O moderno prédio de escritórios perto do porto de Reykjavik, a capital da Islândia, é mais divulgado uma vez que a sede do Museu Falológico Islandês, que exibe 320 espécimes de pênis de mamíferos.
Para aqueles que rastreiam a criminalidade cibernética, no entanto, o prédio também tem a reputação de ser um paraíso offshore virtual para alguns dos piores perpetradores de roubo de identidade, ransomware (bloqueio de informações mediante resgate), desinformação, fraude e outros delitos do mundo on-line.
Isso porque o endereço do museu, Kalkofnsvegur 2, também é o endereço registrado da Withheld for Privacy, empresa que faz segmento de uma indústria em expansão e não regulamentada na Islândia e em outros lugares, que permite que pessoas que operam domínios on-line escondam sua identidade.
Embora a prática tenha se tornado geral para proprietários de sites que buscam se proteger de assédio ou spam, ela também ajudou outros a vedar seus rastros de reguladores, autoridades policiais ou de suas vítimas.
A Withheld for Privacy, e outros chamados serviços de proxy, transformaram a Islândia em um núcleo global de atividades ilícitas. A companhia —criada em 2021 pela Namecheap, uma das maiores provedoras de sites do mundo— efetivamente encobriu dezenas de milhares de sites suspeitos. Até mesmo autoridades locais disseram que haviam tentado e não tinham conseguido entrar em contato com representantes da empresa quando os problemas surgiram.
Pesquisadores da Universidade de Syracuse, que estudam publicidade política enganosa no Facebook e no Instagram, depararam-se com o museu do pênis ao tentar rastrear os proprietários de um site que gastou US$ 1,3 milhão em anúncios fraudulentos direcionados a apoiadores do ex-presidente Donald Trump.
A internet está repleta de sites semelhantes tentando ludibriar usuários. Os serviços de proxy tornam ainda mais difícil tomar ou mesmo identificar os perpetradores dos abusos.
Uma vez que a Withheld for Privacy usa o endereço do prédio para seus clientes, o Kalkofnsvegur 2 foi vinculado a fóruns on-line usados por um grupo supremacista branco nos Estados Unidos, o Patriot Front, para vender medicamentos hormonais falsificados a mulheres trans; foi também atribuído a sites de phishing se passando por empresas uma vez que Amazon, Coinbase e Spotify para roubar numerário e informações pessoais de visitantes; e a campanhas de influência russa destinadas a espalhar narrativas falsas para americanos desavisados.
Os esforços russos, que os EUA vincularam à gestão do presidente Vladimir Putin, incluem mais de 130 veículos de notícias falsas registrados leste ano por um ex-xerife coadunado da Flórida que agora mora em Moscou, John Mark Dougan. Entre as ações mais recentes de Dougan, havia uma entrevista encenada no site da KBSF-TV, em San Francisco —um via que não existe—, fazendo uma argumento falsa de que a vice-presidente Kamala Harris feriu uma pequena em um acidente de carruagem com atropelamento em 2011.
A Islândia é um lugar encantador para serviços de proxy, em grande segmento por razão de suas robustas leis de privacidade. Estas, segundo autoridades do país, têm uma vez que objetivo proteger usuários comuns de governos autoritários, e não acoitar fraudadores ou outros criminosos.
“Tínhamos o objetivo de gerar o que chamamos de Suíça dos bytes. Em vez disso, abusaram do trabalho que fizemos”, declarou Mordur Ingolfsson, ex-membro do parlamento da Islândia que ajudou a publicar algumas das primeiras leis de privacidade da internet do país.
Nem a Withheld for Privacy nem a Namecheap responderam a repetidos pedidos de comentários para esta reportagem.
“O serviço deles só serve para esconder quem é o verdadeiro controlador”, afirmou Valborg Steingrimsdottir, encarregado de supervisão da Mando de Proteção de Dados da Islândia. Domínios da internet são uma vez que a versão on-line de um endereço normal de rua; um site é uma vez que o prédio nessa rua.
Há muito tempo, os domínios são regulamentados pela Corporação da Internet para Atribuição de Nomes e Números, organização internacional sem fins lucrativos conhecida uma vez que Icann, que o governo dos EUA criou em 1998. Até 2018, qualquer pessoa que buscasse usar um domínio era obrigada a vulgarizar informações de contato, que eram logo registradas em bancos de dados públicos pesquisáveis. O objetivo era prometer a crédito do público em que os sites eram o que diziam ser.
Logo, a União Europeia aprovou a lei de privacidade on-line mais rigorosa do mundo, o Regulamento Universal de Proteção de Dados. Suas estipulações, que moldaram os padrões globais, permitem que a maioria dos registrados proteja suas informações de contato. A proteção por proxy logo se tornou, em muitos casos, um recurso padrão.
Ao contrário de certos domínios de nível superior, uma vez que “.gov” para sites do governo dos EUA e do Brasil também, ou o “.is” na Islândia, os domínios mais familiares uma vez que “.com”, “.org” e “.net”, e a maioria dos outros, são mantidos por empresas privadas chamadas registradores.
Muitas —incluindo a GoDaddy, a maior— oferecem serviços de privacidade para registro de domínio, geralmente sem dispêndio, e enfrentam pouca pressão para compartilhar informações sobre clientes potencialmente problemáticos. “Num momento em que o transgressão cibernético e as preocupações com a desinformação estão aumentando, a indústria se tornou muito opaca”, observou Greg Aaron, presidente da Illumintel, empresa de consultoria que fornece serviços de política e segurança da internet.
As empresas de tecnologia, que alegam não serem responsáveis quando seus produtos ou serviços são usados de forma ilícita, enfrentam uma reação cada vez maior na Islândia e em outros países. A Mando de Proteção de Dados da Islândia, aliada à promotoria e ao Ministério das Telecomunicações, pressiona por uma legislação que efetivamente proíba serviços uma vez que a Withheld for Privacy de operar no país.
A Namecheap anunciou, em 2021, que estava mudando seu serviço de domínio de privacidade para o Withheld for Privacy; anteriormente, havia usado um proxy fundamentado no Panamá. O pregão dizia que a empresa havia escolhido a Islândia porque era “um país divulgado por seus padrões de privacidade”.
A Withheld for Privacy, uma vez que muitos de seus clientes, é uma entidade misteriosa; sua atividade é aparentemente ofuscada pelo seu traçado técnico. Está registrada em Kalkofnsvegur 2, de consonância com o departamento de impostos da Islândia, mas não há nenhum sinal extrínseco de que o serviço ocupe espaço no prédio de seis andares.
O diretor da Withheld for Privacy está listado uma vez que Sergio Raygoza Hernandez, do México, de consonância com registros públicos no departamento de impostos em Reykjavik. Não conseguimos contato com ele nem com qualquer outra pessoa por meio do número de telefone ou do endereço de e-mail fornecidos pelo site da empresa.
A Isnic, empresa privada responsável pela regulamentação do domínio “.is” da Islândia, também não conseguiu entrar em contato com ninguém da Withheld for Privacy. O grupo estava tentando verificar a identidade de pessoas que tentaram registrar cinco domínios .is usando a Withheld for Privacy.
O diretor executivo da Isnic, Jens Petur Jensen, afirmou que, por lei, a Isnic poderia bloquear esses cinco domínios, mas a Islândia não tem mando legítimo sobre sites que usam outros domínios, mesmo que estejam registrados em endereços no país.
Quase imediatamente depois que a Withheld for Privacy foi registrada, em 2021, autoridades ao volta do mundo começaram a rastrear atividades problemáticas até Kalkofnsvegur 2.
Naquele ano, o Juízo de Valores Mobiliários do estado do Texas emitiu uma ordem de bloqueio contra um site registrado lá, Prestige Assets Management, acusando-o de executar um esquema para se passar por outra empresa e enganar investidores em potencial para que lhes dessem informações de identificação confidenciais.
A Escritório de Segurança em Infraestrutura e Cibersegurança, em Washington, também emitiu um alerta naquele ano sobre dois sites de ransomware no endereço de Reykjavik vinculados ao DarkSide, grupo de hackers cibernéticos sediado na Rússia que executou um ataque a um grande oleoduto dos EUA.
Um grupo de sites escondidos detrás da Withheld for Privacy foi vinculado a uma campanha on-line para difamar o ator canadense Simu Liu. Outros sites incluíam golpes aparentes que tinham uma vez que níveo candidatos a um tarefa e a um apartamento, entusiastas de carros esportivos e músicos, buscando informações pessoais ou dados financeiros.
Dougan, o ex-xerife coadunado, agora na Rússia, registrou seus novos domínios por meio da Withheld for Privacy depois que seus registros para sites anteriores nos EUA foram expostos uma vez que organizações de notícias falsas, de consonância com McKenzie Sadeghi, pesquisador da NewsGuard, empresa que rastreia desinformação on-line.
O site falso de notícias de televisão que espalhou a falsa argumento sobre o acidente de carruagem de Harris —que a Microsoft e o governo dos EUA vincularam no mês pretérito ao Kremlin— foi registrado unicamente em agosto, de consonância com o banco de dados da Icann. O site foi bloqueado desde logo. Dougan se recusou a comentar os sites registrados na Islândia.
A Withheld for Privacy registrou murado de 35 milhões de domínios no prédio em Reykjavik, a maioria, presumivelmente, de usuários legítimos. A opacidade do serviço de privacidade, no entanto, tornou mais difícil o policiamento daqueles que não são. “Onde o uso para e o injúria começa? Essas são perguntas muito difíceis, e não conseguimos responder a elas”, disse Ingolfsson, ex-legislador.
