Um relatório recente do grupo de investigação Citizen Lab colocou o foco numa ferramenta pouco conhecida fora dos círculos de segurança: um sistema de vigilância global baseado em dados publicitários que permite triangular a localização e os movimentos de dispositivos móveis em larga escala. Segundo essa pesquisa, a tecnologia, conhecida como Webloc, foi criada pela israelense Cobwebs Technologies e hoje faz parte do catálogo da empresa Penlink após a fusão anunciada em 2023. O relevante não é apenas a capacidade técnica, mas quem a está usando e com que controles (ou sem eles). Você pode consultar o trabalho do Citizen Lab em seu site para mais contexto: citizenlab.ca.
Em essência, a Webloc explora as pegadas que deixamos ao usar aplicativos móveis e serviços publicitários: identificadores de publicidade, coordenadas geo-localizadas, endereços IP e outros metadados que muitos SDKs e redes de anúncios recolhem e vendem. Com esses ingredientes, a ferramenta reconstrue rotas, padrões de vida e afinidades durante períodos que, segundo a documentação comercial, podem abranger anos. O resultado é uma camada de inteligência que conecta o digital com o físico e permite seguir pessoas sem necessidade de acessar diretamente o operador da rede móvel.
O relatório do Citizen Lab e relatórios jornalísticos identificaram clientes governamentais e policiais que adquiriram acesso a este tipo de capacidades. Entre eles figuram agências norte-americanas e departamentos de polícia de diferentes cidades, além de forças internacionais. A possibilidade de consultar e automatizar pesquisas sobre milhões de identificadores diferentes levanta uma questão óbvia: que garantia existe de que essas consultas são feitas com ordem judicial ou supervisão adequada? Meios como Forbes organizações locais como Texas Observer e espaços especializados em investigação tecnológica têm documentado como essas ferramentas podem ser usadas sem a intervenção dos tribunais.
A tecnologia em questão nasceu como produto comercial: Cobwebs a apresentou publicamente como uma plataforma de inteligência de localização que combina dados web e pontos geoespaciais para oferecer “mapas interativas” e camadas analíticas. Após o acordo com Penlink, a oferta se integrou dentro de um ecossistema de software que, segundo a própria empresa, se orienta à coleta e análise de evidências digitais para casos de segurança. No site oficial de Penlink há informações sobre sua carteira de produtos e declarações corporativas: penlink.com. A empresa respondeu publicamente às conclusões do relatório, indicando que algumas interpretações são inexactas e sublinhando a sua conformidade com as leis de privacidade dos EUA.
Além da compra e agregação de dados de terceiros, Webloc incorpora técnicas para inferir localizações a partir de endereços IP e para associar dispositivos com domicílios ou locais de trabalho, o que facilita a identificação das pessoas por trás dos móveis. Este tipo de métodos não é novo: numerosas reportagens explicaram durante anos como os dados de localização comercializados por intermediários permitem reconstruir movimentos e hábitos com um detalhe que surpreende aqueles que não estão familiarizados com o negócio do dado. Uma abordagem jornalística recomendável sobre o ecossistema de coleta de localização pode ser encontrada no artigo do New York Times sobre o tema: Your Apps Know Where You Were Last Night, and They're Not Keeping It Secret.
A trajetória corporativa dos fornecedores também desperta preocupações. Cobwebs foi apontado tempo atrás em movimentos de moderação de plataformas: Meta incluiu a empresa entre sete fornecedores que bloqueou em dezembro de 2021 por operar contas destinadas a coleta e manipulação de informação. A própria nota de Meta explicava que essas operações haviam servido para vigilância e coleta de informações sobre comunidades, ativistas e figuras públicas em diferentes países; o comunicado oficial pode ser consultado aqui: about.fb.com.
Outro aspecto do relatório é a infra-estrutura técnica: centenas de servidores ligados à implantação do produto em vários países foram detectados com uma concentração notável nos Estados Unidos e presença na Europa, Ásia e outras regiões. Isto sugere que, embora a tecnologia seja comercializada de uma determinada origem, a sua pegada operacional é global. Do ponto de vista legal, a dispersão geográfica de servidores e fornecedores de dados complica a rastreabilidade e o controlo jurisdicional sobre usos potencialmente invasivos.
Diante deste panorama, as críticas centram-se em dois eixos: a capacidade técnica para acompanhar massiva e retroactivo, e a ausência de quadros sólidos de supervisão que garantam que essas capacidades são utilizadas com limites claros. Para organizações como o Citizen Lab, a combinação destes fatores equivale a uma forma de vigilância intrusiva que, em muitos casos, é exercida sem as garantias processuais habituais. O próprio relatório e os artigos de investigação que o acompanham insistem na necessidade de mais transparência por parte de fornecedores e compradores, e em mecanismos de responsabilização para as agências que contratam esses serviços.
As implicações civis são sérias: desde a erosão da privacidade individual até riscos concretos para ativistas, jornalistas e opositores políticos em contextos onde as instituições não protegem direitos básicos. Ao mesmo tempo, as forças da ordem argumentam que ferramentas sofisticadas de inteligência geoespacial podem ser úteis em pesquisas criminosas complexas. O dilema é, portanto, como equilibrar segurança e direitos. A discussão pública e legislativa sobre acesso e controlo de dados de localização continua a avançar, mas mais lentamente do que a adopção tecnológica.
Como jornalistas e cidadãos devem ser monitorizados três frentes: que empresas comercializam capacidades de acompanhamento, quem são seus clientes e sob que regras operam, e quais mecanismos de supervisão e transparência existem para auditar utilizações e abusos. Os desenvolvimentos recentes mostram que o comércio de dados publicitários já não é um problema abstrato para especialistas: adquiriu a capacidade técnica de converter pistas comerciais em ferramentas de vigilância em larga escala, com consequências palpáveis para direitos e liberdades.
Se você quer aprofundar, além da pesquisa do Citizen Lab, a cobertura jornalística e as notas das próprias empresas são pontos de partida úteis. Os debates sobre a regulamentação e o controlo de dados pessoais serão intensificados nos próximos anos; enquanto tal, é conveniente exigir clareza sobre como e porque são utilizadas estas tecnologias, especialmente quando a sua utilização pode afectar pessoas inocentes que nunca estiveram sob suspeita.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...