No dia 27 de setembro a Securities and Exchange Comission (SEC), órgão regulador do mercado norte-americano, promoveu ação cível em face de Robert B. Westbrook, cidadão britânico, acusando-o de utilizar informações relevantes privilegiadas em negociação no mercado, obtidas por meio de invasão ao sistema cibernético de 5 companhias abertas estadunidenses. Westbrook teria auferido um lucro de aproximadamente US$ 3,75 milhões.
De acordo com a SEC, o britânico teve acesso aos sistemas computacionais das companhias de forma fraudulenta da seguinte forma:
- primeiro, redefinia a senha de acesso dos executivos aos sistemas das companhias;
- depois, com o nome do executivo e a nova senha definida, acessava os sistemas computacionais das companhias hackeadas, em especial os e-mails desses executivos, que continham informações privilegiadas sobre dados econômico-financeiros pendentes de divulgação;
- em seguida, configurava (ou tentava configurar) o redirecionamento dos e-mails recebidos por esses executivos para um endereço de e-mail anônimo que acessava para continuar obtendo mais informações relevantes não públicas;
- assim, com base nas informações obtidas e antes das respectivas divulgações, negociava com os valores mobiliários das companhias hackeadas; e
- por fim, geralmente liquidava suas posições logo após a publicação das informações financeiras, auferindo lucros expressivos.
A SEC relata em sua petição inicial que as condutas de Westbrook chamaram a atenção das autoridades devido aos elevados volumes negociados e nível de risco de suas transações com derivativos, combinados com os subsequentes acertos e lucro nas negociações dos valores mobiliários com uma precisão temporal suspeita, o que poderia indicar conduta fraudulenta. A investigação utilizou estratégias avançadas de tecnologia para desvendar códigos criptografados e seguir o rastro que suas manobras cibernéticas deixaram.
O esquema perpetrado por Westbrook, conhecido como “hack-to-trade”, também utilizava serviços de VPN, preenchimento automático de Captcha, uso de mais de 50 endereços de e-mail, ferramentas de teste de vulnerabilidade de sistemas, e serviços de empresas para fornecer dados pessoais e familiares dos executivos que tiveram suas contas hackeadas, o que permitia a adivinhação das perguntas de segurança para redefinição de senhas.
Cada vez mais têm sido comuns os ataques cibernéticos a companhias abertas, o que desperta a relevância de se reforçar a política de segurança das informações. Nesse sentido, a Superintendência de Relações com Empresas da Comissão de Valores Mobiliários (CVM) recomenda que as companhias elaborem, divulguem e observem políticas formais para gerenciar os riscos aos quais estão expostas, o que inclui os riscos cibernéticos1.
1- Cf. item 13.3 do Ofício Circular/Anual-2024-CVM/SEP, de 07 de março de 2024.