29,8 TB en 90 Días: VECERT Mapea el Estado de la Ciberinseguridad Brasileña en 2026 — 32 Actores, 214 Entidades Comprometidas y 1.752 SMTPs Corporativos a la Venta

El 27 de abril de 2026, VECERT — empresa de threat intelligence y una de las fuentes primarias de información en el área de ciberseguridad de ON3X — publicó lo que puede considerarse la fotografía más nítida del estado actual de la ciberseguridad brasileña. En un único hilo en X (antiguo Twitter), acompañado de dos dashboards detallados, el equipo consolidó en números los primeros cuatro meses del año. El cuadro: 32 threat actors activos, 214+ organizaciones brasileñas comprometidas, 41 leaks o bases de datos publicados, 29,8 TB de datos sensibles filtrados en 90 días. Además: 1.752 cuentas SMTP corporativas brasileñas a la venta en mercado paralelo, y 3.528 credenciales high-profile circulando en foros de cibercrimen desde 2023.

Anatomy of Brazilian Threat Actors — dashboard publicado por VECERT el 27 de abril de 2026, consolidando 90 días de actividad.

Estos números tienen peso porque cierran una narrativa que venía apareciendo en partes. En el Abril Negro del Brasil Digital que cubrimos a principios de esta semana, mapeamos cinco eventos en ocho días — VECERT alertando sobre IDOR de 2 millones, MORGUE con 251 millones de CPFs alegadamente comprometidos, NormalLeVrai y el sistema de email del gobierno federal, m0z1ll4s contra Mariana Pimentel y PSB-RS. Era pico, parecía onda. El dashboard publicado ahora muestra que no era pico. Era muestra de algo mucho mayor, en curso desde hace meses, con curva exponencial.

Brasil entró en cerco digital estructural. Ya no es más serie de manchetas aisladas. Es política de la realidad.

Los números del cerco, en una página

El dashboard "Anatomy of Brazilian Threat Actors", publicado por VECERT, agrega tres meses de monitoreo continuo de foros de cibercrimen, dark web y canales privados de Telegram que comercializan datos brasileños. Las métricas-ancla:

• 58 posts analizados en foros en los últimos 90 días con material brasileño a la venta o ya filtrado.
• 32 threat actors activos con al menos un incidente confirmado contra objetivo brasileño en el período.
• 214+ entidades brasileñas comprometidas — empresas, municipalidades, órganos federales, hospitales, bancos.
• 41 bases de datos o leaks distintos publicados.
• 29,8 TB de datos filtrados acumulados.
• Volumen mensual creciente: ~5 TB en marzo, ~10 TB en abril, proyección de ~15 TB en mayo.

El punto cualitativo más importante: la cadencia. En marzo de 2026, el promedio era aproximadamente 1 post de leak por día involucrando a Brasil. En la segunda mitad de abril, ese número saltó a 3 a 4 incidentes graves diarios, con prioridad en portales .gov.br. Esta curva — no los totales aislados — es la señal de que el ambiente salió de "puntos altos episódicos" a "ataque sostenido en escala industrial".

Los 5 actores principales — quién es quién

El dashboard nombra y clasifican los actores más activos en el período. Los cinco principales merecen perfil rápido, porque aparecerán en manchetas en los próximos meses:

1. wh6ami — 7 incidentes, todos contra infraestructura gubernamental. Es el actor más activo del trimestre. Enfoque en municipalidades de pequeño y mediano porte (Cámara Municipal de Cacique Doble, Municipio de Porto Estrela, Cámara Municipal de Barra do Bugres). Patrón: objetivos con baja madurez de seguridad y alta densidad de datos personales.
2. ByteToBreach — 3 incidentes. Especialista en extracción masiva de datos. A diferencia de wh6ami, opera contra objetivos corporativos mayores, con volúmenes por incidente significativamente más altos.
3. Spirigatito — 3 incidentes, enfoque gubernamental (Municipalidad de Caieiras es caso reciente). Patrón de objetivo similar al wh6ami, pero con cadencia menor y tickets mayores.
4. m0z1ll4s — 2 incidentes, enfoque en Banking & Telecom. Este actor ya apareció en nuestra cobertura en el caso Mariana Pimentel/PSB-RS. El 26 de abril, fue atribuido también el breach de ri.oi.com.br (Telecom Oi), y el 25 de abril, la filtración conjunta .rs.gov.br + psbrs.org.br.
5. Buddha — 2 incidentes, pero de magnitud desproporcionada. Es el actor atribuido al MORGUE (251 millones de CPFs supuestamente vinculados a Gov.br) y al dump Serasa 2022 (223 millones de ciudadanos brasileños, 1,8 TB) republicado el 9 de abril. Cuando Buddha aparece, es magnitud nacional.

Otros nombres que aparecen con volumen relevante: dosifey, breach3d, Solonik, xorcat, NormalLeVrai (atribuido al acceso al sistema de email del gobierno federal, según ya cubrimos), pstipwner, RubiconH4ck (atribuido a la base de datos bancaria brasileña de 2,3 millones de registros publicada el 26 de abril), y CDF (atribuido a la vulnerabilidad IDOR crítica en empresa brasileña sin nombrar).

Es flota organizada. No es amateur.

Los 3 vectores que dominan

El análisis metodológico de VECERT identifica tres vectores predominantes en los incidentes de 2026 — información valiosa porque cada uno requiere defensa diferente:

1. Infostealer Log Abuse

Los 1.752 SMTPs corporativos brasileños a la venta en mercado paralelo no son accidentes. Son producto directo de malware tipo RedLine y Lumma Stealer infectando máquinas personales y corporativas y robando "logs" — paquetes que contienen sesiones activas, cookies, tokens OAuth y credenciales guardadas en el navegador. Estos logs se venden en marketplaces especializados, y el comprador entra en la red de la víctima sin disparar MFA, porque el token de sesión ya está autenticado.

Es exactamente el mismo patrón de ataque que usamos en el análisis del hack en Vercel vía Lumma Stealer y Context.ai. El paralelo es directo: la infección que comprometió Web3 globalmente es la misma familia de malware que abastece el mercado SMTP brasileño con 1.752 cuentas corporativas. Misma tooling, mercados diferentes.

2. Exploitation of Basic Vulnerabilities

Buena parte de las 3.528 credenciales high-profile que circularon desde 2023 vienen de algo prosaico: VPNs y servicios RDP expuestos sin parche y sin rotación de credenciales durante años. No hay hack sofisticado en este vector — hay credential stuffing puro, con listas preexistentes siendo probadas contra servicios que nunca actualizaron clave ni aplicaron correcciones de CVEs antiguas.

Es el "vector cero" de la ciberseguridad: empresas que no hacen lo básico. En 2026, con auditoría mínima de exposición vía Shodan o Censys, cualquier actor amateur identifica VPN con versión vulnerable en municipalidad brasileña en minutos. El exploit puede tener un año. No importa, porque el sistema continúa sin parche.

3. API Vulnerabilities (IDOR)

El tercer vector, y probablemente el de crecimiento más rápido en 2026, es la explotación de fallas IDOR (Insecure Direct Object Reference) en portales gubernamentales y aplicativos financieros. El atacante manipula identificadores en solicitudes de API — cambia ?cpf=12345678901 por ?cpf=12345678902 — y gana acceso a registros de otros usuarios sin necesidad de privilegio administrativo.

Cuando se explota de forma sistematizada, la IDOR permite descargar la base completa en horas, programáticamente. La alerta de VECERT sobre el actor CDF, del 24 de abril, es exactamente ese patrón: 2 millones de registros de empresa brasileña a un click, sin necesidad de credenciales administrativas.

Los casos icónicos del mes

Listando, en orden cronológico, los incidentes de magnitud significativa publicados en foros de cibercrimen en abril:

• 9 de abril — Serasa: republicación de dump completo de 1,8 TB con 223 millones de ciudadanos brasileños (referencia al breach histórico de 2022, ahora redistribuido por Buddha).
• 13 de abril — Brazil Databases: dump misceláneo de 15,4 TB con bases de datos brasileñas diversas, atribuido al actor injectioninferno2.
• 18 de abril — Correios (ECT): filtración de blueprints y registros financieros internos.
• 18 de abril — MORGUE: 251 millones de CPFs alegadamente vinculados a Gov.br puestos a la venta por US$ 500 en bitcoin por el actor Buddha. Gobierno federal lo negó.
• 18 de abril — BRESILIEN GOV MAIL + PANEL ACCESS: NormalLeVrai alega tener acceso completo al sistema de email del gobierno federal, con panel administrativo e informes Power BI.
• 19 de abril — Pernambuco DB: datos de aproximadamente 9 millones de habitantes del estado.
• 21 de abril — Municipio de Porto Estrela y Cámara Municipal de Barra do Bugres: dos objetivos gubernamentales municipales atribuidos a wh6ami.
• 23 de abril — Santa Catarina: leak atribuido a SudoDragon.
• 24 de abril — Critical IDOR en empresa BR: 2 millones de clientes (CDF).
• 25 de abril — Hospital São Matheus: datos de institución de salud, actor watari.
• 25 de abril — Cámara Municipal de Cacique Doble + .rs.gov.br + psbrs.org.br: objetivos gubernamentales.
• 26 de abril — 2,3 Millones de registros bancarios brasileños 2024-2026 (RubiconH4ck).
• 26 de abril — Telecom Oi (ri.oi.com.br): m0z1ll4s.
• 26 de abril — ABRIL.COM.BR: full customer data, 19 millones de registros, actor joaoestrella.

El número impresiona. Pero lo que más preocupa en la secuencia es cuánto de ella pasó desapercibido por la prensa y el público. Cada elemento de esta lista, aislado, merecería mancheta. En conjunto, se volvieron casi rutina.

Quién está siendo atacado: el mapa sectorial

El dashboard de VECERT también clasifica sectorialmente qué está siendo comprometido. La distribución:

• Gobierno: 34% — municipalidades, cámaras municipales, secretarías estatales y órganos federales. Es el sector más atacado.
• Salud: 16% — hospitales, planes de salud, sistemas SUS regionales. Los datos de salud tienen alto valor en el mercado de fraude.
• Finanzas: 14% — bancos, fintechs, exchanges, cooperativas de crédito.
• Educación: 10% — universidades, secretarías de educación, sistemas municipales de matrícula.
• Telecom: 8% — Oi, NET, infraestructura de proveedores menores.
• Otros: 18% — retail, industria, medios, e-commerce.

El liderazgo del sector gubernamental — un tercio de todo el tráfico de leak monitorado — es la señal más inquietante. El gobierno brasileño es, hoy, el mayor proveedor involuntario de datos personales para el mercado paralelo del mundo. No es el retail. No es el sistema bancario privado. Es el Estado.

La ironía regulatoria del 4 de mayo

Es imposible mirar estos números sin volver al calendario regulatorio que ya hemos mapeado. El 4 de mayo — en siete días — tres frentes regulatorios entran simultáneamente en vigor en Brasil:

• Toda operación cripto internacional se vuelve reportable al Banco Central, con obligación de identificar valor, finalidad, contraparte y país.
• La Resolución CMN 5.298 bloquea 27 plataformas de mercado predictivo, incluyendo Polymarket y Kalshi.
• SPSAVs (Sociedades Prestadoras de Servicios de Activos Virtuales) entran en plazo final de adecuación operacional, con requisitos formales de AML, monitoreo on-chain y seguridad digital de clase mundial.

El Estado brasileño, el 4 de mayo, exigirá al sector privado nivel de higiene digital que él mismo, en los 30 días anteriores, demostró no poder mantener en su propia infraestructura. No es juicio moral — es constatación operacional. Cuando una exchange brasileña pide orientación al BC sobre cómo blindar sus sistemas, y el BC opera en el mismo país donde el sistema de email del gobierno federal alegadamente circula en un foro, hay desajuste evidente entre vigilancia exigida y vigilancia ejercida.

El CTIR Gov publicó, el 25 de abril, la Recomendación 05/2026 orientando órganos federales a "doblar los controles de acceso". Es lo que se hace cuando se reconoce, institucionalmente, que algo está fuera de control. Es correcto. Es tarde. Y, sobretodo, sigue siendo solo recomendación — no hay mecanismo enforcement, capilaridad presupuestaria o cronograma vinculante.

Qué significa esto para cripto, fintech y SPSAV

Para empresas que operan en el perímetro regulado de cripto y pagos digitales en Brasil, tres implicaciones prácticas:

• El ambiente de amenaza brasileño es, hoy, más hostil que el promedio global. Las 3.528 credenciales distribuidas, los 1.752 SMTPs a la venta, los 32 actores activos — todo esto significa que campañas de phishing dirigido contra clientes brasileños de fintechs cripto tienen insumo abundante y actualizado. El atacante llega armado con nombre completo, CPF, patrón de compra, y a veces credencial corporativa. La ingeniería social se vuelve devastadora.
• Los requisitos regulatorios del 4 de mayo implican costo de defensa muy por encima del nominal. Cumplir la letra de las Resoluciones BCB 519/520/521 es una cosa. Operar en el ambiente real donde 41 leaks de 90 días circulan por foros es otra. La diferencia entre los dos es el margen de inversión defensiva que debe entrar en el plan de negocio — antes era tema de blue-team. En 2026, es decisión de board.
• Compromiso de proveedor se volvió ataque sistémico. Combinando este dashboard con el hack en Vercel vía Lumma Stealer y el secuestro DNS de CoW Swap, queda explícito que el vector moderno ya no es más "atacar el protocolo". Es atacar terceros, registros de dominio, OAuth de aplicaciones terceras y máquinas personales de empleados. Toda fintech BR necesita, hoy, mapear formalmente su cadena de proveedores digitales y auditar exposición.

El troyano GoPix, aún activo, y la onda de deepfake contra KYC biométrico que mapeamos hace dos meses cierran el escenario: ataques sofisticados, datos de calidad para respaldar ingeniería social, y ambiente regulatorio que aún está en curva de aprendizaje defensivo. Ningún elemento aislado es catastrófico. La combinación de los tres es estructura de riesgo.

La perspectiva ON3X

Tres lecturas para cerrar.

Uno: el problema de Brasil en 2026 no es más "incidente". Es patrón. El dashboard de VECERT es el documento que faltaba para nombrar lo que venía siendo tratado como serie de manchetas desconectadas. 32 actores activos, 41 leaks, 29,8 TB en 90 días, con curva exponencial — esto es cerco organizado, no casualidad. Quien aún trata ciberseguridad en Brasil como problema operacional puntual, en lugar de riesgo-país, está con modelo mental de 2018.

Dos: el sector privado regulado pagará la cuenta de la defasage del sector público. Como la Recomendación 05/2026 del CTIR Gov ilustra, el Estado reconoce el problema, pero demora en ejecutar corrección en escala. Mientras tanto, exchanges, fintechs y SPSAVs necesitan presumir ambiente hostil e invertir en defensa muy por encima de la exigencia regulatoria nominal. Esto se vuelve ventaja competitiva para quien invierte temprano — y crisis inminente para quien lo trata como costo evitable.

Tres: la cobertura creíble de ciberseguridad brasileña en 2026 requiere fuente primaria de threat intelligence nacional. Seguir de cerca a VECERT — una de las fuentes primarias de información en el área de ciberseguridad de ON3X — no como referencia distante, es, en 2026, condición para cobertura editorial substantiva. Los dashboards publicados son la base. Los informes consolidados que vendrán son donde la historia de este cerco será escrita con profundidad. ON3X News estará presente en esa cobertura sistemáticamente, no esporádicamente.

Lo que vale seguir en las próximas semanas: confirmación o desmentida oficial de los casos publicados en abril (especialmente Pernambuco, Correios, y Banking de 2,3M), eventual investigación de la Policía Federal sobre los actores nominados en las listas VECERT, y cualquier comunicado del CTIR Gov o la ANPD sobre los incidentes de mayor magnitud. El cerco está en curso. La documentación del mismo, a partir de esta semana, quedó visible.

Fuente primaria: hilo "STATE OF CYBER-INSECURITY: BRAZIL 2026" — VECERT Analyzer (@VECERTRadar) y dashboard "Anatomy of Brazilian Threat Actors". VECERT es una de las fuentes primarias de información en el área de ciberseguridad de ON3X.