En una ventana de ocho días entre el 21 y 28 de abril de 2026, Brasil registró —casi en silencio editorial— una secuencia de incidentes cibernéticos que, leídos en conjunto, describen un país bajo fuego cruzado en al menos cuatro frentes simultáneos: el sistema bancario internacional, la banca minorista nacional, la educación privada y la base de identidad digital construida alrededor del CPF. Cada incidente, aislado, fue tratado como evento administrativo. Cubiertos juntos, componen el argumento de que la infraestructura digital brasileña está operando, en abril, en un régimen de compromiso continuo.
Esta investigación organiza cuatro casos: el ataque al BTG Pactual vía DriveWealth, descubierto el 24 de abril; el desvío millonario en el Banco Rendimiento, contenido el 21 de abril; la reivindicación del grupo TheGentlemen contra el dominio del colegio Notre Dame de Campinas, publicada el 28 de abril; y la filtración "Morgue", que puso a la venta 251,7 millones de registros de CPFs vinculados al portal Gov.br. Cada caso trae una anatomía técnica diferente. Pero el denominador común es el mismo, y es el punto central de este texto.
Capítulo 1 — BTG Pactual, DriveWealth y la fragilidad de la cadena internacional
BTG Pactual, en la noche del viernes 24 de abril, comunicó a un subconjunto de clientes residentes fuera de Estados Unidos que hubo acceso indebido a datos personales por medio de un ataque cibernético contra DriveWealth LLC, su socio estadounidense de custodia para cuentas internacionales. El ataque, según el comunicado, ocurrió a fines de marzo de 2026; el banco fue notificado por DriveWealth en la semana del 21 de abril, y tardó alrededor de 72 horas en preparar la comunicación a clientes.
Los datos expuestos, según BTG: nombres completos, información de cuenta e identificadores bancarios. El banco fue enfático al afirmar que "ningún activo o saldo en dólares de BTG Pactual o de nuestros clientes fue comprometido", y anunció que los números de cuenta de los afectados serán reemplazados en las semanas siguientes como medida preventiva. No se identificó públicamente actor de amenaza.
El punto que importa, más allá del detalle operacional: BTG no fue atacado directamente. El ataque fue contra un proveedor tercerizado que opera en EE.UU., prestando servicios de corretaje y custodia para clientes internacionales del banco brasileño. Este patrón —comprometer al banco grande atacando al socio pequeño— es, hoy, el modo dominante de operación del cibercrimen contra el sector financiero de élite. DriveWealth atiende a decenas de otras instituciones además de BTG, y la noticia de la semana pasada es la primera de una serie probable de divulgaciones similares por bancos corresponsales.
Para los clientes BTG afectados, el impacto inmediato es limitado: datos personales expuestos pueden usarse en phishing dirigido, pero no hay acceso directo a dinero. El impacto estructural, sin embargo, es mayor. El modelo de "cuenta internacional vía socio" —que bancos brasileños ofrecen a clientes private para diversificación geográfica— depende enteramente de la seguridad del proveedor extranjero, sobre el cual el banco brasileño no tiene gobernanza directa. Cuando ese proveedor es perforado, el banco brasileño hereda el riesgo reputacional sin poder haber evitado la falla técnica. Es el mismo patrón de supply chain attack que hemos documentado en otros contextos —solo que aplicado al retail financiero de altos ingresos.
Capítulo 2 — Banco Rendimiento y el desvío de R$ 100 millones contenido en horas
En la mañana del martes 21 de abril de 2026, el Banco Rendimiento identificó y contuvo, por iniciativa propia, un incidente cibernético en algunos de sus canales de acceso a clientes. Según investigaciones publicadas en secuencia por medios especializados en los días siguientes, el ataque involucró el desvío de aproximadamente R$ 100 millones de la operación del banco. El equipo de seguridad de la información, según el comunicado oficial, actuó en las primeras horas para aislar la amenaza, recuperar parte del monto desviado y reforzar medidas de protección. El caso fue reportado a las autoridades competentes.
El dato más relevante, y al mismo tiempo el menos comentado: el banco recuperó la mayor parte del valor desviado, terminando el incidente con pérdida estimada entre R$ 20 millones y R$ 40 millones. En términos absolutos, es dinero. En términos relativos a un ataque que pudo haber costado R$ 100 millones, es una defensa razonablemente exitosa —sustentada por mecanismos de detección de anomalía en tiempo real y por una respuesta operacional rápida.
Rendimiento es, en el contexto del sistema bancario brasileño, una institución de mediano porte con fuerte presencia en cambio y correspondencia internacional. Que un banco de este perfil haya sido objetivo de una operación que pretendía desviar nueve dígitos en moneda nacional —y que esa operación haya sido ejecutada con tiempo suficiente para que aproximadamente R$ 60 millones a R$ 80 millones fueran recuperados antes de llegar al destino— sugiere que los atacantes no pudieron anticipar la velocidad de reacción. Es un caso raro en el que la infraestructura defensiva venció por reflejo, no por diseño preventivo.
El Banco Central, por su parte, registró en 2025 un total de 76 incidentes cibernéticos considerados "relevantes" reportados por el sistema financiero nacional —número 29% superior al de 2024. Los datos de 2026 aún no están consolidados públicamente, pero la frecuencia y la magnitud de los eventos del primer cuatrimestre sugieren que el número final excederá el de 2025 con creces.
Capítulo 3 — TheGentlemen y el ataque al colegio Notre Dame de Campinas
El 28 de abril de 2026, el actor de amenaza TheGentlemen publicó en su plataforma de leak —un sitio .onion donde el grupo divulga víctimas que se negaron a pagar rescate— una reivindicación de ataque al dominio notredamecampinas.com.br, vinculado a la red educativa católica Notre Dame de Campinas, en São Paulo. Los detalles públicos sobre volumen de datos y tipos de registros expuestos son, hasta el cierre de esta investigación, limitados. El caso fue registrado por monitores de breach independientes, pero no hay confirmación oficial de la red de enseñanza sobre el alcance del incidente.
El ángulo que hace relevante este caso para la tesis general de este texto no es el volumen —que puede acabar siendo modesto— sino la identidad del objetivo y la del atacante:
- El objetivo: una institución educativa privada brasileña que atiende a niños y adolescentes. Las filtraciones en el sector educativo son especialmente sensibles porque tienden a exponer datos de menores, registros de salud escolar, información financiera de los responsables y, en algunos casos, comunicaciones entre institución y familia. Brasil aún no ha regulado de forma rigurosa el tratamiento de datos de menores en contexto educativo —la LGPD ofrece el marco, pero las multas e inspecciones específicas en el sector permanecen incipientes.
- El atacante: TheGentlemen es, hoy, una de las operaciones de ransomware-as-a-service más activas del mundo. Surgida a mediados de 2025 como un RaaS que recluta afiliados en foros underground, el grupo ya ha reivindicado públicamente más de 320 víctimas en más de 50 países, con 240 de los ataques concentrados en los primeros meses de 2026. La operación proporciona a sus afiliados lockers multi-OS para Windows, Linux, NAS y BSD (escritos en Go) y un locker dedicado para ESXi (en C), además de herramientas de neutralización de EDR e infraestructura de pivote multi-chain.
El perfil técnico de TheGentlemen es, en otras palabras, el de un operador maduro con capacidad industrial de ataque. Que el grupo haya incluido una red educativa brasileña en su calendario de abril —junto con víctimas de defensa italiana, OEM de microelectrónica filipina y retail deportivo marroquí, todos divulgados en la misma ventana— sugiere que Brasil ha entrado de forma estable en el portafolio de objetivos rutinarios del RaaS internacional. Ya no es incidente aislado; es flujo de producción.
Capítulo 4 — Morgue: 251,7 millones de CPFs y la filtración que resucitó a los muertos
El descubrimiento más grave de la ventana de abril llegó sin anuncio oficial, sin briefing a la prensa, sin confirmación federal. Un actor de amenaza operando bajo el seudónimo "Buddha" puso a la venta en foro underground una base de datos bautizada como "Morgue", conteniendo 251.720.444 registros de CPFs con vínculos al portal Gov.br —totalizando 25,1 GB de datos en texto plano. Para demostrar autenticidad, el vendedor disponibilizó una muestra gratuita con 20 mil líneas. El descubrimiento fue reportado inicialmente por VECERT, la fuente editorial primaria de ON3X en ciberseguridad nacional.
El volumen es, por sí solo, un hito histórico: supera la filtración de 223 millones de CPFs de 2021, que hasta entonces era el incidente más grande de su tipo jamás registrado en el país. El número incluso excede a la población brasileña viva —porque incluye registros de personas fallecidas. La propia estructura de la base lo confirma: además del CPF y el vínculo Gov.br, los campos incluyen afiliación, estado de óbito con fecha, raza y ciudad de nacimiento. Brasil emite CPFs desde 1965, y la filtración Morgue parece consolidar décadas de registros —vivos, muertos y capas demográficas que normalmente no estarían accesibles al mercado paralelo de datos.
La extracción ocurrió, según el actor, el 15 de marzo de 2025. El anuncio público llegó en abril de 2026 —un intervalo de 13 meses entre comprometimiento y divulgación, durante el cual el conjunto pudo haber sido vendido privadamente, usado en campañas de fraude dirigido o explotado en operaciones de ingeniería social. Hasta el cierre de esta investigación, ni el gobierno federal ni la Autoridad Nacional de Protección de Datos (ANPD) han emitido confirmación o nota pública sobre el caso.
El silencio es, en sí mismo, un dato: la ANPD fue creada en 2018 con mandato explícito de fiscalizar incidentes de gran escala. Trece meses entre extracción y publicación, ¿y así no hubo manifestación? Para un ciudadano cuyo CPF probablemente está entre los 251 millones expuestos —lo que, dado el volumen, es casi todo brasileño adulto vivo— no hay orientación oficial sobre cómo verificar la exposición, ni sobre qué medidas protectivas adoptar.
El denominador común: ataque por tercerización y por antigüedad
Los cuatro casos tienen anatomías técnicas distintas. BTG fue impactado vía socio extranjero. Rendimiento, por intrusión directa en canales de cliente. Notre Dame, por una operación de ransomware-as-a-service comoditizada. Morgue, por extracción de una base gubernamental cuyo origen exacto no fue confirmado. Pero dos hilos estructurales cosen los cuatro:
Hilo 1 — Ataque al perímetro indirecto. En tres de los cuatro casos (BTG, Notre Dame, Morgue), la víctima nominal no es la misma que la víctima técnica. BTG no fue invadido —DriveWealth lo fue. Notre Dame tal vez no fue el objetivo elegido por nombre —pudo haber caído por el patrón genérico de barrido de TheGentlemen contra sectores educativos. Morgue no se filtró directamente de Gov.br —se filtró de algún integrador, proveedor o base intermedia que tiene acceso autorizado a los registros. Brasil hoy es más atacado por sus periferias contractuales que por sus núcleos defendidos.
Este patrón tiene un nombre técnico —supply chain attack— y un nombre estructural: tercerización sin auditoría. Cada nodo periférico que pasa a tener acceso a datos de la institución-madre sin que la seguridad de ese nodo sea conducida en el mismo patrón de la institución central, crea un punto de entrada. Y esos puntos se multiplican más rápido de lo que los equipos de gobernanza consiguen mapear.
Hilo 2 — Datos antiguos resucitando como activos corrientes. Morgue fue extraído en marzo de 2025, vendido en abril de 2026. El caso Kraken —que VECERT documentó el 13 de abril— involucra 5,3 millones de registros que parecen ser datos reciclados de exposiciones anteriores, reempaquetados como filtración "nueva" para fines de extorsión. El fenómeno es el mismo: datos que deberían haber sido descartados, rotacionados o neutralizados continúan activos en el mercado paralelo, resurgiendo en ciclos de monetización que van de meses a años después de la extracción original.
La consecuencia es que la "remediación" de una filtración —cambiar contraseñas, rotar tokens, monitorear fraude— tiene ventana de eficacia mucho más larga de lo que se asume. Un CPF, a diferencia de una contraseña, no puede ser rotacionado. Una vez expuesto, está expuesto para siempre. Y el mercado paralelo de datos brasileños, alimentado por las exposiciones acumuladas desde 2021 —cuando la filtración de 223 millones marcó el inicio de esta era—, tiene hoy material suficiente para operaciones de fraude, ingeniería social y robo de identidad que se extenderán por toda la década.
Lo que conecta los cuatro casos con lo que ya cubrimos
Esta secuencia no llega en un vacío editorial. El 27 de abril, ON3X publicó la investigación de VECERT que mapeó 32 actores de amenaza y 29,8 TB de datos brasileños expuestos en 90 días, contemplando 214 entidades comprometidas y 1.752 SMTPs corporativos a la venta. Morgue, BTG y Rendimiento son, todos ellos, expansiones directas de ese inventario —ahora con nombres, números y timestamps. Y el 29 de abril, ON3X documentó separadamente la filtración en Dígitro Tecnología, que expuso el código fuente del Sistema Guardián y afectó más de 150 órganos federales que dependen de la empresa para interceptación telefónica autorizada vía judicial.
Leídos en conjunto —VECERT, Dígitro, BTG, Rendimiento, Notre Dame, Morgue— estos casos forman un panel de abril que no tiene precedente directo en el histórico de ciberseguridad brasileña. No en volumen aislado de cada incidente, sino en la densidad de la ventana: seis eventos significativos en poco más de 30 días, atravesando todos los principales sectores de la economía formal (financiero, gobierno, educación, proveedores estatales).
El contexto internacional ayuda a calibrar la interpretación. La campaña de Lazarus contra ejecutivos cripto vía macOS, que documentamos el 23 de abril, y el cluster de hacks DeFi que cubrimos en el "Cross-Chain Sangrou" del 28 de abril, muestran que el mismo tipo de presión sistemática que golpea a Brasil está golpeando sectores específicos del ecosistema cripto-financiero global. La diferencia es estructural: el sector cripto, incluso en crisis, tiene capacidad de auditoría pública (código abierto, post-mortems detallados, comunidades técnicas independientes). El sector público brasileño y la mayor parte del sector financiero tradicional no tienen ese músculo —operan en sigilo defensivo, con divulgación minimalista y accountability lenta.
La perspectiva ON3X
Tres lecturas para cerrar:
1. Brasil necesita un régimen obligatorio y rápido de divulgación de incidentes para el sector público y bancario. ANPD existe hace siete años y aún no ha impuesto ritmo de notificación compatible con la velocidad de exposición. La SEC estadounidense requiere divulgación material en 4 días hábiles para empresas listadas. La Unión Europea, vía NIS2, requiere reporte inicial en 24 horas para incidentes significativos en el sector crítico. Brasil opera, hoy, en ventana elástica que va de "algunos días" en el sector financiero a "nunca" en el sector público. El caso Morgue —13 meses entre extracción y publicación, sin nota oficial— es el ejemplo extremo del problema. Sin plazo legal de notificación obligatoria, el ciudadano es el último en enterarse.
2. La tercerización sin auditoría es el vector dominante, y exige respuesta arquitectónica. Bancos brasileños que operan cuentas internacionales vía socios extranjeros necesitan construir contratos con cláusulas de auditoría continua, estándares mínimos de seguridad verificables y régimen de notificación inmediata. Empresas que operan servicios críticos para el Estado —como Dígitro— necesitan estar sometidas a auditorías de código por terceros independientes, con publicación de resúmenes ejecutivos. LGPD no llega allí. Precisaría existir un marco regulatorio complementario para la cadena de proveedores del sector crítico.
3. La defensa funcionó en Banco Rendimiento —y es la única buena noticia de la ventana. El caso Rendimiento muestra que detección de anomalía en tiempo real, combinada con respuesta operacional rápida, aún es capaz de neutralizar parte significativa de un ataque incluso cuando el adversario ya está dentro. El ataque pretendía sacar R$ 100 millones; se fue con R$ 20 a R$ 40 millones. No es victoria —es daño contenido. Pero es el mejor resultado de la ventana, y el único que ofrece un modelo replicable para otras instituciones. La lección no es que el sistema es seguro; la lección es que la velocidad de respuesta importa más que la prevención cuando la prevención ya falló. Y la velocidad de respuesta exige inversión en equipo, en herramientas y en procesos de simulación de incidente —exactamente lo que la mayoría de las instituciones brasileñas posterga hasta el momento en que ya es demasiado tarde.
Abril cierra con Brasil más expuesto que al entrar. Mayo comienza con la Resolución 519 del Banco Central tornando obligatorio, a partir del día 4, el reporte de operaciones cripto internacionales —una capa adicional de visibilidad que añade presión regulatoria sin resolver el problema estructural de fondo. La pregunta que cada institución brasileña —pública o privada— necesita responder ahora no es "¿fuimos atacados?" sino "cuándo y cómo descubriremos que lo fuimos?". El atraso entre el evento y el reconocimiento, en los cuatro casos cubiertos aquí, fue la diferencia entre daño contenido y daño consolidado.