Summary A noite em que Portugal ficou sem rede

Views

A noite em que Portugal ficou sem rede.

Cibersegurança · Fevereiro 2022

A noite em que
Portugal ficou sem rede

O ciberataque de 7 de fevereiro de 2022 à Vodafone Portugal não foi apenas o maior ataque à infraestrutura de telecomunicações do país. Foi um momento que revelou, de forma crua, o quanto dependemos de uma rede invisível — e como essa rede pode ser derrubada por quem souber onde atacar.

7 – 11 de fevereiro de 2022 · Ciberataques em Portugal · Leitura: ~22 min

4M Clientes afetados

4 Dias até recuperação base

21h Hora do incidente crítico

~30 Dias até normalização total

$2.5k Preço de venda do acesso

? Autores ainda por identificar

O que aconteceu

Na noite de 7 de fevereiro de 2022, pelas 21 horas, a rede móvel da Vodafone Portugal entrou em colapso. Não foi uma falha técnica normal, não foi uma tempestade que derrubou antenas — foi um ataque deliberado, cirúrgico, ao núcleo da infraestrutura da operadora. Em minutos, quase quatro milhões de clientes perderam comunicações móveis. Era uma segunda-feira como outra qualquer — até que deixou de ser.

O ataque visou especificamente o core da rede: os sistemas de baixo nível que suportam voz, SMS e dados móveis. O site da Vodafone ficou online. A faturação ficou online. A internet fixa continuou a funcionar. Mas tudo o que importava para comunicar por via móvel — silêncio total. No Downdetector, mais de 7.700 queixas foram registadas apenas na primeira hora.

Mário Vaz, CEO da Vodafone Portugal, qualificou o acontecimento como um "ato terrorista e criminoso" com um objetivo claro: tornar a rede completamente indisponível. Ao contrário da grande maioria dos ataques informáticos, não houve pedido de resgate, não houve roubo de dados de clientes, não houve reivindicação imediata. A destruição parecia ser o fim em si mesma.

Horas mais tarde, num comunicado publicado no LinkedIn, Mário Vaz acrescentava detalhes que revelavam a gravidade real do que acontecera: houve destruição intencional de vários elementos centrais das redes, incluindo os sistemas redundantes preparados para ativar em situações de falha. Os atacantes não destruíram apenas a rede — destruíram também os backups da rede. A atuação foi descrita como "cirúrgica", denotando "intenção de provocar um dano de grande profundidade e expressão".

Recriação ilustrativa do pico de queixas no Downdetector na noite de 7 de fevereiro de 2022. O gráfico real registou mais de 7.700 queixas na primeira hora após o incidente crítico das 21h00.

Hora a hora — como a noite se desenrolou

A sequência de eventos revela uma operação de recuperação que começou pelo mais primitivo e escalou até ao mais moderno — uma reconstrução literal da rede, geração a geração.

7 Fev · 21h00

Incidente crítico. Rede móvel cai. Voz, SMS e dados móveis interrompidos. Multibanco via 4G inoperacional. Bombeiros, INEM e hospitais afetados. Gabinete de crise ativado na sede da Vodafone, no Parque das Nações.

7 Fev · 22h00

Primeiro serviço recuperado: voz 2G, a geração mais antiga da rede móvel, para garantir comunicações de emergência básicas. Bombeiros e INEM passam a operar via rede SIRESP como alternativa. "Recuámos ao passado, à segunda geração móvel", recordaria depois Paulino Corrêa, Chief Network Officer.

7 Fev · 00h00

Dados 3G recuperados. Rede Multibanco começa a normalizar. Recuperação iniciada pela Região Autónoma da Madeira (infraestrutura mais isolada e mais rápida de restabelecer), estendendo-se ao continente durante a madrugada. Limites de velocidade impostos para distribuir capacidade equitativamente.

8 Fev · manhã

SMS ponto a ponto restabelecido. Mário Vaz convoca conferência de imprensa às 11h45 na sede da Vodafone. Início do processo de recuperação do 4G em zonas restritas, com limitações de velocidade. Hospitais ainda com dificuldades nas comunicações. A PJ confirma que está a investigar.

8 Fev · 18h40

Restabelecimento do 4G iniciado na sequência de uma "intensa e exigente operação de reposição". Arranque condicionado a zonas restritas, expandido gradualmente. Serviço OneNet (central telefónica virtual para empresas) suspenso para priorizar serviços básicos.

9 Fev

Foco total na recuperação da rede fixa de voz. Clientes empresariais continuam com graves limitações. A Polícia Judiciária — cuja rede fixa também foi afetada, incluindo o serviço de piquete — intensifica a investigação com parceiros internacionais.

10–11 Fev

Rede estabilizada. Voz móvel e fixa, dados e televisão operacionais. Foco final nos clientes empresariais e canais digitais (app My Vodafone). A Vodafone descreve a operação como equivalente a "comprimir uma década de evolução tecnológica em menos de 24 horas".

~Mar 2022

Normalização real. Cerca de um mês depois, a totalidade dos serviços de consumo e empresarial é efetivamente restabelecida. Reencaminhamentos de números, configurações empresariais, e centenas de ajustes manuais são concluídos por equipas invisíveis nos comunicados oficiais.

Quem foi afetado — e como

A magnitude do ataque só ficou evidente quando se percebeu que a Vodafone não sustentava apenas chamadas pessoais. Era a espinha dorsal de serviços críticos do país. A operadora fornecia fibra a 3,4 milhões de casas e empresas e tinha 4,7 milhões de clientes de telemóvel — quase metade da população portuguesa dependia, direta ou indiretamente, desta rede.

Afetado

Bombeiros

Várias corporações ficaram sem comunicações, incluindo os bombeiros de Bragança. Passaram a operar via rede SIRESP de emergência, com aumento do tempo de reação. O presidente da Liga dos Bombeiros garantiu que ninguém ficou sem assistência.

Afetado

Rede Multibanco (SIBS)

A SIBS é cliente Vodafone. ATMs com ligação 4G ficaram inoperacionais até meia-noite. Na manhã seguinte ainda havia instabilidade. Toda a infraestrutura de pagamentos via TVDE também foi afetada.

Plano ativado

INEM

Plano de contingência ativado de imediato. Chamadas 112 garantidas a 100% durante todo o período de crise, via centrais PSP e CODU. Operadores recorreram a telemóveis pessoais como alternativa.

Afetado

Hospital de Matosinhos

Impossibilidade de enviar mensagens automáticas com convocatórias para consultas e resultados de testes à Covid-19 — num momento em que a pandemia ainda era uma realidade diária.

Afetado

Hospital de Guimarães

Ficou sem central telefónica. Disponibilizou três números de emergência alternativos para a população como medida de contingência.

Afetado

IPO Lisboa

Dificuldades em contactar doentes no exterior. As comunicações com doentes oncológicos foram realizadas por email como alternativa.

Afetado

IPMA

Rede de observação meteorológica sem dados em tempo real. Planos de contingência ativados. Dados para a proteção civil salvaguardados por sistema de redundância próprio.

Afetado

Polícia Judiciária

A própria PJ — que conduz a investigação ao ataque — ficou sem os telefones fixos, incluindo o serviço de piquete. Uma ironia que resume a escala do problema.

Afetado

EMEL / GIRA

Problemas nas configurações de comunicações entre estações e o sistema GIRA, forçando o adiamento da abertura de novas estações de bicicletas no Lumiar e Olivais.

Afetado

Clientes empresariais UK

Um conjunto limitado de clientes empresariais no Reino Unido foi igualmente afetado, dado que o serviço OneNet é prestado a partir de Portugal.

Um ataque diferente de tudo o que se vira antes

O que tornou este ataque verdadeiramente perturbador foi aquilo que não aconteceu. Nos ataques de ransomware típicos, os criminosos cifram dados e exigem pagamento. Aqui não houve pedido de resgate — nem direto, nem indireto, nem através dos canais habituais da dark web. Não houve exfiltração de dados de clientes. Não houve reivindicação pública. O objetivo parecia ser exclusivamente destruir — tornar a rede indisponível para quase metade da população portuguesa.

Especialistas em cibersegurança consultados na altura descartaram a hipótese de um ataque DDoS (negação de serviço distribuído). O perfil era diferente: este foi um ataque ao sistema de gestão de rede, com destruição deliberada dos backups. Quem fez isto tinha conhecimento profundo da arquitetura interna da Vodafone — sabia onde estavam os sistemas primários e os sistemas redundantes, e destruiu ambos de forma coordenada.

Era uma agressão a uma infraestrutura crítica nacional, com traços que fugiam completamente às tendências habituais da criminalidade informática motivada por ganho financeiro. E foi precisamente esta ausência de motivação aparente que mais perturbou os investigadores.

Foi o pior momento da minha vida profissional. Foram atacados os portugueses todos.

— Mário Vaz, CEO da Vodafone Portugal, maio de 2022

Recuámos ao passado, à segunda geração móvel. Mas o que se seguiu também foi verdadeiramente excecional — uma operação que, num só dia, restabeleceu o equivalente a 10 anos de evolução das nossas redes móveis.

— Paulino Corrêa, Chief Network Officer, Vodafone Portugal, outubro de 2022

Como entraram — anatomia de uma intrusão

A Vodafone nunca revelou publicamente os detalhes técnicos exatos da intrusão — e talvez nunca o faça, dado que a investigação continua em curso. No entanto, as pistas que emergiram da investigação da PJ, de fontes da ciberinteligência internacional, e do perfil operacional de grupos como o Lapsus$ permitem reconstruir um cenário plausível e tecnicamente coerente dos métodos que poderão ter sido utilizados.

A pista do fórum russo: o acesso à venda

A 24 de janeiro de 2022 — duas semanas antes do ataque — um utilizador do fórum clandestino russo Exploit.in anunciou a venda de acesso ilegítimo ao sistema informático de uma operadora de telecomunicações portuguesa, com receitas entre um e quatro mil milhões de euros, por um valor de arranque de 2.500 dólares. A situação foi detetada pela empresa de ciberinteligência norte-americana Mandiant e comunicada às autoridades.

Este tipo de anúncio é característico dos chamados Initial Access Brokers (IABs) — agentes especializados que não executam eles próprios os ataques, mas que penetram sistemas corporativos e depois vendem esse acesso a outros grupos criminosos. É um modelo de negócio consolidado no ecossistema do cibercrime: um grupo obtém o acesso, outro grupo compra-o e executa o ataque. O preço de 2.500 dólares, embora modesto, é típico dos leilões iniciais no Exploit.in — um dos fóruns mais conceituados e restritos da dark web russófona.

Contexto técnico — Initial Access Brokers

Os IABs são intermediários do cibercrime que se especializam numa única fase da cadeia de ataque: a obtenção de acesso inicial a redes corporativas. Vendem credenciais VPN, sessões RDP, acessos a painéis de administração, ou contas comprometidas — frequentemente em fóruns como Exploit.in, XSS.is ou Genesis Market. O comprador pode ser um grupo de ransomware, um ator estatal, ou qualquer entidade com capacidade técnica para explorar o acesso adquirido. É uma economia paralela onde a especialização é a norma.

Credenciais de funcionário: a porta de entrada mais provável

Segundo fontes citadas pelo TEK/SAPO (via RTP), a Polícia Judiciária e o Serviço de Informações de Segurança (SIS) estavam a seguir a pista de um hacker que terá obtido as credenciais de login — nome de utilizador e palavra-passe — de um funcionário da Vodafone. Com estas credenciais, teria conseguido acesso ao sistema de gestão interna da empresa.

A obtenção de credenciais corporativas pode acontecer por múltiplas vias, e no contexto deste caso, várias são plausíveis:

01 Confirmado por investigação

Roubo de credenciais (username + password)

A PJ confirmou que os atacantes obtiveram o nome de utilizador e a palavra-passe de pelo menos um funcionário da Vodafone. Este acesso pode ter sido obtido por phishing dirigido (spear phishing), por compra de credenciais em mercados da dark web (infostealers como RedLine ou Raccoon recolhem e vendem milhões de credenciais por dia), ou por credential stuffing — a reutilização de passwords comprometidas noutros serviços. A hipótese de recrutamento de um insider (um funcionário pago para fornecer as credenciais) também não foi descartada.

02 Confirmado por investigação

Clonagem de SIM para ultrapassar MFA

A investigação revelou que o atacante não se ficou pelas credenciais. Para ultrapassar a autenticação multifator (MFA) baseada em SMS — o segundo fator de segurança que envia um código para o telemóvel do funcionário — o hacker terá clonado o cartão SIM do telemóvel do funcionário-alvo. Com o SIM clonado, os códigos de autenticação por SMS passaram a ser recebidos pelo atacante, permitindo-lhe completar o login como se fosse o funcionário legítimo. Esta técnica é conhecida como SIM swapping e foi extensivamente utilizada pelo grupo Lapsus$ nos seus ataques a Microsoft, Nvidia, T-Mobile, Uber e Okta.

Fluxo simplificado de um ataque de SIM swapping. No caso da Vodafone, a PJ confirmou que o atacante clonou o SIM de um funcionário para interceptar os códigos de autenticação multifator.

03 Hipótese plausível

MFA Fatigue (bombardeamento de notificações)

Uma técnica alternativa ou complementar ao SIM swapping é o MFA fatigue: o atacante, após obter o username e password, dispara dezenas ou centenas de pedidos de autenticação push para o dispositivo do funcionário, muitas vezes a horas inconvenientes (de madrugada, por exemplo). O objetivo é que, por fadiga, distração ou frustração, o utilizador aceite uma das notificações — autorizando involuntariamente o acesso. O grupo Lapsus$ usou esta técnica no célebre ataque à Uber em setembro de 2022, combinando-a com mensagens no WhatsApp a fazer-se passar pelo suporte de TI da empresa.

04 Hipótese plausível

Social engineering ao help desk interno

Outra técnica documentada do Lapsus$ consiste em comprometer primeiro uma conta pessoal de um funcionário (email pessoal, por exemplo) e depois usar essa conta para contactar o help desk corporativo, fazendo-se passar pelo funcionário e pedindo o reset da password corporativa. A nova password temporária é enviada para a conta pessoal — já controlada pelo atacante. A partir daí, o atacante tem acesso legítimo à rede corporativa. O Lapsus$ investia tempo significativo a estudar as estruturas internas das empresas, os procedimentos dos help desks, e os workflows de reset de credenciais antes de atacar.

A cadeia de ataque provável — do acesso à destruição

Combinando o que se sabe da investigação com os padrões documentados de grupos como o Lapsus$, é possível traçar uma cadeia de ataque plausível, passo a passo:

1 Reconhecimento & compra de acesso

2 Credenciais + SIM clone (MFA bypass)

3 Acesso VPN / sistemas de gestão

4 Escalação de privilégios

5 Movimentação lateral

6 Destruição do core + backups

Fase 1 — Reconhecimento e acesso inicial: Semanas antes do ataque, um IAB (possivelmente o utilizador que publicou no Exploit.in a 24 de janeiro) penetrou os sistemas da Vodafone, mapeou a rede, e pôs o acesso à venda. Este acesso foi adquirido — por 2.500 dólares ou mais — pelo grupo que viria a executar o ataque destrutivo.

Fase 2 — Bypass de autenticação: Com as credenciais do funcionário e o SIM clonado, o atacante conseguiu autenticar-se como se fosse um utilizador legítimo. A autenticação multifator por SMS — que deveria ser a última linha de defesa — foi completamente contornada.

Fase 3 — Acesso aos sistemas de gestão: Uma vez dentro da rede, o atacante terá acedido aos sistemas de gestão da infraestrutura de rede — os painéis de administração que controlam os elementos do core da rede móvel (HLR/HSS, MSC, GGSN/PGW, e outros componentes críticos).

Fase 4 — Escalação de privilégios: O grupo Lapsus$ explorava frequentemente vulnerabilidades no Active Directory para escalar privilégios dentro das redes comprometidas — uma técnica utilizada em até 60% dos seus ataques, segundo a análise da Unit 42 (Palo Alto Networks). Com privilégios de administrador, o atacante ganha controlo total.

Fase 5 — Movimentação lateral: Com acesso privilegiado, o atacante mapeou os sistemas primários e os sistemas de redundância. Este é o detalhe mais revelador: quem atacou sabia onde estavam os backups, o que sugere um período extenso de reconhecimento interno antes da execução do ataque.

Fase 6 — Destruição coordenada: Na noite de 7 de fevereiro, o atacante executou a destruição simultânea dos elementos centrais da rede e dos sistemas redundantes. A Vodafone confirmou que a atuação foi "cirúrgica", denotando "intenção de provocar um dano de grande profundidade e expressão". Não foi uma simples apagação de dados — foi a destruição deliberada de configurações de rede, elementos de core, e sistemas de failover.

Nota técnica — Porque é que a internet fixa sobreviveu

O facto de a internet fixa não ter sido afetada é um detalhe técnico relevante. A rede fixa FTTH (Fiber to the Home) opera sobre uma infraestrutura lógica diferente da rede móvel. O ataque destruiu os elementos do core móvel — os nós HLR (Home Location Register), HSS (Home Subscriber Server), MSC (Mobile Switching Centre), e os gateways de dados (GGSN/PGW) — sem afetar os sistemas BRAS/BNG que gerem o acesso fixo. Isto reforça a hipótese de um atacante com conhecimento específico da arquitetura de rede de uma operadora móvel.

Diagrama simplificado da arquitetura de rede da Vodafone Portugal. Os elementos a vermelho representam o core móvel destruído pelo ataque (incluindo os sistemas de redundância). A infraestrutura fixa (FTTH), a verde, operou normalmente durante toda a crise.

A hipótese de envolvimento do grupo Lapsus$ — que em janeiro de 2022 reivindicou o ataque mediático à Impresa (SIC e Expresso) — foi investigada mas nunca confirmada. Contudo, o perfil operacional deste ataque tem semelhanças notáveis com o modus operandi documentado do grupo:

O Lapsus$ era um grupo internacional formado maioritariamente por adolescentes (o FBI estimava 10 a 11 membros, principalmente do Reino Unido e do Brasil). Não usavam malware sofisticado — a sua arma principal era a engenharia social. O repertório incluía SIM swapping, MFA fatigue, compra de credenciais, recrutamento de insiders em operadoras de telecomunicações (ofereciam até 20.000 dólares por semana a funcionários da AT&T, Verizon e T-Mobile), e exploração de vulnerabilidades no Active Directory.

Em março de 2022, sete membros do Lapsus$ foram detidos no Reino Unido, incluindo um jovem de 16 anos. Um dos membros principais, Arion Kurtaj, foi posteriormente considerado inapto para julgamento e internado num hospital psiquiátrico. O grupo acumulou um historial impressionante de vítimas: Microsoft (código-fonte do Bing e Cortana), Nvidia (71.000 credenciais de funcionários), Samsung (190 GB de código-fonte), Okta, Uber, Rockstar Games (footage do GTA VI), e T-Mobile.

A relação com Portugal é direta: o Lapsus$ reivindicou o ataque à Impresa em janeiro de 2022. E o ciberataque à Vodafone ocorreu numa janela temporal onde o grupo estava no auge da sua atividade. A técnica de SIM swapping confirmada pela investigação da PJ é uma das marcas registadas do Lapsus$.

A vaga de ciberataques em Portugal — Jan/Fev 2022

2 Jan 2022

Impresa (SIC + Expresso) — Reivindicado pelo Lapsus$. Sites e serviços em baixo durante dias. Dados de utilizadores em risco.

24 Jan 2022

Fórum Exploit.in — Anúncio de venda de acesso a operadora de telecomunicações portuguesa. Preço de arranque: $2.500.

30 Jan 2022

Parlamento — Ataque informático ao site da Assembleia da República. Em investigação pela PJ.

6 Fev 2022

Cofina Media — Sites do Correio da Manhã, Jornal de Negócios e outros em baixo durante horas. PJ investiga.

7 Fev 2022

Vodafone Portugal — O maior ataque de sempre a infraestrutura de telecomunicações em Portugal.

10 Fev 2022

Trust In News (revista Visão) — Tentativa de ataque detetada e contida.

O que a investigação encontrou

A investigação foi conduzida pela Unidade de Combate ao Cibercrime (UNC3T) da Polícia Judiciária, em articulação com o Centro Nacional de Cibersegurança, a ANACOM, os Serviços de Informações de Segurança (SIS), e congéneres internacionais. As conclusões preliminares apontaram para um grupo altamente profissional — não amadores. A PJ descreveu o crime como "tendencialmente muito técnico, dependente de informação especializada".

As pistas principais foram três: o anúncio no Exploit.in (ligando o caso a um IAB russófono), o perfil operacional compatível com o Lapsus$ (mas sem confirmação), e a evidência de que as credenciais de pelo menos um funcionário foram comprometidas, com clonagem de SIM para bypass de MFA. A hipótese de motivação geopolítica (ligação à tensão entre Moscovo e o Ocidente, dado o timing próximo da invasão da Ucrânia a 24 de fevereiro de 2022) foi investigada mas afastada. A espionagem industrial manteve-se como linha de investigação ativa.

Mário Vaz afirmou na conferência de imprensa de 8 de fevereiro que "não iria revelar informações sobre o ataque em si", mas acrescentou que a Vodafone é "alvo de centenas de ataques regularmente" e que este foi "o primeiro que não conseguiram evitar" em 30 anos de operação em Portugal.

A recuperação — "uma década em 24 horas"

Paulino Corrêa, Chief Network Officer da Vodafone Portugal, recordaria mais tarde que o ataque foi identificado "no espaço de escassos minutos" — e que a reação foi imediata. Foram mobilizadas em simultâneo as equipas de engenharia e operações de rede, as equipas de serviço ao cliente, as equipas comerciais (que abriram canal direto com os clientes para diagnóstico), e toda a administração e liderança da empresa, que ficou em permanência. O gabinete de crise foi ativado na sede da Vodafone, no Parque das Nações, pelas 21h00.

O que se seguiu foi uma operação de recuperação sem precedentes em Portugal — e possivelmente na Europa — descrita pela própria Vodafone como equivalente a comprimir uma década de evolução tecnológica em menos de 24 horas. Para compreender a escala deste esforço, é preciso perceber o que foi destruído e como cada camada foi reconstruída.

Contenção: parar o sangramento

Antes de qualquer recuperação, o primeiro imperativo num ciberataque é a contenção — garantir que o atacante já não está dentro dos sistemas e que a destruição não continua. Como explicou Paulino Corrêa: "Quando uma empresa sofre um ciberataque, o primeiro passo é a contenção — garantir que o ataque está erradicado — e iniciar duas vias de ação: a recuperação e a investigação."

Este passo é mais complexo do que parece. A complexidade do ataque — que destruiu não apenas os sistemas primários mas também os de redundância — implicou que as equipas tivessem de verificar, sistema a sistema, quais os componentes que estavam comprometidos, quais estavam intactos, e quais poderiam estar comprometidos sem sinais evidentes. Segundo fontes de engenharia consultadas pelo Observador na altura, "desligar sistemas que podem não ter sido comprometidos" fazia parte do processo, por precaução. Não bastava reconstruir — era preciso ter a certeza de que se estava a reconstruir sobre alicerces limpos.

Nota técnica — O dilema da contenção vs. recuperação

Numa infraestrutura de telecomunicações, a contenção e a recuperação estão em tensão direta. Cada minuto que se gasta a verificar se um sistema está limpo é um minuto sem serviço para milhões de pessoas. Mas reconstruir sobre um sistema ainda comprometido arrisca dar ao atacante acesso renovado — ou pior, permitir que a destruição continue. A Vodafone teve de equilibrar estes dois imperativos em tempo real, com bombeiros sem comunicações e hospitais sem contacto com doentes.

Cronograma aproximado de recuperação dos serviços Vodafone. A priorização seguiu uma lógica de impacto: voz de emergência primeiro, dados para Multibanco depois, e serviços empresariais por último. A normalização total só ocorreu cerca de um mês após o ataque.

Fase 1 — Voz 2G: voltar ao passado para salvar o presente

Fase Crítica Recuperação da voz móvel 2G 7 Fev, 21h → 22h (~1 hora)

A primeira prioridade absoluta foi restabelecer a capacidade de fazer e receber chamadas telefónicas — o serviço mais elementar de uma rede móvel, e o que permitia ao INEM, bombeiros e hospitais comunicar em situação de emergência.

A solução foi recuar literalmente duas décadas tecnológicas: reativar o serviço de voz sobre a rede 2G (GSM). O 2G é a geração mais antiga ainda presente nas redes móveis, com uma arquitetura radicalmente mais simples do que o 4G/5G. Funciona com comutação de circuitos (circuit-switched), não depende dos mesmos elementos de core IP que foram destruídos, e requer muito menos infraestrutura de suporte. "Recuámos ao passado, à segunda geração móvel", descreveu Paulino Corrêa.

As chamadas voltaram a funcionar — com limitações significativas. Havia perturbações nas ligações com destino a outros operadores (NOS, MEO), porque os sistemas de interligação entre redes também tinham sido afetados. A capacidade era limitada: o 2G foi desenhado para uma fração do tráfego atual. Mas o essencial estava garantido — os portugueses podiam voltar a ligar para o 112.

O que foi feito Reativação dos controladores BSC (Base Station Controller) e dos MSC (Mobile Switching Centre) de voz 2G, com bypass aos elementos de core destruídos.

Limitações Sem dados móveis. Sem SMS. Perturbações nas chamadas inter-operadores. Capacidade reduzida (congestionamento em horas de pico).

Fase 2 — Dados 3G: o Multibanco e o mínimo vital

Fase de Emergência Recuperação dos dados móveis 3G 7 Fev, 22h → 8 Fev, 00h (~2 horas)

Com a voz minimamente garantida, a segunda prioridade foi recuperar os dados móveis — começando pela rede 3G. A escolha do 3G em vez do 4G não foi por preferência, mas por necessidade: o 3G tem uma arquitetura de core mais simples, com elementos como o SGSN (Serving GPRS Support Node) e o GGSN (Gateway GPRS Support Node) que são menos complexos de reconstruir do que os equivalentes no 4G/5G (MME, SGW, PGW).

A recuperação foi estrategicamente iniciada pela Região Autónoma da Madeira — uma decisão técnica inteligente. A infraestrutura da Madeira é mais isolada e autocontida do que a do continente, funcionando quase como um laboratório natural: se algo corresse mal na reativação, o impacto ficava contido. Uma vez validado o processo na Madeira, foi progressivamente replicado no continente durante a madrugada.

A razão para a urgência dos dados 3G era concreta: a rede Multibanco (SIBS) dependia dos dados móveis 4G da Vodafone. Muitos ATMs estão ligados via rede móvel, e sem dados, estavam inoperacionais. A recuperação do 3G permitiu restabelecer parcialmente esta ligação — embora com velocidade e capacidade muito abaixo do normal.

A Vodafone impôs limites de velocidade propositadamente nos dados 3G. A rede 3G não foi desenhada para suportar o volume de tráfego de dados de 4 milhões de clientes. Sem throttling, o congestionamento tornaria o serviço inutilizável para todos. A empresa priorizou a distribuição "equitativa e sustentável da capacidade disponibilizada" — linguagem que, na prática, significava que todos tinham internet, mas muito lenta.

O que foi feito Reconstrução dos nós SGSN/GGSN do core 3G. Testes na Madeira, rollout progressivo no continente. Implementação de políticas de QoS para limitar velocidade e priorizar voz.

Impacto imediato Multibanco parcialmente restaurado. Dados móveis disponíveis (lentos). Internet funcional para email e mensagens básicas. TVDE (Uber/Bolt) ainda com dificuldades.

Fase 3 — SMS e voz fixa: reconstruir a interligação

Estabilização SMS ponto a ponto e voz sobre rede fixa 8 Fev, manhã → 9 Fev

Na manhã de terça-feira, 8 de fevereiro, foi restabelecido o serviço básico de SMS ponto a ponto. O SMS parece um serviço simples, mas na arquitetura de uma rede móvel depende do SMSC (Short Message Service Centre), que por sua vez depende dos nós de sinalização SS7/Diameter que interligam a rede. A destruição destes nós é precisamente o que torna um ataque ao core tão devastador — e a sua reconstrução tão morosa.

Em paralelo, as equipas trabalhavam na recuperação da rede fixa de voz. Este foi um dos serviços mais complexos de restaurar, porque a voz fixa da Vodafone depende de uma cadeia de elementos VoIP (Voice over IP) — incluindo os SBC (Session Border Controllers), os softswitches, e os elementos de interligação com a rede pública comutada (PSTN) e com outros operadores. A destruição dos "serviços de interligação de voz com outros operadores nacionais e internacionais" significava que mesmo os serviços de voz já recuperados tinham perturbações quando o destino era um número NOS ou MEO.

A rede fixa também sustentava os serviços de atendimento ao cliente (call center da Vodafone), que estavam completamente inoperacionais. Os clientes não conseguiam ligar para pedir ajuda — uma situação particularmente angustiante para clientes empresariais cuja atividade estava parada.

O que foi feito Reconstrução do SMSC e dos nós de sinalização. Restabelecimento dos SBC e softswitches para voz fixa. Reativação progressiva dos sistemas de interligação com NOS, MEO e operadores internacionais.

Complexidade adicional A voz fixa serve milhares de empresas com numeração dedicada, IVR, e linhas de atendimento configuradas à medida — cada uma requerendo validação individual.

Fase 4 — O salto para o 4G: reconstruir o presente sem tocar no passado

Reconstrução Core Restabelecimento da rede 4G/5G 8 Fev, 18h40 → 10–11 Fev

Esta foi a fase mais ambiciosa — e a que justifica a expressão "uma década em 24 horas". Em vez de reconstruir a infraestrutura 4G/5G exatamente como era antes do ataque (o que implicaria restaurar configurações comprometidas e potencialmente reintroduzir vulnerabilidades), a Vodafone tomou uma decisão ousada: reconstruir o core diretamente sobre uma arquitetura limpa.

Às 18h40 de terça-feira, 8 de fevereiro, a Vodafone anunciou que tinha "iniciado o restabelecimento dos serviços base de dados móveis sobre a sua rede 4G na sequência de uma intensa e exigente operação de reposição". O arranque foi condicionado a zonas restritas do país e expandido gradualmente — cada zona era ativada, monitorizada, e só depois se passava à seguinte.

A reconstrução do core 4G/5G significou, na prática, reprovisionar os nós MME (Mobility Management Entity) que gerem a mobilidade dos dispositivos na rede, os SGW/PGW (Serving/Packet Data Network Gateways) que encaminham o tráfego de dados, e o HSS (Home Subscriber Server) que armazena os perfis de autenticação de cada um dos 4 milhões de SIMs. Cada um destes elementos teve de ser reinstalado, reconfigurado, e reintegrado com as estações base (eNodeBs) espalhadas por todo o país.

Quanto ao 5G, a empresa não fez prognósticos na conferência de imprensa de 8 de fevereiro. A rede 5G depende de uma arquitetura de core ainda mais complexa (5G Core / SBA — Service Based Architecture), e a sua recuperação foi naturalmente mais demorada.

O que foi feito Provisionamento de novos nós MME, SGW/PGW e HSS. Reconfiguração das interfaces S1 (entre eNodeBs e core). Ativação zona a zona com monitorização em tempo real. Throttling de velocidade para estabilização.

Decisão crítica Reconstruir em limpo em vez de restaurar de backup — eliminando o risco de reintroduzir artefactos do atacante, mas aumentando enormemente a complexidade e o tempo de trabalho.

Fase 5 — O longo caminho dos clientes empresariais

Recuperação Prolongada Soluções empresariais, TV e canais digitais 10 Fev → ~Março 2022

Com a rede base estabilizada ao fim de quatro dias, começou a fase mais invisível e mais prolongada da recuperação: o restabelecimento dos serviços empresariais personalizados. Como explicou Paulino Corrêa: "Foi necessário, em alguns casos, sobretudo no segmento empresarial, repor soluções específicas, com componentes personalizadas e feitas à medida de cada cliente. Isso tornou o processo mais complexo e demorado."

Os serviços empresariais da Vodafone não são um produto genérico — são soluções feitas à medida. Cada grande cliente (bancos, hospitais, seguradoras, Estado) tem configurações específicas de VPN, de numeração, de reencaminhamento de chamadas, de centralitas virtuais (OneNet), de links dedicados, de SLAs com parâmetros técnicos individuais. Repor estas configurações não é um processo automatizado: requer engenheiros a trabalhar cliente a cliente, validando cada parâmetro.

O serviço OneNet — uma central telefónica virtual que permite ligações entre colaboradores de empresas, incluindo clientes no Reino Unido — tinha sido deliberadamente desativado durante a crise para libertar capacidade de rede para serviços mais prioritários. A sua reativação foi um processo gradual e complexo.

A televisão e a internet fixa, embora não diretamente atacadas, necessitaram de "atividades de estabilização", segundo Paulino Corrêa. Alguns clientes de TV tiveram problemas que exigiram reinicializações manuais das Vbox (a set-top box da Vodafone). A app My Vodafone e outros canais digitais de atendimento foram sendo restabelecidos ao longo da semana, sem acessibilidade total imediata.

O que foi feito Reconfiguração individual de soluções empresariais (VPN, OneNet, numeração dedicada, IVR, SLAs). Restabilização da TV e reinicialização de equipamentos. Recuperação de canais digitais.

Duração real Cerca de um mês até à normalização completa de todos os serviços de consumo e empresariais — muito além dos "4 dias" da narrativa mediática.

Os dois processos paralelos: recuperação e investigação

Um detalhe frequentemente ignorado é que, enquanto as equipas de engenharia reconstruíam a rede contra-relógio, uma operação paralela decorria em simultâneo: a investigação forense. Cada sistema que era reativado tinha de ser primeiro analisado pela equipa de cibersegurança e pela PJ para preservar evidências digitais. Há uma tensão inerente entre estas duas necessidades — a investigação quer preservar tudo como está (para recolher provas), e a recuperação quer repor tudo o mais depressa possível (para restaurar serviço). A Vodafone teve de gerir ambos os processos em paralelo, com protocolos de preservação de evidências que inevitavelmente atrasaram partes da recuperação.

Pista da Recuperação

Equipas de engenharia e operações de rede. Todos os recursos nacionais da Vodafone Portugal, colegas de todas as operações do grupo Vodafone mundial, fornecedores e parceiros — "alguns dos quais estiveram a trabalhar longas horas, dias e noites connosco, lado a lado" (Paulino Corrêa). Foco: repor serviço o mais rápido possível, por camadas de prioridade.

Pista da Investigação

UNC3T da Polícia Judiciária, Centro Nacional de Cibersegurança, ANACOM, Serviços de Informações de Segurança (SIS), e parceiros internacionais. Equipa interna de cibersegurança da Vodafone. Foco: identificar o vetor de entrada, preservar evidências, rastrear os autores e garantir que os atacantes não mantêm acesso.

A solidariedade entre concorrentes

Um aspeto notável da crise foi a cooperação imediata dos operadores concorrentes. A NOS e a Altice/MEO disponibilizaram-se para colaborar desde as primeiras horas. Mário Vaz agradeceu publicamente a "total disponibilidade" dos concorrentes, acrescentando: "Hoje fomos nós, esperamos que os outros não sejam. Se for necessário que os nossos concorrentes disponibilizem serviços, a nossa prioridade são os nossos clientes." Os planos de contingência da Vodafone incluíam, se necessário, recorrer temporariamente a serviços de outros operadores — transformando concorrentes em aliados contra uma ameaça comum.

Esta cooperação setorial foi posteriormente elogiada como uma referência de boa prática. Numa infraestrutura crítica nacional, a competição comercial suspende-se quando a segurança do país está em causa.

A comunicação de crise: transparência como estratégia

A forma como a Vodafone comunicou durante a crise foi amplamente elogiada e tornou-se uma referência de boas práticas. Paulino Corrêa descreveu a abordagem: "Tentámos ser muito proativos, transparentes e estar próximos dos clientes, desde o início. Fazíamos pontos de situação recorrentes ao longo dos dias e não estar à espera de que os clientes nos contactassem." A conferência de imprensa de Mário Vaz, convocada para a manhã de 8 de fevereiro — horas após o ataque — foi um ato de transparência incomum no contexto de ciberataques, onde a tendência é minimizar e esconder.

As atualizações regulares no site da Vodafone, no LinkedIn de Mário Vaz, e através dos canais disponíveis mantiveram os clientes informados sobre o progresso da recuperação — serviço a serviço, hora a hora. Esta proximidade contribuiu para que, reputacionalmente, a Vodafone saísse reforçada da crise: "Os portugueses foram solidários. Entenderam a gravidade do sucedido", disse Paulino Corrêa.

A segurança já era uma prioridade da Vodafone. Mas, capitalizando a experiência que tivemos, é necessário garantir que incidentes desta dimensão não se voltem a repetir; que quando acontecerem eventos cyber, o impacto seja o mais reduzido possível; e se acontecerem e tiverem impacto, ter ferramentas e abordagens para recuperar o mais rapidamente possível.

— Paulino Corrêa, Chief Network Officer, Vodafone Portugal, outubro de 2022

O que mudou depois: resiliência reforçada

A Vodafone nunca detalhou publicamente as medidas específicas implementadas após o ataque — por razões óbvias de segurança — mas Paulino Corrêa revelou os princípios orientadores: (1) garantir que incidentes desta dimensão não se repitam; (2) minimizar o impacto quando ocorrem eventos cibernéticos; (3) desenvolver ferramentas e abordagens para recuperar o mais rapidamente possível. Estes três princípios, disse, "já estavam presentes na forma como desenhamos e construímos redes e serviços, mas agora estão ainda mais sedimentados" e levaram a "dezenas de atividades de melhoria e resiliência".

A empresa investiu milhões de euros por ano em cibersegurança — um valor que terá aumentado significativamente após o ataque. As auditorias internas, que já existiam ao nível do grupo Vodafone, foram intensificadas. E a mentalidade da organização mudou: "A cibersegurança também se constrói fazendo evoluir a mentalidade dos nossos colaboradores nas decisões que fazem todos os dias", concluiu Paulino Corrêa.

Mas para quem estava no terreno, a recuperação foi muito mais longa — e mais humana — do que qualquer comunicado oficial consegue transmitir.

Nota pessoal — vivido por dentro

Estava de prevenção nessa noite — a instalar patches de segurança (CVEs do Log4j) — quando me ligaram a perguntar o que se passava com o serviço empresarial. O primeiro pensamento foi: "Já fiz merda."

Ao fim de 4 dias a maior parte da rede estava reposta, mas ainda andámos cerca de um mês a recuperar serviços de consumo e empresarial. Um trabalho que ficou invisível nas notícias: a Dulce e a Sónia estiveram durante semanas a fazer manualmente os reencaminhamentos dos números — incluindo os dos bombeiros. Há uma infraestrutura humana por detrás de qualquer recuperação técnica que raramente aparece nos comunicados oficiais.

A ironia do Log4j

O facto de as equipas estarem a instalar patches de segurança do Log4j (CVE-2021-44228, uma das vulnerabilidades mais graves da década) na noite do ataque é um detalhe que não é apenas irónico — é sintomático. O Log4j tinha sido divulgado em dezembro de 2021 e todo o setor de telecomunicações estava em modo de remediação. É impossível saber se esta vulnerabilidade foi explorada na intrusão à Vodafone, mas o timing é relevante: é precisamente quando todas as atenções de segurança estão focadas numa vulnerabilidade conhecida que os atacantes exploram vectores inesperados.

Lições e vulnerabilidades sistémicas

O ciberataque à Vodafone expôs várias fragilidades que continuam a ser relevantes para a segurança das infraestruturas críticas em Portugal e na Europa:

A fragilidade da autenticação por SMS. O SIM swapping que permitiu contornar o MFA da Vodafone não é um ataque exótico — é uma vulnerabilidade conhecida há anos. O relatório do DHS Cyber Safety Review Board sobre o Lapsus$ (agosto de 2023) recomendou explicitamente que as organizações abandonem a autenticação por SMS e adotem soluções passwordless como FIDO2 ou hardware keys. Se a Vodafone tivesse MFA baseado em tokens físicos (YubiKey, por exemplo) em vez de SMS, a clonagem do SIM teria sido inútil.

A dependência de operadores privados para serviços públicos. Bombeiros, INEM, hospitais, Multibanco, IPMA, a própria Polícia Judiciária — todos dependiam da mesma rede privada. O ataque revelou que a resiliência das infraestruturas críticas nacionais está, em última análise, nas mãos de operadores privados cujas prioridades nem sempre coincidem com as do Estado.

A economia dos Initial Access Brokers. O acesso à rede da Vodafone estava à venda por 2.500 dólares num fórum russo. Este preço absurdamente baixo para o nível de destruição que possibilitou ilustra o desfasamento entre o custo do cibercrime e o custo da ciberdefesa. Defender uma rede de telecomunicações custa milhões. Comprometer uma rede pode custar menos do que um portátil.

O fator humano como elo mais fraco. Não importa quão sofisticados sejam os firewalls e os IDS/IPS se um funcionário reutiliza passwords, cai num phishing, ou se o help desk faz reset de credenciais sem verificação adequada. O Lapsus$ provou repetidamente que a engenharia social é mais eficaz do que qualquer zero-day.

O que ficou por resolver

Mais de quatro anos depois, a identidade dos autores permanece desconhecida. A Vodafone admitiu publicamente que talvez nunca venha a saber a verdadeira razão do ataque. A investigação da PJ continua em curso, sem indícios públicos de detenções relacionadas. Se o ataque foi comprado a um IAB e executado por um grupo como o Lapsus$ — cujos membros foram entretanto presos ou tornaram-se inativos — a ligação pode ser impossível de provar retroativamente.

O caso levantou questões sérias que, em grande parte, continuam sem resposta: qual é a obrigação de redundância de operadores que sustentam serviços de emergência? Deve o Estado garantir redes alternativas independentes? A rede SIRESP salvou a situação nesta crise — mas e se também ela tivesse sido visada?

O ciberataque à Vodafone Portugal ficará como um marco na história digital do país: o dia em que Portugal percebeu que uma rede invisível sustenta tudo — e que essa invisibilidade é também, e sempre será, uma vulnerabilidade.

---

Fontes e referências

• Wikipedia — Ciberataque à Vodafone Portugal
• Vodafone Portugal — Comunicado oficial
• Vodafone Portugal — Página de acompanhamento do ciberataque
• Rádio Renascença — Vodafone regressa à normalidade
• Observador — "Foi o pior momento da minha vida profissional" — Mário Vaz
• Observador — O que já se sabe e o que falta saber
• ECO — Vodafone admite que talvez nunca venha a saber razão do ciberataque
• Jornal de Negócios — PJ segue pista de hacker russo
• SAPO Tek — Anatomia de um ataque: o dia em que a Vodafone recuou ao 2G
• SAPO Tek — Transparência na comunicação e gestão de crise elogiadas
• NordVPN — Ciberataque à Vodafone: lições e consequências
• CNN Portugal — O que se sabe e o que não se sabe
• Público — Ataque à Vodafone: o que foi afetado e o que já está resolvido
• DHS CSRB — Review of Attacks Associated with Lapsus$ (PDF)
• Wikipedia — Lapsus$ group
• Palo Alto Unit 42 — Threat Brief: Lapsus$ Group
• UBI — Análise académica ao ciberataque (PDF)