Sistema Guardián Filtrado: Código Fuente de Dígitro Expone Aparato de Interceptación de 150 Órganos Brasileños

El 17 de abril de 2026, el Centro de Prevención, Tratamiento y Respuesta a Incidentes Cibernéticos de Gobierno (CTIR Gov) actualizó silenciosamente su Recomendación 05/2026. El texto, técnico y contenido, comunicaba a trescientos órganos federales lo que parte del submundo de la inteligencia brasileña ya sabía hace meses: el código fuente del Sistema Guardián — la plataforma utilizada por más de 150 instituciones gubernamentales y de seguridad pública para interceptación legal de voz y datos — había sido publicado en Distributed Denial of Secrets. Junto a él, bases de datos internas, repositorios de código adicionales y archivos de operación de Dígitro Tecnología, la empresa catarinense que durante casi cinco décadas opera lo que podría describirse como el sistema nervioso de la escucha autorizada del Estado brasileño.

La filtración no es nueva. La divulgación inicial en DDoSecrets se remonta a septiembre de 2025. Lo que cambió en abril de 2026 fue el reconocimiento institucional. El CTIR Gov, después de meses tratando el caso como asunto interno, formalizó tres CVEs — CVE-2025-4526, CVE-2025-4527 y CVE-2025-4528 — e instruyó a los órganos federales a auditar credenciales expuestas, aislar interfaces de configuración de internet pública y considerar comprometidas las claves de API que estuvieron en cualquier repositorio ahora público. En otras palabras: el Estado brasileño admitió, con siete meses de retraso, que su principal tercerizada de interceptación fue completamente expuesta.

Qué es Dígitro — y por qué es el punto único de falla

Fundada en Florianópolis en 1977, Dígitro Tecnología se consolidó a lo largo de las décadas como el proveedor central de la arquitectura de telecomunicaciones e inteligencia de la seguridad pública brasileña. El buque insignia de la empresa, lanzado en los años 2000, es la Plataforma Guardián — un sistema de interceptación telefónica y de datos que opera bajo autorización judicial y que, según el propio material institucional de la empresa, está implantado en más de 150 órganos gubernamentales. Policías federales, civiles y militares, ministerios públicos, agencias de inteligencia y tribunales utilizan Guardián — en diferentes módulos y configuraciones — para conducir lo que la ley brasileña llama interceptación telemática, y lo que la operación cotidiana llama, más simplemente, "hacer escucha".

El punto que debe decirse con claridad, porque estructura toda la discusión posterior: Brasil terceurizó la columna vertebral técnica de su actividad de interceptación a una única empresa privada. No hay redundancia tecnológica. No hay diversidad de proveedores. No existe un "Plan B" arquitectónico si Guardián, por cualquier motivo, deja de ser confiable. Y lo que la Recomendación 05/2026 del CTIR Gov reconoce, en lenguaje burocrático, es que esa confiabilidad se perdió — no por falla de uso, sino por falla del propio proveedor en proteger su propiedad intelectual.

Anatomía de la filtración

El conjunto de archivos publicado en DDoSecrets incluye, según el consolidado del CTIR Gov y reportes cruzados de portales especializados, tres categorías de datos:

• Código fuente de Guardián y productos correlatos — incluyendo módulos de captación, transcripción e indexación de comunicaciones interceptadas. La exposición del código permite a cualquier actor — estatal o criminal — desarrollar exploits específicos contra instalaciones que ejecutan binarios derivados de este código, o identificar mecanismos de ofuscación y de comunicación backend que podrían ser explotados para detectar cuándo se está llevando a cabo una escucha.
• Bases de datos internas de la empresa — abarcando configuraciones de clientes, registros de soporte técnico y, según la divulgación, datos administrativos de la operación de Dígitro con sus contratantes públicos. No hay, en la narrativa pública hasta el momento, indicación de que el contenido de interceptaciones específicas haya sido expuesto; lo que se filtró es el aparato, no los audios.
• Repositorios de código adicionales y archivos internos — lo que típicamente significa documentación técnica, scripts de deploy, credenciales incrustadas, claves de API y todo lo demás que tiende a vivir, contra todas las mejores prácticas, dentro de un repositorio corporativo.

El CTIR Gov fue explícito al recomendar que cualquier credencial, secreto o clave de API que haya estado en los repositorios de Dígitro debe considerarse comprometida y rotarse inmediatamente. Esto significa, en la práctica, que cientos de órganos públicos pasaron parte de abril revisando integraciones, cambiando contraseñas y auditando sistemas que, en teoría, no tenían relación directa con Guardián — pero que compartían credenciales con los entornos de la empresa.

Los tres CVEs y lo que revelan sobre la ingeniería interna

Los identificadores publicados por el CTIR Gov cuentan, en conjunto, una historia incómoda sobre la madurez de seguridad de la empresa:

• CVE-2025-4526 — exposición de contraseñas en texto plano en las páginas de configuración del Dígitro NGC Explorer, por ausencia de enmascaramiento. En 2025, cualquier aplicación web seria enmascara campos de contraseña en interfaces administrativas. Que esto no fuera el estándar en un producto destinado a clientes gubernamentales es, por sí solo, un indicador de cuánta presión de seguridad la empresa venía enfrentando de sus contratantes.
• CVE-2025-4527 — vulnerabilidad client-side que permite la extracción remota de información sensible. Sin detalles públicos del vector exacto, pero la categoría sugiere que es posible obtener datos privilegiados sin necesidad de autenticación previa, o con autenticación mínimamente quebrada.
• CVE-2025-4528 — expiración insuficiente de sesión, permitiendo que un atacante con privilegios elevados mantenga acceso por períodos prolongados sin reautenticación. En una plataforma de interceptación, esto es especialmente sensible: significa que una sesión administrativa comprometida puede permanecer activa, indetectada, por días.

Los tres CVEs, leídos en conjunto, describen un producto que envejeció mal. Dígitro construyó Guardián en una era anterior a la preocupación sistemática con seguridad en aplicaciones web, y — por lo que las vulnerabilidades sugieren — no condujo una renovación arquitectónica a la altura del papel que el producto pasó a tener en el aparato estatal. La consecuencia práctica es que la filtración del código fuente transforma estos tres CVEs en un multiplicador de riesgo: ahora que cualquier investigador o actor hostil puede leer el código, es razonable esperar que otras vulnerabilidades — no publicadas, no corregidas — salgan a la luz en los próximos meses.

Qué significa esto para investigaciones en curso

La pregunta que importa, desde el punto de vista de la operación cotidiana de la seguridad pública brasileña, es una sola: ¿investigaciones en curso están comprometidas?

La respuesta honesta es: no hay manera de saberlo públicamente, y tal vez no hay manera de saberlo privadamente. La filtración expone el aparato — cómo funciona Guardián, cómo se comunica con los módulos de captación y backend, cómo indexa y almacena datos. No expone, según lo que se sabe, los contenidos específicos de las interceptaciones en curso, ni la lista de objetivos. Pero con el aparato en manos, un actor hostil suficientemente sofisticado puede:

• Desarrollar detectores que identifiquen, del lado del objetivo, cuándo una comunicación está siendo capturada por una instalación de Guardián — invirtiendo, en la práctica, la relación de visibilidad entre interceptador e interceptado.
• Mapear la arquitectura de red y los puntos de integración con operadores de telecomunicaciones, identificando dónde el tráfico es desviado para análisis.
• Desarrollar exploits específicos que, combinados con acceso lateral a las redes de los órganos contratantes, permitirían exfiltrar contenidos de interceptaciones archivadas — lo que sería una escalada cualitativa sobre lo que ya se filtró.

Nada de esto está garantizado, y nada de esto ha ocurrido públicamente. Pero la posibilidad existe, y el cálculo de riesgo que cada órgano público brasileño necesita hacer ahora es estructural: ¿vale la pena continuar usando Guardián mientras la base de código está pública? La respuesta operacional, en ausencia de alternativas, será "sí" — porque sustituir un sistema de interceptación implantado en 150 órganos no es proyecto de meses, es proyecto de años. Pero la admisión de que se está operando con un producto cuya seguridad fue, como mínimo, perforada debería estar en el centro de cualquier discusión honesta sobre el caso.

El silencio oficial

Hasta el cierre de este análisis, el 29 de abril de 2026, no hay manifestación oficial de ninguna autoridad federal de seguridad pública sobre la filtración. La Policía Federal, los Ministerios Públicos estatales y federales, las agencias de inteligencia y el propio Ministerio de Justicia y Seguridad Pública mantienen, en relación al caso Dígitro, lo que puede describirse como una estrategia de negación por omisión. La propia Dígitro, aunque ha publicado materiales institucionales reafirmando su compromiso con "soberanía nacional en el tráfico de datos" — frase usada en texto de prensa publicado en el sitio de la empresa en 2026 — no ha emitido, hasta ahora, un comunicado específico reconociendo el alcance de la filtración y detallando las medidas tomadas.

El CTIR Gov, dentro del gobierno federal, hizo lo que correspondía técnicamente: documentó los CVEs, emitió recomendaciones concretas, instruyó la rotación de credenciales. Pero el CTIR Gov no tiene mandato para discutir públicamente el impacto operacional sobre investigaciones, ni para imponer la sustitución arquitectónica de Guardián. Ese es un debate que necesitaría ser conducido por instancias políticas — el Congreso, el Ministerio de Justicia, el Consejo Nacional de Justicia (que regula el uso de la interceptación en el poder judicial) — y que, hasta ahora, ninguna de ellas ha iniciado.

Para un país que acostumbra hablar en "soberanía digital" en discursos oficiales, el caso Dígitro es la prueba de consistencia. Soberanía digital no es tener empresa nacional suministrando el sistema; es tener sistema nacional cuya seguridad no dependa de un único proveedor cuyo código fuente ahora está en un sitio público.

El paralelo con la cobertura reciente

El caso Dígitro no llega aislado. A lo largo de abril de 2026, ON3X ha mapeado una secuencia de incidentes que, leídos en conjunto, describen un Brasil — y un ecosistema cripto/cyber global — bajo presión simultánea en múltiples frentes. La investigación de VECERT publicada el 27 de abril, que mapeó 32 actores de amenaza y 29,8 TB de datos brasileños expuestos en 90 días, ya indicaba que el sector público nacional opera en estado de compromiso continuo. El incidente de Vercel el 25 de abril, que obligó a cientos de proyectos Web3 a rotar claves de API, mostró el mismo patrón de supply chain attack — solo que aplicado a la capa de hosting del mundo cripto. Y la campaña de Lazarus contra ejecutivos cripto vía macOS, documentada el 23 de abril, evidencia que actores estatales sofisticados están calibrando su ingeniería social para objetivos corporativos específicos.

El hilo común entre Dígitro, Vercel, VECERT y Lazarus es el mismo: concentración de confianza en puntos únicos de integración. Cuando un único proveedor — sea de interceptación, de hosting, de comunicación corporativa — domina un vertical y su seguridad es perforada, todo el ecosistema construido sobre él hereda la falla. Es el problema arquitectónico que ON3X ya señaló en el contexto cross-chain del cluster DeFi del 28 de abril: puntos únicos de confianza fuera del alcance de la auditoría. En el caso de Dígitro, el punto único es el aparato de interceptación del Estado brasileño.

La perspectiva ON3X

Tres lecturas para cerrar:

1. La soberanía digital brasileña es, hoy, un arreglo de proveedores únicos. El Estado terceuriza interceptación a Dígitro, hosting gubernamental a un pequeño conjunto de proveedores, identidad digital a Gov.br (que también concentra superficies de ataque, como la filtración Morgue de 251 millones de CPFs evidencia). La retórica de la soberanía presume diversidad arquitectónica; la práctica operacional es lo opuesto. Mientras no haya una política deliberada de redundancia — múltiples proveedores, código abierto auditable, capacidad interna de desarrollo — cualquier compromiso de un único eslabón derriba todo el aparato dependiente de él.

2. El reconocimiento tardío del CTIR Gov es el síntoma, no el problema. Siete meses entre la divulgación en DDoSecrets y la Recomendación 05/2026 no fueron tiempo de investigación técnica — fueron tiempo de hesitación institucional sobre cómo hacer público el caso sin amplificarlo. La consecuencia es que cientos de órganos públicos operaron, durante meses, con credenciales y configuraciones que ya estaban comprometidas. La lección es estructural: Brasil necesita un régimen obligatorio de divulgación rápida de incidentes que afecten proveedores estatales — algo análogo a lo que la SEC americana introdujo para empresas listadas en 2023, pero dirigido a la cadena de suministros del sector público.

3. El caso Dígitro es el argumento más fuerte que existe a favor de auditoría pública de código en sistemas estatales sensibles. La paradoja es que, justamente porque Guardián opera bajo sigilo, su seguridad era imposible de validar desde fuera — y cuando el código se filtró, todos descubrieron, al mismo tiempo, que Dígitro no había conducido las auditorías internas que se esperaría de un producto de este porte. Sistemas críticos del Estado deberían estar sometidos, como mínimo, a auditorías de código por terceros independientes, con publicación de sumarios ejecutivos. El sigilo operacional sobre quién está siendo investigado es legítimo; el sigilo arquitectónico sobre cómo funciona el sistema es solo security through obscurity — una estrategia que, como Dígitro acaba de demostrar, falla catastróficamente cuando la obscuridad se evapora.

Brasil salió de abril con un balance incómodo: el aparato cyber del Estado está expuesto, el sector financiero fue golpeado en secuencia (BTG Pactual vía DriveWealth, Banco Rendimiento, filtraciones correlatas), y la base de identidad digital nacional tuvo 251 millones de registros puestos a la venta. Cada uno de estos incidentes tiene dinámicas propias. Pero comparten un diagnóstico: el país construyó, a lo largo de dos décadas, una infraestructura digital crítica sin invertir en la arquitectura de redundancia y auditoría que esa criticidad exige. La cuenta está llegando — no en un único evento dramático, sino en parcelas mensuales.