33.632 Claves Pix Filtradas y 251 Millones de CPFs en Dark Web: El Mapa de los 4 Incidentes de 2026 y Por Qué el BCB Apunta a Stablecoin Mientras la Infraestructura Catastral Sangra

En 117 días, el Banco Central de Brasil emitió cuatro comunicados oficiales de exposición de datos de claves Pix. 33.632 claves identificadas en filtración — entre Agibank, Ministerio Público de Goiás, Pefisa y Credifit. El agregado lleva el sistema al 24º incidente desde el lanzamiento, en noviembre de 2020.

En el mismo período, un agente identificado como Buddha puso a la venta en la dark web la base MORGUE: 251,7 millones de registros vinculando CPF, nombre, filiación, fecha de nacimiento y — en parte de los casos — fecha de defunción. Precio: US$ 500 en Bitcoin. El Ministerio de Gestión e Innovación en Servicios Públicos negó invasión a Gov.br.

Es la cuarta vez en doce meses que escribimos esa frase en variaciones diferentes. La primera fue el artículo del Abril Negro del Brasil Digital. La segunda, el cluster Brasil Bajo Fuego, en 8 días de la ventana BTG-Rendimiento-Notre Dame-Morgue. La tercera, el caso Dígitro/Guardián, con 150 órganos brasileños expuestos por la cadena. La cuarta es esta.

El eje del reportaje de hoy no es más "hubo filtración". Es otro: por qué, mientras el BCB construye el aparato regulatorio más riguroso del mundo sobre cripto y wallet auto-custodiada, la infraestructura catastral nacional sangra en la cadencia de un incidente por mes — y el aparato regulatorio de protección a esa infraestructura permanece desproporcionalmente ligero?

El Mapa de los 4 Incidentes Pix de 2026

Cada uno de los cuatro tiene topología diferente. Viéndolos en secuencia, queda visible que la vulnerabilidad no está concentrada — está distribuida.

#1 — Agibank (febrero): 5.290 claves, 21º incidente desde 2020

El primer comunicado de 2026 salió en febrero. Datos catastrales de 5.290 claves Pix de clientes del Banco Agibank quedaron expuestos. La ventana de la filtración, según el BC, fue de 26 de diciembre de 2024 a 30 de enero de 2025 — es decir, el incidente comenzó a fin de año anterior y llevó el ciclo completo de detección+reporte+publicización para llegar al público en febrero de 2026.

Este patrón de desfase es estructural en la regulación Pix del BCB: el ciclo de notificación opera por ventanas. El ciudadano descubre que está expuesto entre 6 y 12 meses después del hecho. Por las reglas, esto es "transparencia tardía". Para el operador de fraude, es ocho meses sin costos de obsolescencia de la base.

#2 — Ministerio Público de Goiás (1 de marzo): 93 registros, el tipo de incidente que más inquieta

Ocurrió el primero de marzo: acceso no autorizado al sistema operado por el Ministerio Público del Estado de Goiás. 93 registros expuestos. Volumen bajo — pero la topología es el punto.

Este no es el caso de una fintech con infraestructura reciente y equipo de seguridad en formación. Es el sistema de un órgano constitucional del Estado, con acceso a claves Pix de servidores y — probablemente — investigados. La vulnerabilidad no estaba en el borde comercial de Pix. Estaba en el acceso institucional autorizado.

Es el mismo patrón que mapeamos en el caso Dígitro/Guardián: el problema no es que el ciudadano use Pix de forma insegura, es que la infraestructura estatal de monitoreo y procesamiento es el punto de entrada. Pix es el producto final. El tubo que entrega Pix al Estado filtra primero.

#3 — Pefisa/Pernambucanas (marzo): 28.203 claves filtradas por seis meses sin detección

El incidente más grave, en volumen, del año. 28.203 claves Pix de Pefisa — financiera del grupo Pernambucanas — expuestas. La ventana de la filtración informada por el BC es lo que asusta: de 30 de agosto de 2025 a 27 de febrero de 2026. Seis meses continuos de exposición sin detección interna.

¿Por qué esto importa? Porque el ciclo de detección, en cualquier protocolo SIEM razonable, opera en escala de horas a días para anomalías de acceso. Seis meses indica que el control compensatorio esperado no estaba funcionando, o que el acceso indebido fue tratado como legítimo durante ese período.

El BC, en el comunicado, repite la fórmula: "información catastral expuesta no permite movimiento de recursos". La formulación es técnicamente correcta. Pero no es movimiento directo el vector — es la alimentación de operaciones de ingeniería social sobre las 28 mil personas afectadas, que ahora tienen dato de clave-Pix vinculado a nombre, cuenta, institución.

#4 — Credifit (comunicado el 12 de mayo): 46 claves y la primera divergencia pública entre BCB e institución

El cuarto comunicado, publicado el 12 de mayo de 2026, se refiere a un incidente ocurrido entre 26 y 28 de abril, afectando 46 claves Pix bajo custodia de Credifit Sociedade de Crédito Direto. Volumen pequeño. Pero la historia tiene una capa nueva.

El BCB caracterizó el evento como "fallas puntuales en el sistema de Credifit". Credifit publicó nota contestando: el evento, según la SCD, resultó de "utilización indebida de credenciales legítimas obtenidas fuera del ambiente de Credifit". Es la primera divergencia pública entre BCB e institución participante sobre la caracterización de un incidente Pix.

La discordancia importa jurídicamente. Si fue falla sistémica de Credifit, hay infracción administrativa y sanción posible. Si fue uso de credenciales obtenidas en terceros — como en campañas de credential stuffing similares al caso PexRat/Binance que cubrimos —, Credifit es víctima, no causadora.

Lo que esa divergencia también señala: el protocolo de notificación Pix del BCB aún no diferencia, en comunicado público, la causa-raíz. Trata diferencias muy relevantes (vulnerabilidad interna vs. credencial filtrada en terceros) bajo el mismo rótulo de "falla puntual". El efecto sobre el ciudadano es el mismo. El efecto sobre la industria, no.

MORGUE: el cisne negro paralelo de 18 de abril

Mientras los cuatro incidentes Pix se desarrollaban en ritmo de comunicado oficial, el 18 de abril apareció en la dark web lo que podría ser la mayor filtración de identidad fiscal jamás circulada en Brasil. El agente, identificado por los handles Buddha, #bigF y #Shinigami en los posts, bautizó la base de MORGUE — el nombre es coherente con el contenido: registros vivos cruzados con registros de defunción.

El dataset, conforme muestreo distribuido por el propio actor y validado por analistas independientes, contiene:

• 251,7 millones de registros — número superior al de la población brasileña (cerca de 213 millones), lo que indica inclusión de personas fallecidas y múltiples registros por CPF;
• Estructura: CPF, nombre completo, género, fecha de nacimiento, nombre de los padres (filiación) y, en parte significativa de los casos, fecha de defunción;
• Atribución sugerida por el actor: vinculación al portal Gov.br;
• Precio: US$ 500 pagados en Bitcoin;
• Hashtags promocionales: #Brazil #NationalID #LeakedData.

El Ministerio de Gestión e Innovación en Servicios Públicos, responsable por Gov.br, comunicó oficialmente que "no hay registro de invasión o filtraciones en el sistema". La formulación es literal: puede ser verdad que Gov.br como portal no fue invadido, y simultáneamente verdad que el dataset agrega información disponible a partir de múltiples fuentes a lo largo de los años — bases de Hacienda Federal, registros civiles, filtraciones anteriores, scraping de bases públicas — rebautizadas como "Gov.br" para fines de marketing criminal.

Analistas de threat intelligence oídos por vehículos especializados convergen para la hipótesis de remix: filtraciones anteriores reorganizadas bajo branding nuevo. Aun así, la base es funcional. El riesgo para empresas y ciudadanos es el mismo de una filtración original — porque la operación de fraude que precisa de CPF+nombre+filiación+fecha de nacimiento no distingue si el dato vino del Serpro en 2021 o del Buddha en 2026.

Lo que MORGUE hace, entonces, es una operación de mercado: recolocar en circulación activa, en foro accesible, los 251 millones de registros que estaban dispersos en silos.

Denominador común: el catastro es el vector

El BCB repite en los cuatro comunicados Pix: "información catastral expuesta no permite movimiento de recursos". Técnicamente correcto. Pero movimiento directo nunca fue el vector relevante.

El catastro es el activo de operación porque viabiliza:

1. Ingeniería social con legitimidad aparente. El operador de fraude conoce clave Pix, institución, número de agencia y tipo de cuenta. Llama al ciudadano fingiendo ser del banco con datos que ningún extraño debería tener. Tasa de conversión sube.
2. Pig butchering con origen nacional. El capítulo de Brasil en Chainalysis 2026 mostró que parte de las operaciones de tráfico humano en el Sudeste Asiático tiene objetivo brasileño. Dataset catastral nacional abarata el segmentation de esos centros.
3. Sustitución de identidad en flujos KYC. Proveedores de KYC defensivos exigen catastro+selfie+OCR. Catastro filtrado sirve para forjar respuestas en flujos de baja fricción — apertura de cuenta digital, contratación de crédito, activación de línea móvil.
4. Inicialización de trojan Pix. El GoPix y variantes opera en el aparato de la víctima después del contacto inicial. Este contacto inicial es más persuasivo cuando el operador llama a la víctima por nombre completo + último dígito del CPF.

Filtración catastral no es "exposición de bajo riesgo". Es insumo de operación. Y cuando la base disponible salta de 5 mil a 251 millones de registros, el costo marginal de cada operación de fraude cae.

La asimetría del BCB: stablecoin en el martillo, Pix en la inflamación

El contraste más visible de los últimos doce meses es regulatorio. De un lado:

• Resolución 561 del BCB: prohíbe stablecoin y cripto en la liquidación de pagos transfronterizos a partir de octubre, afecta el front donde Brasil mueve US$ 6-8 billones por mes en flujo cripto;
• Resolución 521 (Día D el 4-may): trae la billetera auto-custodiada individual para dentro del radar cambial — el Anexo II-A ya provoca discusión de constitucionalidad;
• Resolución 519, sobre fiscalización de PSAVs: vigencia el 4 de mayo, se integra con 561 y 521 para un cerco completo;
• Resoluciones 5.298 del CMN: bloqueo de los mercados predictivos (Polymarket, Kalshi) con vigencia también el 4 de mayo.

Del otro lado, el aparato de protección a claves Pix:

• Comunicado público con desfase de seis a doce meses entre el evento y la notificación al ciudadano;
• Aplicación de "medidas sancionadoras" cuya transparencia sobre quantum y timing es baja;
• Ausencia de tipificación clara, en el comunicado público, de la causa-raíz (falla sistémica vs. credencial en tercero);
• Sin cronograma público de hardening de la infraestructura catastral nacional vinculada a Pix.

El punto no es regulación cripto excesiva. Es regulación catastral de menos. Y esa asimetría tiene un costo distribucional perverso: quien más pierde es el usuario Pix medio, que es también el ciudadano sin capital para protegerse contra fraude post-filtración.

El mapeamiento de VECERT que cubrimos en abril ya traía el número: 32 actores de threat activos en Brasil en ventana de 90 días, con 29,8 terabytes de datos vendidos, 214 entidades comprometidas, 1.752 servidores SMTP corporativos a la venta. Buddha es solo el actor que ganó portada este mes. La capa por detrás es estructural, no puntual.

La perspectiva ON3X

Tres lecturas para el cuadro completo: cuatro incidentes Pix, MORGUE en paralelo, y el desbalance regulatorio que sustenta la asimetría.

1. El eje correcto de evaluación de Pix no es el movimiento financiero — es el catastro. Cuando el BCB defiende en comunicado que "no hubo exposición de datos sensibles", está aplicando una definición de sensibilidad que se quedó en la perspectiva bancaria tradicional (saldo, contraseña, extracto). Para el ecosistema de fraude moderno, catastro es el activo de primer orden. Mientras el discurso oficial mantenga esa definición, el tamaño del problema continuará subestimado en comunicación pública.

2. La ventana de detección de seis meses (caso Pefisa) es incompatible con el ritmo de exploit moderno. El desfase entre el inicio de la filtración y la detección interna por parte de la institución participante es el punto técnico más grave del cuadro de 2026. En cualquier protocolo de monitoreo de acceso operando con baseline ML mediano, anomalías de seis meses deberían disparar alerta. Que esto no ocurra en SCD, financiera de retail y hasta en sistemas de MP estatal apunta a gap de capacidad — no gap de regla. Regulación adicional sin capacitación queda en letra.

3. La regulación cripto agresiva, sin regulación catastral correspondiente, genera externalidad negativa. Brasil construye el aparato MiCA-like más riguroso fuera de Europa para cripto (Resoluciones 561+521+519), pero mantiene la infraestructura catastral nacional en régimen de incidente recurrente. El efecto agregado es el opuesto del intencionado: el ciudadano es empujado fuera del cripto formal (donde habría KYC controlado) y mantenido en sistema Pix expuesto. Operación de fraude se beneficia tanto del catastro filtrado como de la invisibilidad del cripto informal. La política de "protege con martillo donde da proceso de licenciamiento, ignora donde precisa de hardening" entrega lo peor de los dos mundos.

Cuatro incidentes en 117 días. 251 millones de CPFs volviendo a circular. Veinticuatro casos desde 2020. Y aun así, el discurso oficial repite que "datos sensibles no fueron expuestos". La definición de sensibilidad precisa ser actualizada — antes de que el quinto comunicado salga.

Preguntas frecuentes

¿Cuántas filtraciones de datos Pix ocurrieron en 2026?

Cuatro hasta el 18 de mayo de 2026. En orden: Agibank en febrero (5.290 claves), Ministerio Público de Goiás el 1 de marzo (93 registros), Pefisa/Pernambucanas en marzo (28.203 claves) y Credifit en comunicado del 12 de mayo (46 claves). Total: 33.632 claves Pix expuestas, llevando el sistema al 24º incidente desde el lanzamiento, en noviembre de 2020.

¿Qué es la base MORGUE?

MORGUE es el nombre dado por el agente identificado como Buddha (con tags #bigF y #Shinigami) a la base de 251,7 millones de registros vinculando CPF, nombre completo, género, fecha de nacimiento, filiación y — en parte de los casos — fecha de defunción. Fue puesta a la venta en la dark web el 18 de abril de 2026 por el valor de US$ 500 en Bitcoin. El Ministerio de Gestión e Innovación en Servicios Públicos negó invasión a Gov.br, y la hipótesis predominante entre analistas es que se trata de remix de filtraciones anteriores reorganizado bajo branding nuevo.

¿Mis datos fueron filtrados en alguno de los incidentes Pix?

El Banco Central determina que la notificación al ciudadano afectado sea hecha exclusivamente por la aplicación o internet banking de la institución de relacionamiento — nunca por SMS, email, WhatsApp o llamada telefónica. Cualquier contacto por esos canales alegando filtración Pix es, por patrón, estafa. Confirme solo por la app oficial de su institución.

¿La filtración de claves Pix permite mover dinero de mi cuenta?

No directamente. El Banco Central refuerza en todos los comunicados que datos protegidos por sigilo bancario — saldos, extractos, contraseñas, movimientos — no son expuestos. El riesgo real es indirecto: datos catastrales viabilizan ingeniería social con legitimidad aparente, segmentation de pig butchering, contratación fraudulenta de crédito o línea móvil via sustitución de identidad e inicialización de trojans Pix.

¿Qué regula Brasil en cripto mientras tanto?

El BCB construyó en 2026 un aparato regulatorio que combina la Resolución 561 (prohíbe stablecoin y cripto en liquidación de pagos transfronterizos, vigencia octubre), la Resolución 521 (trae billetera auto-custodiada individual para dentro del radar cambial, vigencia 4 de mayo) y la Resolución 519 (regula PSAVs y fiscalización cripto). El contraste con la regulación Pix — en que el desfase medio entre evento y comunicado público queda entre 6 y 12 meses — es el eje crítico de la asimetría.