Reupke: Brasil lidera roubo de Cookies – Um alerta para usuários e empresários

Denise de Araujo Berzin Reupke *- Em 2025, o Brasil lidera o ranking global de países com registro de roubo de cookies, superando economias digitais robustas como Índia e EUA. São 7 bilhões de registros comprometidos e 550 milhões de cookies ainda ativos nas mãos de criminosos, segundo levantamento da NordVPN. Este cenário expõe falhas sistêmicas em nossa cultura de segurança cibernética e uma combinação de fatores e responsabilidades no ecossistema digital. Essa combinação inclui a ação dos cibercriminosos, a vulnerabilidade e a falta de conscientização dos usuários, e a responsabilidade das empresas pela proteção dos dados pessoais.

Diante desses números bilionários, enfrentamos uma crise que configura violação massiva de dados pessoais, afetando milhões de brasileiros e empresas. A pesquisa evidencia um aspecto crítico e frequentemente subestimado tanto pelas organizações que tratam dados quanto pelos próprios usuários, qual seja, o de que cookies vão além da função de simples “arquivos de navegação”.

Uma vez instalados no dispositivo do usuário, um arquivo de cookies permite, dentre outras finalidades, o funcionamento de um website, o fornecimento dos serviços, a análise de desempenho, a exibição de anúncios. No entanto, esses registros digitais armazenam dados pessoais e dados pessoais sensíveis, como nomes completos, data de nascimento, e-mails, telefone, cartão, gênero, orientação, IDs, login, senha, endereços físicos e dados de localização. Eles se transformam em autênticas “chaves mestras” para acessos criminosos.

Ainda sobre os números da pesquisa, o crescimento de 250% nos vazamentos brasileiros em um ano comprova que empresas e usuários ainda não internalizaram a magnitude dessa ameaça. Cada cookie comprometido configura potencial incidente de segurança nos termos da Lei nº 13.709/201 – Lei Geral de Proteção de Dados Pessoais (LGPD) para os agentes de tratamento. Já para os usuários, titulares de dados a luz da LGPD, representa a porta de entregada para violações que afetam diretamente a vida pessoal e financeira.

O interesse dos cibercriminosos pelos cookies está no volume e na qualidade dos dados que as empresas armazenam. Soma-se a isso a falta de adoção de boas práticas de segurança e na baixa conscientização por parte dos usuários, que acabam permitindo a instalação de malwares em seus dispositivos. Esta vasta superfície de ataque, impulsionada pelo crescimento do e-commerce, aplicativos móveis e a complexidade das cadeias de suprimentos digitais, cria inúmeros pontos de entrada potenciais.

Uma vez roubadas, essas informações são utilizadas para abrir contas bancárias, contrair empréstimos ou realizar compras em nome da vítima. Também permitem fraudes financeiras personalizadas, roubo de acesso a mídias sociais, personificação do usuário para outras atividades criminosas, além de chantagem, extorsão digital e exposição a riscos físicos com a violação de dados de localização.

Diante dessa realidade alarmante, é fundamental que os usuários adotem medidas de proteção essenciais:

• Limpar regularmente cookies e históricos de navegação.

• Utilizar navegação privada em caso de transações sensíveis.

• Configurar navegadores para bloquear cookies de terceiros.

• Ativar a autenticação de dois fatores sempre que houver essa opção.

• Utilizar senhas únicas e complexas.

• Sempre que possível, aceitar apenas os cookies estritamente necessários, geralmente configuráveis no gerenciamento de cookies das plataformas.

Embora a pesquisa não aponte para a responsabilidade direta das plataformas por estes vazamentos, no contexto mais amplo da proteção de dados, as empresas que coletam e tratam esses dados têm a responsabilidade legal de protegê-los. Se os cookies são roubados dos dispositivos dos usuários que acessam seus serviços, esses roubos poderiam ter sido mitigados por medidas de segurança mais robustas.

Isso inclui a exigência de autenticação multifator (MFA), a educação dos usuários, ou a implementação de tecnologias como Endpoint Detection and Response (EDR) em ambientes corporativos. Diante do número alarmante, evidencia-se a falha no dever de segurança e na gestão de riscos por parte dessas empresas, transformando seus ambientes em alvos preferenciais para malwares sofisticados como os mencionados na pesquisa.

A resposta empresarial brasileira deve ser imediata e estruturada, atendendo às exigências da Lei Geral de Proteção de Dados Pessoais (LGPD). É imperativo implementar políticas rigorosas de gestão de cookies e sessões, com documentação adequada, incluindo sistemas de detecção de anomalias comportamentais. O descumprimento dessas obrigações pode sujeitar as organizações a sanções administrativas, incluindo multas que podem alcançar 2% do faturamento ou até R$ 50 milhões, além de responsabilização civil por danos individuais, coletivos ou difusos.

Em resumo, embora as empresas não sejam diretamente hackeadas em seus servidores centrais para o roubo de cookies de sessão, elas têm a responsabilidade de implementar medidas que mitiguem o risco de seus usuários serem comprometidos e de seus dados pessoais serem roubados.

A liderança do Brasil nesse ranking negativo deve servir como alerta vermelho. Reverter este cenário depende de uma ação conjunta de combate aos cibercriminosos pelas autoridades, a conscientização e adoção de medidas de proteção pelos usuários e o cumprimento da responsabilidade das empresas na proteção de dados. O investimento contínuo em segurança cibernética, tanto por parte do setor privado quanto do governo, tornou-se um imperativo legal e uma questão de conformidade. Afinal, um único cookie vazado pode gerar passivos judiciais milionários, destruir décadas de credibilidade e comprometer milhares de titulares de dados pessoais.

* Denise de Araujo Berzin Reupke, advogada no L.O. Baptista especialista em Direito Digital

O post Reupke: Brasil lidera roubo de Cookies – Um alerta para usuários e empresários apareceu primeiro em TeleSíntese.