Apesar de o conceito de hacker ser já muito divulgado na ficção e agora nas notícias, por vezes erroneamente mesclado com o da pirataria informática, é importante esclarecer que se trata de alguém com conhecimentos de computação e/ou programação que consegue infiltrar-se em sistemas informáticos. André Baptista, eleito como Most Valuable Hacker na H1-202 – a maior competição de hackers do mundo –, ainda hoje procura «desmistificar o conceito da palavra hacker, que tem uma conotação tipicamente negativa». Com isso em mente, co-fundou com o amigo Jorge Monteiro a Ethiack, uma startup que testa a segurança dos sistemas informáticos de empresas e organizações e que tem vindo a destacar-se globalmente.

A partir do Instituto Pedro Nunes (IPN), a Ethiack desenvolve uma plataforma SaaS (Software as a Service) de cibersegurança que ajuda a prevenir ciberataques através do que designa por autonomous ethical hacking. «Não deveríamos ter de acrescentar ethical, mas realmente o hacking é visto como negativo no mercado e na comunidade», quando, destaca o CEO Jorge Monteiro, a empresa atesta a existência de hackers éticos, os «que estão do lado bom da força e querem ajudar as organizações» a defenderem-se do cibercrime.

A referência à mitologia da saga Guerra das Estrelas ecoa também nas palavras de André Baptista, CTO (director de tecnologia), na altura de explicar o trabalho da Ethiack. «Enveredamos pelo ético porque existem os crackers, os que estão do lado negro da força e que tentam prejudicar as pessoas singulares e colectivas». Já o adjectivo autónomo deriva da independência presente na definição de hacker como «um indivíduo criativo, que torna o impossível possível».

O hacking criativo tem vindo a realçar o estatuto profissional da Ethiack, recentemente distinguida enquanto «startup mais promissora» do Road 2 Web Summit e também escolhida para representar Portugal na categoria de Business & Commerce dos próximos World Summit Awards, em Abril de 2024.

O ataque como melhor defesa

O trabalho da empresa assenta num mapear digital das infra-estruturas informáticas que analisam, de modo a concluir que activos estão mais vulneráveis a ciberataques danosos. «No fundo, colocamo-nos na posição de um atacante que vai descobrir as vulnerabilidades presentes num sistema, mas geralmente invisíveis, com o intuito de as reportar à organização para que as corrija o mais depressa possível», explica-nos Baptista. É, esclarece, uma segurança ofensiva, distinta das tarefas de um típico scanner de vírus informático (antivirus, firewalls, etc.) que a maioria das pessoas usa nos computadores.

«O nosso produto não é tanto para o cidadão em si, porque esse vai ter uma pegada digital pequena em termos de tecnologia, mas para as organizações que estão de facto muito expostas. O nosso produto é melhor quanto maior for a superfície de ataque digital que vai analisar.»

Jorge Monteiro, CEO da Ethiack

«A cibersegurança acaba por se dividir em dois lados: o da defesa e o do ataque», acrescenta Monteiro, ao comparar o sistema informático a um edifício onde as organizações e os cidadãos instalam alarmes para se defenderem, ficando depois a monitorizar as entradas. «Se houver alguma tentativa de ataque por uma porta ou janela vão procurar bloquear ou responder a esse ataque, mas já depois do mesmo acontecer», ilustra. A defesa é reactiva. Já a Ethiack encontra-se «do lado do ataque, que é o lado real da prevenção». «Se conseguimos entrar no edifício quer dizer que há ali uma janela ou porta aberta, a qual assinalamos para que as organizações consigam fechar antes que haja um ataque», diferencia.

Os dois fundadores Ethiack nasceram em São Martinho do Bispo e são amigos inseparáveis desde a infância. Acabaram por trilhar vias distintas no ensino superior, com Jorge Monteiro a enveredar por engenharia aeroespacial, enquanto André Baptista se voltava para as áreas dos sistemas de informação e ciências computacionais. Após os estudos, os tópicos de conversa entre os dois amigos revolveram-se irremediavelmente em torno das questões da cibersegurança e da crescente ameaça dos ciberataques.

«Durante a pandemia, começámos a fazer alguns serviços de hacking e de infiltração a certas organizações e percebemos que o maior problema advinha da indústria estar ainda muito focada em serviços insuficientes para prevenir ciberataques», revela Monteiro. Foram essas investidas – devidamente autorizadas pelos clientes aos quais reportam – que levaram à criação da Ethiack, em Março de 2022.

Um ano depois, já com o produto desenvolvido, surgiram no mercado com uma equipa de «duas pessoas, com uma terceira a ajudar bastante». Hoje somam cerca de 10 colaboradores, que acabam por criar um dos produtos mais sonantes da Ethiack: os artiackers ou hackers artificiais. São módulos preparados a partir de inteligência artificial, focados em certas sectores ou campos de tecnologias, que as empresas podem usar para identificar vulnerabilidades nos sistemas – um chama-se Cosmo e é um projecto da Agência Espacial Europeia, «muito focado em tecnologia espacial».

A missão da Ethiack é detectar essas vulnerabilidades o mais rápida e eficazmente possível, mas, ressalva Baptista, não as corrige uma vez que «as empresas, normalmente, têm os recursos ou podem subcontratar outras entidades» para o fazer.

«Hoje em dia existe uma simbiose entre o físico e o digital, em que temos dados espalhados por aí que são extensões da nossa identidade. E, ao protegermos as empresas, acabamos por também proteger indiretamente as pessoas em si, salvaguardando os seus dados pessoais que se encontram nesses serviços.»

André Baptista, CTO da Ethiack

Embora a Ethiack seja apologista do trabalho remoto e tenha incubadoras noutras localidades do país, como o Porto, Monteiro realça que o escritório em Coimbra mostra-se essencial para atrair colaboradores. «Temos tido alguma facilidade em que as pessoas se desloquem para cá ou estejam cá, o que tem vindo a acontecer pelo facto de a malta estar a fugir da confusão das grandes cidades», diz.

Neste momento, a empresa está «proteger cerca de 15 mil ativos digitais, testando-os diariamente». Neste ano e meio de atividade, encontrou «mais de 35 mil vulnerabilidades, algumas muito impactantes para o nosso dia-a-dia». Apesar de a maioria dos clientes estar situada em Portugal, 30 a 40% da facturação é internacional, com contratos em países como Alemanha, Brasil ou Angola.

O alcance global tem-se reflectido na presença da empresa em eventos como o Cyberevolution ou o Luxembourg Internet Days, além do Web Summit e World Summit Awards. «É muito gratificante para nós levar o brasão de Coimbra lá para fora», diz André Baptista, contente por ver o projecto semeado no IPN a dar frutos.

Gostaram do que leram?
E repararam que não temos publicidade?

Para fazermos este trabalho e o disponibilizarmos de forma gratuita as leituras e partilhas são importantes e motivantes, mas o vosso apoio financeiro é essencial. Da mesma forma que compram um lanche ou um bilhete para um espectáculo, contribuam regularmente. Só assim conseguimos alcançar a nossa sustentabilidade financeira. Vejam aqui como fazer e ajudem-nos a continuar a fazer as perguntas necessárias, descobrir as histórias que interessam e dar-vos a informação útil que afine o olhar sobre Coimbra e envolva nos assuntos da comunidade.

Contamos convosco.