às configurações do aparelho.Uma vez dentro do sistema, o grupo Fancy Bear altera as definições de DNS. Na prática, isto significa que um utilizador em Portugal, ao tentar aceder ao seu e-mail ou portal bancário, pode ser redirecionado para uma página falsa sem qualquer aviso, permitindo o roubo imediato de credenciais.Ao comprometer os aparelhos, os agentes russos conseguem contornar firewalls tradicionais, uma vez que o tráfego malicioso parece originar-se de um endereço IP doméstico legítimo em cidades como Lisboa, Madrid ou Berlim.Porquê fazer um rebootA recomendação de reiniciar o equipamento não é um mito urbano. Grande parte do malware moderno utilizado em ataques de "zero-click" é não-persistente, o que significa que reside apenas na memória volátil (RAM) do router. Ao desligar e voltar a ligar o aparelho faz-se a limpeza de memória, pelo que o código malicioso que não conseguiu escrever-se no armazenamento permanente é eliminado, a interrupção de ciclos, quebrando assim a ligação ativa entre o router e o servidor de comando dos hackers, bem como a atualização de defesas: muitos equipamentos procuram atualizações de firmware críticas durante o processo de arranque.Proteger a rede em casaEspecialistas da ENISA (Agência da União Europeia para a Cibersegurança) reforçam que, além do reinício semanal, os utilizadores devem adotar três passos fundamentais:- Desativar a gestão remota, o que garante que o painel de controlo do router não é acessível a partir da internet pública.- Manter o firmware em dia: Fazer a verificação mensal se o fabricante lançou correções de segurança.- Substituir equipamento antigo (legacy): Routers com mais de 5 ou 6 anos que já não recebem atualizações devem ser substituídos, pois são portas abertas para intrusões.Esta "higiene digital" é hoje em dia considerada essencial num cenário de guerra híbrida, onde o router da casa se pode tornar, sem que o utilizador perceba, uma ferramenta de espionagem de um país adversário.