Abril Negro de Brasil Digital: De 251 Millones de CPFs en MORGUE al Email del Gobierno Federal — Por Qué el Mes Se Convirtió en Crisis y el CTIR Gov Acaba de Reaccionar

Abril fue cruel con Brasil digital. En poco más de ocho días — entre 17 y 25 de abril de 2026 — el país acumuló alegaciones de comprometimiento que implican, sumadas, más de 253 millones de registros personales, el sistema de email del gobierno federal, dos dominios .gov.br y una sigla partidaria. Al menos cinco actores diferentes — Buddha, NormalLeVrai, CDF, m0z1ll4s team y otros sin identificar — pusieron a la venta o expusieron, en la dark web y en grupos de Telegram, datos que van desde listas de distribución ministerial hasta 251 millones de CPFs supuestamente extraídos del Gov.br.

El resultado es una onda que comenzó difusa y se convirtió, el 25 de abril, suficientemente grave para que el CTIR Gov — el Centro de Prevención, Tratamiento y Respuesta a Incidentes Cibernéticos del gobierno — publicara la Recomendación 05/2026, orientando órganos federales a "duplicar los controles de acceso" en sistemas críticos. Es el equivalente institucional a admitir que algo está fuera de control.

Lo que este "Abril Negro" de Brasil digital expone no es falta de regulación. Es desequilibrio. Mientras el Banco Central activa, el 4 de mayo, el régimen de vigilancia cambiaria sobre toda operación cripto internacional — y mientras el CMN bloquea 27 plataformas de mercado predictivo en la misma fecha — la infraestructura digital del propio Estado, en el mes anterior al cambio regulatorio, está supuestamente filtrando información en fórums de cibercrimen.

La línea del tiempo del Abril Negro brasileño

Cinco eventos consolidan el mes:

• 17 a 18 de abril — Sistema de email del gobierno federal alegadamente comprometido. El actor NormalLeVrai publica en red social fragmento de informe de Power BI bautizado como "2025 State Present", junto con listas de distribución y notificaciones institucionales. El tweet del 18 de abril acumula 150,4 mil visualizaciones antes de que el ciclo mediático recoja el caso.
• 18 de abril — La plataforma VECERT Threat Intelligence emite alerta sobre la base de datos bautizada como MORGUE: 251,7 millones de registros de CPFs supuestamente vinculados a Gov.br, a la venta en la dark web por US$ 500 en bitcoin. El actor es identificado como Buddha; el supuesto acceso habría ocurrido el 15 de marzo.
• 19 de abril — El Ministerio de Gestión e Innovación en Servicios Públicos, responsable por Gov.br, niega oficialmente el robo de datos, afirmando que "no hay registro de invasión" en el sistema.
• 24 de abril — VECERT publica nuevo alerta: el actor CDF ofrece, en fórums de cibercrimen, exploit de vulnerabilidad IDOR (Insecure Direct Object Reference) crítica en empresa brasileña sin ser nombrada públicamente, con potencial de exfiltración de aproximadamente 2 millones de registros de clientes. No hay, hasta la publicación de este artículo, identificación pública de la empresa ni confirmación del incidente.
• 25 de abril — VECERT alerta sobre el grupo m0z1ll4s team, que afirma haber exfiltrado +102 mil registros de dos dominios: marianapimentel.rs.gov.br (prefectura municipal) y psbrs.org.br (Partido Socialista Brasileño de Río Grande del Sur). Estado: enlaces de descarga fueron disponibilizados por los atacantes; la filtración aún no ha sido confirmada oficialmente por las entidades afectadas.

El cuadro es más grave que la suma de las partes. Porque cada uno de estos eventos, aislado, sería noticia. Concentrados en ocho días, se convirtieron en patrón.

El caso MORGUE: 251 millones de CPFs por US$ 500 en bitcoin

La alerta de mayor magnitud llegó el 18 de abril. Según VECERT, el actor Buddha puso a la venta en la dark web una base de datos bautizada como MORGUE — una referencia sombría a la finalidad de los archivos para fraude de identidad. El conjunto, de aproximadamente 25,1 GB, contendría 251,7 millones de registros de CPFs, supuestamente extraídos de bases vinculadas al portal Gov.br.

Los campos descritos por el propio actor y validados por VECERT en muestras parciales incluyen:

• Nombre completo
• Género
• Fecha de nacimiento
• Filiación (nombre de los padres)
• Raza (autodeclarada en sistemas públicos)
• Ciudad de nacimiento
• En parte de los registros: fecha de fallecimiento

El precio solicitado — US$ 500 en bitcoin por el dump completo — es absurdamente bajo para una base de datos de este tamaño, y exactamente por eso es considerado por VECERT un precio de comoditización: el actor no está intentando maximizar ganancia por venta; está distribuyendo el dataset rápidamente entre múltiples compradores antes de que el tema pierda relevancia o la fuente original sea remediada.

El Ministerio de Gestión e Innovación en Servicios Públicos, en nota del 19 de abril, negó categóricamente que el sistema Gov.br haya sido invadido. La línea oficial es que "no hay registro de invasión o filtraciones en el sistema". VECERT mantuvo la alerta activa, citando la granularidad de los datos como compatible con bases públicas estructuradas — sin necesariamente señalar a Gov.br como fuente única (podría ser, en teoría, agregación de bases públicas anteriores combinada con nuevo acceso a alguna capa estatal).

Es la ambigüedad clásica del incidente moderno: el gobierno niega, el actor afirma, y la verdad procesal solo emergirá, si emerge, en meses o años.

El ataque al gobierno federal: NormalLeVrai y el "2025 State Present"

El incidente que comenzó la onda — cronológicamente el primero — fue la filtración atribuida al actor NormalLeVrai. El 18 de abril, el actor publicó en red social capturas de pantalla y muestras alegando tener control administrativo completo del sistema de email del gobierno federal brasileño. Los activos comprometidos descritos:

• Sistema de email completo — correos electrónicos y sus anexos, incluyendo panel administrativo.
• Informes Power BI internos, con destaque para un documento bautizado como "2025 State Present" — aparentemente una compilación de indicadores institucionales.
• Listas de distribución internas.
• Notificaciones institucionales fechadas el 18 de abril de 2026.

El tweet original, con más de 150 mil visualizaciones, muestra lo que parece ser una interfaz administrativa en portugués con elementos de EJA (Educación de Jóvenes y Adultos) — sugiriendo que el sistema comprometido puede estar vinculado al Ministerio de Educación o a algún otro órgano con sistema de email gubernamental compartido.

No hay, hasta el momento, comunicado oficial del gobierno federal confirmando o negando el incidente. El silencio institucional contrasta con la velocidad de la negación en el caso MORGUE — lo que puede indicar tanto que el caso NormalLeVrai está bajo investigación activa como que el tipo de comprometimiento alegado es de difícil descarte rápido.

Los otros casos: IDOR de 2 millones y el doble objetivo en Río Grande del Sur

El 24 de abril, la alerta de VECERT sobre el actor CDF identificó, en fórums de cibercrimen, oferta de exploit activo de una vulnerabilidad IDOR (Insecure Direct Object Reference) crítica en empresa brasileña sin ser nombrada públicamente, con base de aproximadamente 2 millones de clientes.

IDOR es una de las vulnerabilidades más subestimadas en OWASP Top 10. En lugar de romper la autenticación, el atacante simplemente manipula identificadores en URLs o solicitudes de API — cambiar ?user_id=123 por ?user_id=124 y ganar acceso a los datos del usuario 124 sin necesidad de contraseña. Cuando se explota de forma sistematizada, permite descargar la base entera en horas, programáticamente.

El perfil de los datos expuestos descritos por el actor — nombres, correos electrónicos, documentos, historial de compras — sugiere comercio electrónico o fintech. VECERT, en la nota, clasificó el riesgo como "mina de oro para actores de robo de identidad", dadas las 2 millones de víctimas potenciales y la baja complejidad técnica de la explotación.

El 25 de abril, la última alerta — sobre el grupo m0z1ll4s team. Los objetivos: la prefectura municipal de Mariana Pimentel, en Río Grande del Sur (marianapimentel.rs.gov.br), y el Partido Socialista Brasileño de Río Grande del Sur (psbrs.org.br). Volumen alegado: +102 mil registros exfiltrados, con enlaces de descarga proporcionados por los propios atacantes para "validación".

El dato político es potencialmente sensible. Listas de afiliados, contactos, estrategias de campaña, comunicación interna — material que, en año electoral, se convierte en munición. El estado actual es "no confirmado oficialmente", pero VECERT consideró los enlaces suficientemente válidos para emitir alerta con nivel alto.

La reacción institucional: Recomendación CTIR Gov 05/2026

La respuesta gubernamental llegó en forma de Recomendación 05/2026 del CTIR Gov, publicada el 25 de abril. El documento orienta órganos federales a:

1. Duplicar los controles de acceso en sistemas críticos — autenticación multifactor obligatoria en todos los portales administrativos, sin excepción.
2. Auditar registros de los últimos 90 días en busca de patrones anómalos, con enfoque específico en accesos nocturnos, IPs extranjeras y exfiltración masiva.
3. Revisar permisos de cuentas administrativas y remover accesos heredados de proveedores que ya terminaron contrato.
4. Validar configuraciones de APIs públicas para reducir superficie de explotación de IDOR y vulnerabilidades similares.
5. Reportar incidentes al CTIR Gov dentro de 72 horas, conforme política de incident response federal.

Es la primera vez en el año que CTIR Gov publica recomendación de esa amplitud — y el timing, tres días después del caso MORGUE y horas después de la alerta sobre m0z1ll4s, deja poca duda sobre el gatillo institucional.

Vale recordar que, según el levantamiento más reciente, el gobierno federal registró récord de 3.253 incidentes de filtración de datos en 2024. La Recomendación 05/2026 es intento de poner freno a una curva ascendente — pero sin capilaridad presupuestaria o de personal, la recomendación se convierte en papel.

La ironía regulatoria del 4 de mayo

El punto más incómodo de la narrativa no está en los actores. Está en el calendario.

El 4 de mayo de 2026 — en nueve días — Brasil entra en la fase más ambiciosa de su historia en vigilancia digital sobre el sector privado. En esa fecha:

• Toda operación cripto transfronteriza pasa a ser obligatoriamente reportada al Banco Central, con valor, finalidad, contraparte y país.
• 27 plataformas de mercado predictivo — Polymarket, Kalshi y compañía — pasan a ser formalmente bloqueadas por el CMN y por la Anatel.
• SPSAVs deben comprobar capacidad económica, reputación y estructura de PLD para continuar operando.

Es vigilancia de Estado sobre flujo digital privado, ejecutada con velocidad y firmeza institucional. Y es, en sí, agenda regulatoria defendible. Pero convive, de forma incómoda, con la constatación de que, en el mes inmediatamente anterior al cambio, el propio Estado brasileño tiene alegaciones activas de comprometimiento de email federal, supuesto robo de datos de 251 millones de CPFs y dos dominios .gov.br en fórums de cibercrimen.

El contraste de competencia no es detalle. Es el punto. Cuando el Estado exige de exchanges, fintechs y empresas privadas el nivel de higiene digital que él mismo no consigue mantener en su infraestructura, la legitimidad política del régimen regulatorio queda en tela de juicio. No en el plano legal — la Resolución 5.298 y las Resoluciones BCB 519/520/521 son válidas y serán cumplidas. En el plano moral y técnico: ¿cómo el BC orienta SPSAV a montar PLD de clase mundial mientras el sistema de email del gobierno federal supuestamente circula en descarga directa de Telegram?

El riesgo real para el ciudadano y para el inversor cripto

Para el brasileño común, el riesgo operacional de estas filtraciones es directo y tiene tres capas:

• Robo de identidad clásico. Con nombre, CPF, filiación y fecha de nacimiento, se abre cuenta bancaria, se contrata crédito, se registra empresa a nombre de tercero. El caso MORGUE, si se confirma, reaastece el mercado de fraude por años.
• Phishing dirigido. Listas de distribución del gobierno federal, listas del PSB-RS, datos de clientes de la empresa afectada por IDOR — todo se convierte en insumo para campañas de phishing personalizadas, con alta tasa de conversión. Combinado con técnicas como el Mach-O Man de Lazarus que afecta ejecutivos cripto vía Zoom falso, la sofisticación es exponencial.
• Combo brasileño. El troyano GoPix, activo desde 2026, se especializó en defraudar Pix y robar carteras cripto locales. Con datos personales detallados en manos del atacante, la ingeniería social es devastadora — el estafador sabe nombre del padre, ciudad, edad, patrón de compra. La víctima recibe llamada que parece legítima, y cae.

Para el inversor cripto específicamente, el escenario es particularmente delicado. KYC en exchange brasileña incluye CPF, nombre completo, foto de documento y selfie. Si esas bases filtran — y el ecosistema brasileño ya ha enfrentado deepfake contra KYC biométrico — el atacante puede recrear identidad completa e intentar acceder a cuenta de la víctima en otras plataformas, o abrir cuentas falsas a su nombre.

No es teoría. El combo ya fue documentado por VECERT en casos anteriores como el dosier PexRat sobre 1,5 millones de usuarios de Binance y el caso Kraken con 5,3 millones de registros en grupos privados. La diferencia en 2026 es la escala doméstica y la velocidad.

La perspectiva ON3X

Tres lecturas para cerrar.

Una: el problema de Brasil en 2026 no es falta de regulación. Es falta de ejecución. El marco regulatorio que entra en vigor el 4 de mayo es avanzado en comparación internacional. Lo que falta es capacidad técnica y presupuestaria del Estado para aplicarse a sí mismo los mismos estándares que va a exigir del sector privado. La Recomendación 05/2026 es síntoma, no solución.

Dos: incidentes a escala estatal afectan al ecosistema cripto más de lo que parece. Todo exchange brasileño opera bajo LGPD y tiene datos sensibles de los clientes. Cuando el ambiente de amenaza nacional sube — actores como Buddha, NormalLeVrai y CDF activos simultáneamente, mercado de identidad filtrada inundando fórums —, exchanges, fintechs y SPSAVs quedan obligadas a invertir defensa mucho por encima de lo que la regulación exige nominalmente. Quien no lo haga, se convierte en la próxima mancheta. El costo regulatorio de operar legalmente cripto en Brasil en 2026 incluye ese margen implícito de defensa que nadie incluyó en el plan de negocio original.

Tres: el ciudadano debe partir del principio de que sus datos ya filtraron. No es alarmismo — es higiene mental. En algún lugar, en algún dump de la dark web, su combinación de nombre + CPF + correo electrónico ya está disponible por menos de US$ 500. Operar la vida digital con esa premisa cambia el comportamiento: contraseñas únicas por servicio, MFA por hardware key en cuentas críticas, monitoreo de crédito activado, atención redoblada a contactos por canales que parecen demasiado legítimos. El privilege threat de "esto no me va a pasar" le costó caro a millones de brasileños en el Abril Negro de 2026 — y le va a costar más a quien ignore la lección.

Lo que vale acompañar en las próximas semanas: si la Policía Federal abre operación específica sobre los incidentes de abril, si la ANPD se manifiesta con sanción administrativa, y si el gobierno federal admite, aunque sea parcialmente, alguno de los robos de datos contestados. En cualquiera de los tres escenarios, la Recomendación 05/2026 deja de ser papel y se convierte en política operacional — con efectos sobre todo el sector digital brasileño, regulado o no.