O começo da manhã foi caótica para muitas empresas espalhadas pelo mundo. Sistemas fora do ar e conexões instáveis foram o resultado da queda generalizada dos serviços da Cloudflare.

Plataformas populares enfrentaram quedas, como X (antigo Twitter), ChatGPT, Discord e Canva.

A Cloudflare é uma empresa americana especializada em infraestrutura de internet. Fundada em 2009, ela oferece serviços de segurança, performance e confiabilidade para sites e aplicativos, atuando como uma ponte entre o navegador do usuário e o servidor do site acessado.

O sistema funciona por meio de uma CDN, sigla em inglês para rede de entrega de conteúdo, que espalha cópias dos dados por diversos servidores ao redor do mundo. Isso permite reduzir a latência, isto é, o tempo que uma informação leva para ir de um ponto a outro na internet, além de dificultar ataques.

Para Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Cibersegurança, esses ataques a empresas que prestam serviços à infraestrutura serão cada vez mais frequentes porque criminosos estão mais capacitados, os sistemas de defesa das empresas estão mais fracos e o setor, como um todo, mais complexo. Confira a entrevista exclusiva:

EXAME: As empresas afetadas podem reivindicar algum tipo de reparação financeira pela falha da Cloudflare?

Alexandre Coelho: Em tese, sim. Na prática, quase nunca na proporção do prejuízo. Do ponto de vista jurídico, há dois planos diferentes: a relação da empresa com seus clientes e a relação da empresa com a própria Cloudflare. Perante o consumidor ou usuário final, a empresa continua responsável pela indisponibilidade do serviço, ainda que a causa esteja em um terceiro de infraestrutura. É a lógica da responsabilidade objetiva nas relações de consumo: quem oferece o serviço responde pela falha, independentemente de culpa, e depois discute internamente com seus fornecedores. Na relação contratual com a Cloudflare, porém, o cenário muda completamente. Os contratos dessas grandes provedoras de infraestrutura limitam fortemente a responsabilidade: normalmente o “remédio” máximo é crédito em fatura ou desconto futuro, com exclusão de danos indiretos, lucros cessantes e outras perdas consequenciais. Em outras palavras, a empresa até pode reivindicar reparação, mas, em regra, encontra um teto contratual baixo e uma jurisdição estrangeira pouco favorável para litígios de alto valor. Então, sim, existe espaço jurídico para discutir indenização, mas o modelo de negócio dessas big techs de infraestrutura é estruturado justamente para blindá-las de uma responsabilização ampla por esse tipo de falha global. Quem fica no “front” jurídico é, quase sempre, a empresa que o usuário enxerga na tela.

EXAME: Estamos testemunhando quase todos os meses ataques contra infraestruturas de segurança. Os hackers melhoraram, o sistema de defesa das empresas piorou… ou as duas coisas?

Coelho: As duas coisas. E ainda tem um terceiro elemento: a complexidade. De um lado, os atacantes ficaram mais sofisticados, melhor organizados e com acesso a ferramentas poderosas, inclusive baseadas em inteligência artificial para automatizar varreduras, exploração de falhas e engenharia social. De outro, muitas empresas ainda tratam segurança como “projeto de TI” e não como risco estratégico, acumulando sistemas legados, integrações mal feitas e falta de atualização. No caso específico da Cloudflare hoje, a própria empresa já indicou que a origem foi um problema interno, ligado a um bug latente acionado após uma alteração de configuração rotineira, que acabou gerando uma cascata de erros 500 na rede global, e não um ataque externo deliberado. Isso mostra outro ponto: mesmo quando não há hacker na história, a superfície de risco é tão grande que um erro de configuração, um bug de software ou uma cadeia de dependências mal mapeada pode produzir um efeito equivalente, do ponto de vista do usuário: tudo cai. A sensação de que “estamos mais vulneráveis” é verdadeira, mas não só porque os criminosos melhoraram — é porque nossa infraestrutura digital tornou-se mais complexa, interdependente e concentrada em poucos hubs mundiais.

EXAME: Nessa parte de infraestrutura de tecnologia, estamos dependentes de poucas empresas. Temos solução para isso ou ficaremos nessa situação pelos próximos anos?

Coelho: Hoje, sim, estamos concentrados em poucos atores globais de infraestrutura. Cloudflare, grandes nuvens, grandes provedores de DNS e CDNs. Isso não é acidente, é modelo de negócio: ganho de escala, custos menores e performance melhor levam naturalmente à concentração. Tecnicamente, existem caminhos de mitigação: multicloud, redundância de DNS, uso de mais de uma CDN,  segmentação por região, entre outros. Muitos players grandes já trabalham com esse tipo de desenho, mas isso exige investimento, equipe qualificada e uma visão de segurança que vá além do “vamos colocar tudo em um lugar só porque é mais barato e simples”. No curto prazo, é pouco provável que essa concentração desapareça. O que tende a acontecer é uma pressão maior por resiliência — tanto de reguladores quanto de grandes clientes — e uma exigência mais forte de transparência e gestão de risco de terceiros. Em setores críticos, como financeiro, saúde e serviços essenciais, a discussão sobre dependência excessiva de um único provedor de infraestrutura deve ganhar força, inclusive com exigências regulatórias específicas. Em resumo: não estamos condenados a essa dependência absoluta, mas vamos continuar convivendo com esse modelo pelos próximos anos. A diferença estará entre quem trata isso como risco estratégico e constrói redundância, e quem segue apostando na sorte até a próxima queda.

EXAME: O Brasil está melhor posicionado na questão da segurança cibernética que outros países ou não, tudo está interligado?

Coelho: Quando falamos de infraestrutura de internet e de provedores globais como a Cloudflare, tudo está interligado. A queda de hoje afetou serviços no mundo inteiro, inclusive no Brasil, justamente porque uma parte relevante da internet brasileira passa, em algum ponto, por essas mesmas “estradas” globais. O Brasil avançou bastante em regulação - LGPD, atuação mais presente do Banco Central em temas de segurança no sistema financeiro, resoluções sobre continuidade de negócios, PIX com mecanismos específicos de proteção etc, mas isso não nos isola tecnicamente de incidentes que acontecem em Londres, nos EUA ou em qualquer outro ponto da rede da Cloudflare. Nosso diferencial, hoje, não é estar “mais protegido” em relação ao restante do mundo, e sim ter um ambiente regulatório que começa a exigir governança, gestão de risco e resposta a incidentes de forma mais estruturada. Porém, do ponto de vista de infraestrutura física e lógica, continuamos dependendo das mesmas grandes espinhas dorsais globais. Em termos práticos, a pergunta não é se o Brasil está melhor ou pior isoladamente, e sim como empresas brasileiras estão se posicionando dentro desse cenário global: com planos de contingência, redundância e governança madura, ou apenas aceitando a narrativa de que “isso é coisa da nuvem” e não há o que fazer? A queda de hoje é um lembrete de que segurança cibernética não é um tema só técnico, nem só estrangeiro — é risco de negócio brasileiro, em tempo real.