O moderno edifício de escritórios perto do porto de Reykjavik, a capital da Islândia, é mais conhecido como a sede do Museu Falológico Islandês, que exibe 320 espécimes de pênis de mamíferos.
Para aqueles que rastreiam a criminalidade cibernética, no entanto, o edifício também tem a reputação de ser um paraíso offshore virtual para alguns dos piores perpetradores de roubo de identidade, ransomware (bloqueio de informações mediante resgate), desinformação, fraude e outros delitos do mundo on-line.
Isso porque o endereço do museu, Kalkofnsvegur 2, também é o endereço registrado da Withheld for Privacy, empresa que faz parte de uma indústria em expansão e não regulamentada na Islândia e em outros lugares, que permite que pessoas que operam domínios on-line escondam sua identidade.
Embora a prática tenha se tornado comum para proprietários de sites que buscam se proteger de assédio ou spam, ela também ajudou outros a cobrir seus rastros de reguladores, autoridades policiais ou de suas vítimas.
A Withheld for Privacy, e outros chamados serviços de proxy, transformaram a Islândia em um centro global de atividades ilícitas. A companhia —criada em 2021 pela Namecheap, uma das maiores provedoras de sites do mundo— efetivamente encobriu dezenas de milhares de sites suspeitos. Até mesmo autoridades locais disseram que haviam tentado e não tinham conseguido entrar em contato com representantes da empresa quando os problemas surgiram.
Pesquisadores da Universidade de Syracuse, que estudam publicidade política enganosa no Facebook e no Instagram, depararam-se com o museu do pênis ao tentar rastrear os proprietários de um site que gastou US$ 1,3 milhão em anúncios fraudulentos direcionados a apoiadores do ex-presidente Donald Trump.
A internet está repleta de sites semelhantes tentando ludibriar usuários. Os serviços de proxy tornam ainda mais difícil capturar ou mesmo identificar os perpetradores dos abusos.
Como a Withheld for Privacy usa o endereço do prédio para seus clientes, o Kalkofnsvegur 2 foi vinculado a fóruns on-line usados por um grupo supremacista branco nos Estados Unidos, o Patriot Front, para vender medicamentos hormonais falsificados a mulheres trans; foi também atribuído a sites de phishing se passando por empresas como Amazon, Coinbase e Spotify para roubar dinheiro e informações pessoais de visitantes; e a campanhas de influência russa destinadas a espalhar narrativas falsas para americanos desavisados.
Os esforços russos, que os EUA vincularam à administração do presidente Vladimir Putin, incluem mais de 130 veículos de notícias falsas registrados este ano por um ex-xerife adjunto da Flórida que agora mora em Moscou, John Mark Dougan. Entre as ações mais recentes de Dougan, havia uma entrevista encenada no site da KBSF-TV, em San Francisco —um canal que não existe—, fazendo uma alegação falsa de que a vice-presidente Kamala Harris feriu uma garota em um acidente de carro com atropelamento em 2011.
A Islândia é um lugar atraente para serviços de proxy, em grande parte por causa de suas robustas leis de privacidade. Estas, segundo autoridades do país, têm como objetivo proteger usuários comuns de governos autoritários, e não abrigar fraudadores ou outros criminosos.
“Tínhamos o objetivo de criar o que chamamos de Suíça dos bytes. Em vez disso, abusaram do trabalho que fizemos”, declarou Mordur Ingolfsson, ex-membro do parlamento da Islândia que ajudou a promulgar algumas das primeiras leis de privacidade da internet do país.
Nem a Withheld for Privacy nem a Namecheap responderam a repetidos pedidos de comentários para esta reportagem.
“O serviço deles só serve para esconder quem é o verdadeiro controlador”, afirmou Valborg Steingrimsdottir, chefe de supervisão da Autoridade de Proteção de Dados da Islândia. Domínios da internet são como a versão on-line de um endereço normal de rua; um site é como o prédio nessa rua.
Há muito tempo, os domínios são regulamentados pela Corporação da Internet para Atribuição de Nomes e Números, organização internacional sem fins lucrativos conhecida como Icann, que o governo dos EUA criou em 1998. Até 2018, qualquer pessoa que buscasse usar um domínio era obrigada a divulgar informações de contato, que eram então registradas em bancos de dados públicos pesquisáveis. O objetivo era garantir a confiança do público em que os sites eram o que diziam ser.
Então, a União Europeia aprovou a lei de privacidade on-line mais rigorosa do mundo, o Regulamento Geral de Proteção de Dados. Suas estipulações, que moldaram os padrões globais, permitem que a maioria dos registrados proteja suas informações de contato. A proteção por proxy logo se tornou, em muitos casos, um recurso padrão.
Ao contrário de certos domínios de nível superior, como “.gov” para sites do governo dos EUA e do Brasil também, ou o “.is” na Islândia, os domínios mais familiares como “.com”, “.org” e “.net”, e a maioria dos outros, são mantidos por empresas privadas chamadas registradores.
Muitas —incluindo a GoDaddy, a maior— oferecem serviços de privacidade para registro de domínio, geralmente sem custo, e enfrentam pouca pressão para compartilhar informações sobre clientes potencialmente problemáticos. “Num momento em que o crime cibernético e as preocupações com a desinformação estão aumentando, a indústria se tornou muito opaca”, observou Greg Aaron, presidente da Illumintel, empresa de consultoria que fornece serviços de política e segurança da internet.
As empresas de tecnologia, que alegam não serem responsáveis quando seus produtos ou serviços são usados de forma ilícita, enfrentam uma reação cada vez maior na Islândia e em outros países. A Autoridade de Proteção de Dados da Islândia, aliada à promotoria e ao Ministério das Telecomunicações, pressiona por uma legislação que efetivamente proíba serviços como a Withheld for Privacy de operar no país.
A Namecheap anunciou, em 2021, que estava mudando seu serviço de domínio de privacidade para o Withheld for Privacy; anteriormente, havia usado um proxy baseado no Panamá. O anúncio dizia que a empresa havia escolhido a Islândia porque era “um país conhecido por seus padrões de privacidade”.
A Withheld for Privacy, como muitos de seus clientes, é uma entidade misteriosa; sua atividade é aparentemente ofuscada pelo seu desenho técnico. Está registrada em Kalkofnsvegur 2, de acordo com o departamento de impostos da Islândia, mas não há nenhum sinal externo de que o serviço ocupe espaço no prédio de seis andares.
O diretor da Withheld for Privacy está listado como Sergio Raygoza Hernandez, do México, de acordo com registros públicos no departamento de impostos em Reykjavik. Não conseguimos contato com ele nem com qualquer outra pessoa por meio do número de telefone ou do endereço de e-mail fornecidos pelo site da empresa.
A Isnic, empresa privada responsável pela regulamentação do domínio “.is” da Islândia, também não conseguiu entrar em contato com ninguém da Withheld for Privacy. O grupo estava tentando verificar a identidade de pessoas que tentaram registrar cinco domínios .is usando a Withheld for Privacy.
O diretor executivo da Isnic, Jens Petur Jensen, afirmou que, por lei, a Isnic poderia bloquear esses cinco domínios, mas a Islândia não tem autoridade legal sobre sites que usam outros domínios, mesmo que estejam registrados em endereços no país.
Quase imediatamente depois que a Withheld for Privacy foi registrada, em 2021, autoridades ao redor do mundo começaram a rastrear atividades problemáticas até Kalkofnsvegur 2.
Naquele ano, o Conselho de Valores Mobiliários do estado do Texas emitiu uma ordem de bloqueio contra um site registrado lá, Prestige Assets Management, acusando-o de executar um esquema para se passar por outra empresa e enganar investidores em potencial para que lhes dessem informações de identificação confidenciais.
A Agência de Segurança em Infraestrutura e Cibersegurança, em Washington, também emitiu um alerta naquele ano sobre dois sites de ransomware no endereço de Reykjavik vinculados ao DarkSide, grupo de hackers cibernéticos sediado na Rússia que executou um ataque a um grande oleoduto dos EUA.
Um grupo de sites escondidos atrás da Withheld for Privacy foi vinculado a uma campanha on-line para difamar o ator canadense Simu Liu. Outros sites incluíam golpes aparentes que tinham como alvo candidatos a um emprego e a um apartamento, entusiastas de carros esportivos e músicos, buscando informações pessoais ou dados financeiros.
Dougan, o ex-xerife adjunto, agora na Rússia, registrou seus novos domínios por meio da Withheld for Privacy depois que seus registros para sites anteriores nos EUA foram expostos como organizações de notícias falsas, de acordo com McKenzie Sadeghi, pesquisador da NewsGuard, empresa que rastreia desinformação on-line.
O site falso de notícias de televisão que espalhou a falsa alegação sobre o acidente de carro de Harris —que a Microsoft e o governo dos EUA vincularam no mês passado ao Kremlin— foi registrado apenas em agosto, de acordo com o banco de dados da Icann. O site foi bloqueado desde então. Dougan se recusou a comentar os sites registrados na Islândia.
A Withheld for Privacy registrou cerca de 35 milhões de domínios no prédio em Reykjavik, a maioria, presumivelmente, de usuários legítimos. A opacidade do serviço de privacidade, no entanto, tornou mais difícil o policiamento daqueles que não são. “Onde o uso para e o abuso começa? Essas são perguntas muito difíceis, e não conseguimos responder a elas”, disse Ingolfsson, ex-legislador.