Tokelau, um colar de três atóis isolados espalhados pelo Pacífico, é tão remoto que foi o último lugar na Terra a ser conectado ao telefone — somente em 1997.
Apenas três anos depois, as ilhas receberam um fax com uma proposta de negócios improvável que mudaria tudo.
Era de um dos primeiros empresários da Internet de Amsterdã, chamado Joost Zuurbier. Ele queria gerenciar o domínio de nível superior com código de país de Tokelau, ou ccTLD — a sequência curta de caracteres que é anexada ao final de um URL.
Até aquele momento, Tokelau, formalmente um território da Nova Zelândia, nem sabia que havia recebido um ccTLD. “Descobrimos o .tk”, lembrou Aukusitino Vitale, que na época era gerente geral da Teletok, a única operadora de telecomunicações de Tokelau.
Zuurbier disse “que pagaria a Tokelau uma certa quantia em dinheiro e que Tokelau permitiria o uso do domínio”, lembra Vitale. Tudo isso foi uma surpresa, mas fechar um acordo com Zuurbier foi uma vitória para Tokelau, que não tinha recursos para administrar seu próprio domínio. No modelo pioneiro de Zuurbier e sua empresa, agora chamada Freenom, os usuários podiam registrar um nome de domínio gratuito por um ano em troca de anúncios hospedados em seus sites. Se quisessem se livrar dos anúncios ou manter seu site ativo a longo prazo, poderiam pagar uma taxa.
Nos anos seguintes, a pequena Tokelau se tornou um gigante improvável da internet, mas não da maneira que esperava. Até recentemente, seu domínio .tk tinha mais usuários do que o de qualquer outro país: incríveis 25 milhões. Mas houve e ainda há apenas um site realmente de Tokelau registrado com esse domínio: a página da Teletok. Quase todos os outros que usaram .tk foram spammers, phishers e criminosos cibernéticos.
Todo mundo na internet já se deparou com um .tk, mesmo que não tenha se dado conta disso. Como os endereços .tk eram oferecidos gratuitamente, ao contrário da maioria dos outros, Tokelau rapidamente se tornou o anfitrião involuntário do submundo das trevas, fornecendo um suprimento inesgotável de nomes de domínios que poderiam ser usados como armas contra os usuários da Internet. Os golpistas começaram a usar os sites .tk para fazer de tudo, desde coletar senhas e informações de pagamento até exibir anúncios pop-up ou distribuir malware.
CHRISSIE ABBOTT
Muitos especialistas dizem que isso era inevitável. “O modelo de distribuição de domínios gratuitos simplesmente não funciona”, diz John Levine, um dos principais especialistas em crimes cibernéticos. “Os criminosos pegam os domínios gratuitos, jogam fora e pegam mais domínios gratuitos.”
Tokelau, que estava durante anos, na melhor das hipóteses, apenas vagamente ciente do que estava acontecendo com o .tk, acabou manchado. Nos círculos de especialistas em tecnologia, muitos pintaram as pessoas de Tokelau com o mesmo pincel que os usuários de seu domínio ou sugeriram que eles estavam ganhando muito bem com o desastre do .tk. É difícil quantificar os danos a longo prazo para a região, mas a reputação tem um efeito enorme para pequenas nações insulares, onde até mesmo um investimento de alguns milhares de dólares pode ir longe. Agora, o território está tentando desesperadamente abalar sua reputação como a capital global do spam e finalmente limpar o .tk. Sua posição internacional, e até mesmo sua soberania, podem depender disso.
Conhecendo a modernidade
Para entender como chegamos até aqui, é preciso voltar aos caóticos primeiros anos da Internet. No final dos anos 90, Tokelau tornou-se o segundo menor lugar a receber um domínio da Corporação da Internet para Atribuição de Nomes e Números, ou ICANN, um grupo encarregado de manter a internet global.
Esses domínios são os catálogos de endereços que tornam a internet navegável para seus usuários. Embora seja possível criar um site sem registrar um nome de domínio para ele, seria como construir uma casa sem um endereço postal facilmente localizável. Muitos domínios são familiares. O Reino Unido tem .uk, a França, .fr e a Nova Zelândia, .nz. Há também domínios que não estão vinculados a países específicos, como .com e .net.
Os domínios da maioria dos países são administrados por fundações, órgãos governamentais ou empresas de telecomunicações nacionais de baixo perfil, que geralmente cobram alguns dólares para registrar um nome de domínio. Em geral, eles também exigem algumas informações sobre quem está registrando e mantêm um controle para evitar abusos.
Mas Tokelau, com apenas 1.400 habitantes, tinha um problema: simplesmente não tinha dinheiro ou know-how para administrar seu próprio domínio, explica Tealofi Enosa, que foi chefe da Teletok por uma década antes de deixar o cargo em julho de 2023. “Não seria fácil para Tokelau tentar gerenciar ou construir a infraestrutura local”, diz Enosa. “O melhor arranjo é alguém de fora gerenciá-la, comercializá-la e gerar dinheiro com ela.”
Isso é exatamente o que Zuurbier, o empresário de Amsterdã, queria fazer.
Zuurbier encontrou a Tokelau enquanto buscava a próxima grande ideia da internet. Ele estava convencido de que, assim como as pessoas haviam adotado milhões de endereços de e-mail gratuitos, a próxima etapa natural era que elas tivessem seus próprios sites gratuitos. Zuurbier pretendia colocar anúncios nesses sites, que poderiam ser removidos mediante o pagamento de uma pequena taxa. Tudo o que ele precisava para transformar essa ideia de um bilhão de dólares em realidade era um lugar com um ccTLD que ainda não tivesse encontrado um registrador.
Tokelau — o último canto do Império Britânico a ser informado sobre a eclosão da Primeira Guerra Mundial, onde o rádio regular de ondas curtas não estava disponível até os anos 70 e a maioria das pessoas ainda não tinha visto um site — era o parceiro perfeito.
Representantes de Tokelau e Zuurbier se reuniram no Havaí em 2001 e assinaram um acordo. Rapidamente, os nomes de domínio .tk começaram a aparecer, pois as pessoas aproveitaram a oportunidade de criar sites gratuitamente. Ele ainda tinha que convencer a ICANN, que supervisiona o sistema de nomes de domínio, de que Tokelau não poderia hospedar seus próprios servidores — um dos critérios para ccTLDs. Mas Tokelau — que desligava sua energia à meia-noite — ainda precisaria de uma conexão de internet confiável para manter contato. Em 2003, Zuurbier fez uma extenuante viagem de barco de 36 horas de Samoa a Tokelau para instalar roteadores que ele havia comprado por US$ 50 no eBay.
A conexão discada não era mais confiável. Tokelau havia conhecido a modernidade. “Ele forneceu todos os equipamentos, conectou os três atóis e também forneceu alguns fundos que eu usei para compartilhar com a comunidade”, diz Vitale, que criou cibercafés que podiam ser usados gratuitamente por qualquer pessoa dos quatro vilarejos de Tokelau.
Pela primeira vez, milhares de tokelauenses na Nova Zelândia puderam se conectar facilmente com seus países. “O que era importante para Tokelau era que estávamos recebendo algum dinheiro que poderia ajudar os vilarejos”, diz Vitale. Muitas das inscrições iniciais no .tk eram de pessoas completamente inócuas que queriam escrever em blogs sobre pensamentos e feriados, bem como comunidades de jogos e pequenas empresas.
Zuurbier enviou à Teletok relatórios regulares sobre o crescimento do .tk, e eles indicavam que o modelo de domínio livre estava funcionando melhor do que se esperava. A Tiny Tokelau, que recebia uma pequena parte dos lucros obtidos por Zuurbier, estava se tornando global.
“Estávamos ouvindo como o .tk era bem-sucedido. Éramos maiores que a China”, diz Vitale. “Ficamos surpresos, mas não sabíamos o que isso significava para Tokelau. O que era mais significativo na época era que estávamos recebendo dinheiro para ajudar as aldeias. Na época, não conhecíamos o outro lado da questão.”
No entanto, com o passar da década, Vitale achou que as coisas estavam começando a sair do rumo. “Entramos às cegas”, diz ele. “Não sabíamos o quão popular seria.”
As coisas desmoronam
Foi preciso esperar até o final dos anos 2000 para que Vitale percebesse que algo havia dado muito errado. Depois que os problemas começaram a surgir, Zuurbier convidou ministros e conselheiros de Tokelau para irem à Holanda, pagou seus voos e explicou os detalhes do negócio em um esforço para tranquilizá-los. Eles foram assistir ao jogo de Samoa na Copa do Mundo de Rugby na França.
“Ele [Zuurbier] parecia ser uma pessoa muito legal”, lembra Vitale. “Havia todas essas coisas legais que pareciam ser caseiras, calorosas.” O .tk havia atingido a marca de 1 milhão de usuários de domínios.
Mas logo após essa viagem, segundo ele, Zuurbier começou a atrasar os pagamentos programados para Tokelau, no valor de centenas de milhares de dólares (a MIT Technology Review solicitou uma entrevista com Zuurbier. Ele inicialmente aceitou, mas depois não atendeu ao telefone nem respondeu às mensagens).
Enquanto isso, Vitale começou a receber reclamações de membros preocupados da “comunidade da internet”. Ele e seus colegas começaram a perceber que os criminosos e outras figuras questionáveis haviam se dado conta dos benefícios que o registro de domínios gratuitos poderia trazer — fornecendo um suprimento quase ilimitado de sites que poderiam ser registrados com anonimato virtual.
“Era óbvio desde o início que o resultado não seria bom”, diz Levine, coautor do livro The Internet for Dummies. “As únicas pessoas que querem esses domínios são os criminosos.”
Levine diz que o domínio .tk começou a atrair personagens desagradáveis quase que imediatamente. “O custo do nome de domínio é ínfimo em comparação com tudo o mais que você precisa fazer [para criar um site], portanto, a menos que você esteja fazendo algo estranho que realmente precise de muitos domínios — o que geralmente significa criminosos — então o valor real dos domínios gratuitos é insignificante”, diz ele.
O que começou como reclamações de técnicos para a Vitale sobre spam, malware e phishing nos domínios .tk logo se transformou em reclamações mais preocupantes do administrador neozelandês encarregado de supervisionar Tokelau, perguntando-lhe se ele sabia quem eram os usuários do .tk. Surgiram alegações de que os sites .tk estavam sendo usados para pornografia. Pesquisadores encontraram jihadistas e a Ku Klux Klan registrando sites .tk para promover o extremismo. Hackers apoiados pelo Estado chinês foram encontrados usando sites .tk para campanhas de espionagem.
“Coisas satânicas” é como Vitale descreve o fato: “Havia algumas atividades que não estavam realmente alinhadas com nossa cultura e nosso cristianismo, então isso não funcionou muito bem para Tokelau.” Como Zuurbier não respondia aos e-mails de preocupação, Vitale decidiu desconectá-lo da internet. Ele iniciou negociações com a internet NZ, o registro que administra o domínio limpo da Nova Zelândia, sobre como Tokelau poderia se livrar do acordo. Ele não conseguiu obter uma resposta antes de se afastar da Teletok.
Seu sucessor, Enosa, tentou estabelecer uma nova relação e assinou novos contratos com Zuurbier com o entendimento de que ele limparia o .tk. No entanto, isso nunca aconteceu. Um dos últimos atos de Enosa como gerente geral da Teletok, no verão de 2023, foi reabrir as negociações com a Internet NZ sobre como Tokelau poderia se livrar do acordo de uma vez por todas.
Enquanto isso, a maioria dos residentes de Tokelau não estava nem mesmo ciente do que estava acontecendo. Elena Pasilio, uma jornalista, viu em primeira mão o quanto isso estava prejudicando seu país. Quando ela estava estudando na Nova Zelândia, há alguns anos, as pessoas — sabendo de onde ela era — começaram a marcá-la em publicações nas mídias sociais reclamando do .tk.
No início, ela se sentiu confusa; levou algum tempo até que ela percebesse que .tk significava Tokelau. “Fiquei realmente surpresa com a quantidade de usuários, mas depois percebi que muitas pessoas estavam usando o .tk para criar sites duvidosos, e então me senti envergonhada. Fiquei constrangida porque havia nosso nome nele”, explica Pasilio. “Nosso nome foi envolvido em crimes que as pessoas daqui nem sequer começariam a entender.”
Tanto Vitale quanto Enosa têm a sensação de que Zuurbier pouco se importou com o fato da reputação de Tokelau ter sido arrastada pela lama. “Eu discutia com Joost”, diz Enosa, acrescentando que ele o lembrava de que era o guardião de um ativo legal que pertencia somente a Tokelau. De acordo com Enosa, ele revidava: “Eu construí essa infraestrutura do meu próprio bolso. Gastei milhões de dólares para construí-la. Você acha que foi fácil? Você acha que Tokelau pode construir esse tipo de infraestrutura por conta própria?”
“Eu disse: ‘Tudo bem. Entendi”, lembra Enosa. “Eu entendi como um homem branco vê as coisas. Você sabe? É assim que os homens brancos veem as coisas. Eu entendo isso.”
Colonialismo digital
O que aconteceu com Tokelau não é único. Os domínios de pequenas ilhas do Pacífico são citados em várias histórias que celebram a sorte ou reclamam de abusos em massa.
Tuvalu conseguiu transformar o domínio .tv em aproximadamente 10% de seu PIB anual. O domínio .fm da Micronésia tem sido muito utilizado por estações de rádio e podcasters. O .to de Tonga tem sido preferido por sites de torrent e de streaming ilegal. Anguilla, no Caribe, está promovendo fortemente seu .ai para startups de tecnologia.
Mas essas histórias de sucesso parecem ser a exceção. Em 2016, o Anti-Phishing Working Group descobriu que, juntamente com .tk e .com, as ilhas australianas Cocos (.cc) e Palau (.pw) representavam 75% de todos os registros de domínios maliciosos. Eles foram inundados por phishers que atacaram instituições financeiras chinesas. As Ilhas Cocos foram manchetes na Austrália quando sites que supostamente hospedavam imagens de abuso sexual infantil foram encontrados recentemente em seu domínio.
Os domínios cujos nomes — por sorte linguística — pareciam significar algo tendiam a atrair melhores gerentes. Os tubarões parecem ter circulado em torno daqueles que não tinham esse significado ou que tinham um mercado menos claro.
Embora o abuso dos domínios das Ilhas do Pacífico tenha aumentado e diminuído ao longo dos anos, o tamanho minúsculo das ilhas significa que mesmo pequenas associações com o crime podem ter consequências prejudiciais.
“Há um problema na Polinésia”, diz Pär Brumark, um sueco que representa a ilha de Niue, no Pacífico, no exterior. “Você tinha esses cowboys da internet correndo por aí levando domínios para todos os lugares.”
Niue perdeu o controle sobre o domínio .nu depois que ele foi “roubado” por um americano no final dos anos 90, diz Brumark. Sua administração foi dada à Swedish Internet Foundation, que administra o domínio .se, nativo da Suécia, em um “acordo obscuro” em 2013, segundo ele. O .nu tem sido muito popular na Suécia, pois é traduzido diretamente para “agora”. Niue, que também está ligada à Nova Zelândia, está travando uma batalha de Davi contra Golias nos tribunais suecos. Ela está buscando até US$ 20 milhões em perda de receita — quase o valor de um ano do PIB anual de Niue.
“Colonialismo digital”, afirma Brumark. “Eles exploram recursos de outro país sem dar nada em troca. Eles nunca falaram com o governo. Não têm permissões. Eles exploram. Para mim, colonialismo é quando você toma recursos de um país que não tem permissão para tomar.”
Mas agora pode finalmente haver alguma responsabilidade — pelo menos no caso de Zuurbier.
Em dezembro de 2022, os tribunais da Holanda decidiram a favor de um investidor que estava processando a Freenom, a empresa que administrava o .tk e quatro outros domínios — do Gabão, Guiné Equatorial, República Centro-Africana e Mali — que foram posteriormente adicionados ao modelo pioneiro. Os tribunais concluíram que a Freenom havia descumprido várias regras de relatório e nomearam um diretor de supervisão.
E em março deste ano, a Meta, proprietária do Facebook, Instagram e WhatsApp, também processou a Freenom por danos, alegando que os sites hospedados em .tk e nos quatro domínios africanos estavam envolvidos em cybersquatting, phishing e violação de marca registrada. Meta forneceu exemplos de sites que pareciam estar registrados em .tk com o propósito expresso de enganar os usuários, como faceb00k.tk, whatsaap.tk, Instaqram.tk.
Em uma entrevista ao jornal holandês NRC, Zuurbier negou as alegações da Meta sobre a “proliferação do crime cibernético”. Mas o Cybercrime Information Center informou recentemente que “nos últimos anos, os domínios Freenom foram usados para 14% de todos os ataques de phishing em todo o mundo, e o Freenom foi responsável por 60% dos domínios de phishing relatados em todos os ccTLDs em novembro de 2022”. Zuurbier diz que a Freenom distribuiu para mais de 90 organizações confiáveis, incluindo a Meta, uma API que lhes permitiu derrubar sites ofensivos e que a própria Meta não continuou a usá-la. Mas muitos no setor de tecnologia se ressentem do que consideram ser a Freenom transferindo o custo do policiamento de seus domínios para outros.
Desde janeiro de 2023, não é mais possível registrar um domínio .tk. Todos os quatro países africanos — muitos deles, milhares de vezes maiores do que Tokelau — romperam os laços com a Freenom. Tokelau, que não parecia estar ciente de que havia outros países no mesmo barco, ainda está tentando descobrir o que fazer em seguida.
Agora, parece que a Freenom está basicamente encerrada como empresa. Mas Enosa não acredita que isso impedirá Zuurbier de buscar mais esquemas obscuros. “Joost sempre vence”, diz ele.
Mudança de tática
Sem acesso ao conjunto ilimitado de nomes de domínios gratuitos que estavam disponíveis no .tk e nos outros quatro ccTLDs da Freenom, muitos grupos de crimes cibernéticos que dependiam deles estão sendo forçados a se adaptar. É provável que certas abordagens de spam e phishing, que são muito dispersas, saiam de moda. “Os remetentes de spam são bastante racionais”, explica Levine, o especialista em spam. “Se o spam é barato e os domínios são gratuitos, eles podem se dar ao luxo de enviar muito spam, mesmo que a probabilidade de resposta seja menor. Se eles realmente tiverem que pagar pelos domínios, é provável que o façam de forma muito mais direcionada.”
“Coisas ruins online exigem um nome de domínio em algum momento”, diz Carel Bitter, chefe de dados do Projeto Spamhaus, que rastreia atividades maliciosas na internet. “Você precisa que as pessoas vão a algum lugar para preencher os detalhes de suas contas. Se não for possível obter domínios gratuitamente, será necessário obtê-los em outro lugar.” Os analistas observaram um aumento no uso mal-intencionado de TLDs genéricos “novos” e baratos, como .xyz, .top e .live, cujas reputações foram destruídas por negociantes desonestos.
Embora outros domínios possam custar apenas US$ 1, uma gota no oceano para as maiores gangues, o fato de que agora eles precisam ser comprados pode limitar os danos, diz Bitter: “Qualquer negócio de crime cibernético que dependa de nomes de domínio terá algum tipo de limite natural que determina quanto eles podem gastar em nomes de domínio.” Outros, porém, podem tentar comprometer sites existentes com baixa segurança.
É provável que as operações de “porão” — as chamadas “ankle-biters” — sejam as mais afetadas. “O que é possível é que os caras que estão apenas fazendo isso como um hobby não queiram investir o dinheiro, mas os profissionais não estão indo embora”, diz Dave Piscitello, diretor de atividades de pesquisa do Cybercrime Information Center. “Eles irão para outro lugar. Se você está organizando uma revolução e o custo de uma Kalashnikov passa de US$ 150 para US$ 250, você não vai dizer ‘Esqueça’. É o negócio.”
Uma questão existencial
A mídia às vezes informa que Tokelau ganha milhões com o uso do .tk. O próprio Zuurbier afirma em seu LinkedIn que seu relacionamento com Tokelau acrescenta mais de 10% ao PIB dos atóis.
“Besteira”, diz Enosa quando perguntado. “Isso é mentira.”
Enosa afirma que o .tk forneceu uma proporção “muito pequena” da renda da Teletok: “Ele não nos dá um bom dinheiro. O .tk não representava nada para minha receita.”
Embora a chegada da internet em Tokelau tenha prometido o envio instantâneo de informações por todo o Pacífico, as ilhas permaneceram isoladas. Mesmo quando eu estava escrevendo esta reportagem, demorou semanas para entrar em contato com Pasilio e outras fontes de lá. As entrevistas foram adiadas várias vezes devido ao preço dos pacotes de dados. A internet em Tokelau está entre as mais caras do mundo, e o valor de NZ$ 100 (US$ 60) em dados às vezes pode durar apenas 24 horas por vez. As chamadas telefônicas da Europa para Tokelau não foram conectadas.
“Sinto muito por nossa Tokelau”, diz Pasilio. “Fomos enganados. Acho que as pessoas ficariam chocadas se soubessem o que está acontecendo com o .tk.”
Mesmo muitos anciãos de Tokelau não entendiam completamente o problema, pelo menos até recentemente.
Há outros problemas, possivelmente mais existenciais, com os quais as ilhas precisam lidar, incluindo as mudanças climáticas, a emigração e o futuro relacionamento dos atóis com a Nova Zelândia. “Nossas ilhas já estão encolhendo, com o aumento do nível do mar”, diz Pasilio. Ela diz que seu pai lhe conta sobre recifes e bancos de areia que afundaram no Pacífico. “Eles preferem se preocupar com coisas que podem ver fisicamente e sobre as quais têm mais conhecimento, em vez de lutar contra essa questão do .tk”, diz ela.
Mas a questão do domínio .tk abusado foi levantada recentemente no General Fono, ou Parlamento, indicando que a questão finalmente saiu de seu nicho técnico e chegou ao público em geral.
Esses problemas existenciais enfrentados pelas ilhas não são totalmente alheios ao .tk. As dúvidas sobre o futuro do domínio surgiram ao mesmo tempo em que foi retomado o debate sobre o futuro político de Tokelau.
Tokelau é classificado pelas Nações Unidas como um “território não autônomo” sob a supervisão do Comitê Especial de Descolonização. Em 2006 e 2007, foram aprovados referendos sobre a possibilidade de Tokelau entrar em “associação livre” com a Nova Zelândia — um possível trampolim para uma eventual independência —, mas não houve votos suficientes da população de Tokelau para atingir o limite de participação. Em maio de 2022, foi decidido que outro referendo sobre o futuro de Tokelau seria realizado antes do centenário do governo da Nova Zelândia em 2025.
Reparar a reputação internacional devastada de Tokelau por meio da limpeza do .tk será uma necessidade se os atóis quiserem fazer alguma proposta séria de soberania. Vitale é agora o gerente geral do governo de Tokelau e quer ver seu domínio na Internet retornar triunfante para deixar claro que as ilhas estão virando uma nova página.
“Estamos construindo uma nação aqui”, explica ele. “Estamos em um caminho rumo à autodeterminação. Queremos usar o .tk como um catalisador para promover nossa nacionalidade e nos orgulharmos dela — nosso nome de domínio e nossa identidade entre a comunidade da Internet.”
Todos os endereços de e-mail e sites de Tokelau estão atualmente hospedados no .nz da Nova Zelândia. “O que isso significa para as pessoas? Significa que estamos na Nova Zelândia”, diz Vitale com um suspiro. “Deveríamos estar nos vendendo como estando em Tokelau, porque .tk é o domínio — a identidade — de Tokelau.”
“Quando as pessoas batem à sua porta com pacotes atraentes”, acrescenta ele, “você vê isso como uma oportunidade que pode aproveitar, sem perceber quais serão as consequências no futuro”.
MIT Technology Review
