Guerra virtual: como o Irã pode atacar sem disparar um míssil

Quando servi na CISA (Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos), jamais tratamos o “lá fora” e o “aqui dentro” como mapas distintos. No ciberespaço, o mapa é um ambiente contínuo, sem barreiras físicas ou geográficas. Se os EUA atingem duramente um regime no exterior, esse regime tende a buscar a forma mais rápida de retaliar — sem precisar nos enfrentar tanque contra tanque ou avião contra avião. Para o Irã, esse atalho é bem conhecido: interrupção de serviços, negação de autoria e impacto psicológico por meio das redes das quais os americanos dependem diariamente. A Operação Fúria Épica teve início nas primeiras horas de sábado (28), por determinação do presidente Donald Trump, com forças americanas e parceiros internacionais atingindo alvos iranianos destinados a reduzir ameaças iminentes contra o país, suas tropas e seus aliados. Entre os alvos estavam instalações de comando e controle do Corpo da Guarda Revolucionária Islâmica — principal força militar ideológica do regime iraniano —, sistemas de defesa aérea e infraestrutura de lançamento de mísseis e drones. A Casa Branca classificou a ação como um esforço decisivo para neutralizar a ameaça nuclear e degradar a capacidade do regime de projetar violência por meio de mísseis, grupos aliados e forças marítimas. Esse objetivo é central e precisa ser alcançado. Mas êxito estratégico no exterior não se traduz automaticamente em segurança interna. A Fúria Épica eleva a probabilidade de o Irã tentar impor custos ao território americano no único domínio em que a distância não importa: o cibernético. A boa notícia é que não precisamos adivinhar como o Irã pode agir. O manual já é conhecido — e grande parte dele explora fragilidades básicas e evitáveis. Em relatório conjunto, a CISA, o FBI, a NSA (Agência de Segurança Nacional) e o Centro de Cibercrime do Departamento de Defesa alertaram que agentes cibernéticos iranianos podem mirar redes nos EUA para operações de curto prazo. Empresas da chamada Base Industrial de Defesa — conjunto de companhias que fornecem tecnologia e serviços estratégicos às Forças Armadas — enfrentam risco elevado, especialmente aquelas com vínculos com organizações de pesquisa e defesa israelenses. O mesmo alerta detalha métodos recorrentes: exploração de sistemas expostos à internet sem atualizações de segurança e uso de senhas padrão ou excessivamente simples, inclusive com testes automatizados para adivinhar combinações. A vantagem do Irã não é necessariamente a sofisticação técnica: é o alcance. Grupos vinculados ao regime realizam varreduras constantes em busca de “portas destrancadas”. Um dos exemplos mais claros envolve a chamada tecnologia operacional (OT) — sistemas de controle industrial responsáveis por manter a água potável tratada, a rede elétrica estável e as linhas de produção em funcionamento. O relatório conjunto documenta uma campanha ocorrida entre novembro de 2023 e janeiro de 2024, na qual agentes ligados à Guarda Revolucionária buscavam controladores lógicos programáveis expostos à internet. Dezenas de vítimas nos EUA, nos setores de saneamento, energia, alimentos, bebidas e saúde pública, foram atingidas. O vetor de acesso foi, novamente, elementar: sistemas conectados à rede pública protegidos por senhas de fábrica ou, em alguns casos, sem senha alguma. Também há precedentes de ações disruptivas voltadas à pressão pública. Em 2016, o Departamento de Justiça anunciou acusações contra iranianos ligados à Guarda Revolucionária por uma campanha coordenada de ataques de negação de serviço (DDoS, na sigla em inglês), que sobrecarregam sistemas até tirá-los do ar, contra instituições financeiras, além do acesso não autorizado aos sistemas de controle de uma represa no estado de Nova York. O caso já tem uma década, mas sua lição permanece atual: o Irã não precisa de uma força cibernética impecável para produzir efeitos concretos. Precisa apenas de alvos acessíveis e de líderes convencidos de que “isso não acontecerá aqui”. Em momentos de crise, o regime também tende a transformar o ciberespaço em palco de propaganda e intimidação. O alerta conjunto registra aumento de “pichações digitais” ( defacements , quando sites são alterados para exibir mensagens políticas) e vazamentos de dados por agentes pró-Irã, além da probabilidade de novos ataques de negação de serviço em períodos de tensão. Soma-se a isso o risco de ransomware — sequestro de dados mediante exigência de pagamento — e de chantagens com divulgação de informações. O objetivo não é apenas causar indisponibilidade temporária de sistemas. É instalar a dúvida: fazer com que cidadãos questionem se os serviços essenciais de que dependem continuarão disponíveis no dia seguinte. O que fazer diante disso? Não faltam slogans . Falta execução. Se você administra um hospital, uma concessionária de serviços públicos, um governo local, um porto ou uma fábrica, há um conjunto de medidas imediatas capazes de reduzir as opções mais prováveis de ataque: O governo federal americano também tem responsabilidade. É preciso priorizar prontidão mensurável, e não ampliar a burocracia. O Senado deve confirmar com rapidez o diretor da CISA, garantindo autoridade clara e responsabilização. A agência deve utilizar seus instrumentos legais para impulsionar ações urgentes em setores de infraestrutura crítica e reforçar a proteção da Base Industrial de Defesa. A Fúria Épica busca reduzir uma ameaça grave no exterior. O front cibernético é a via mais provável de o Irã tentar transferir custos e insegurança para civis e serviços essenciais dentro dos EUA. É possível amortecer esse golpe — mas apenas se deixarmos de oferecer vitórias fáceis a adversários determinados. No ciberespaço, a pátria não é protegida pela distância. É protegida pela disciplina. Bridget E. Bean é pesquisadora visitante na Heritage Foundation, centro de estudos conservador sediado em Washington. Anteriormente, ocupou cargos de liderança no governo federal dos EUA, com passagens pela CISA (Agência de Segurança de Infraestrutura e Cibersegurança), pela FEMA (Agência Federal de Gestão de Emergências) e pela SBA (Administração de Pequenos Negócios). ©2026 The Daily Signal. Publicado com permissão. Original em inglês: Epic Fury Abroad, Cyber Blowback at Home: Don’t Let Iran Retaliate Through Our Networks