Brasil Sob Fogo: BTG, Banco Rendimento, Notre Dame e Morgue de 251 Milhões de CPFs em Oito Dias

Em uma janela de oito dias entre 21 e 28 de abril de 2026, o Brasil registrou — quase em silêncio editorial — uma sequência de incidentes cibernéticos que, lidos em conjunto, descrevem um país sob fogo cruzado em pelo menos quatro frentes simultâneas: o sistema bancário internacional, a banca de varejo nacional, a educação privada e a base de identidade digital construída em torno do CPF. Cada incidente, isolado, foi tratado como evento administrativo. Cobertos juntos, eles compõem o argumento de que a infraestrutura digital brasileira está operando, em abril, num regime de comprometimento contínuo.

Esta apuração organiza quatro casos: o ataque ao BTG Pactual via DriveWealth, descoberto em 24 de abril; o desvio milionário no Banco Rendimento, contido em 21 de abril; a reivindicação do grupo TheGentlemen contra o domínio do colégio Notre Dame de Campinas, publicada em 28 de abril; e o vazamento "Morgue", que colocou à venda 251,7 milhões de registros de CPFs vinculados ao portal Gov.br. Cada caso traz uma anatomia técnica diferente. Mas o denominador comum é o mesmo, e ele é o ponto central deste texto.

Capítulo 1 — BTG Pactual, DriveWealth e a fragilidade da cadeia internacional

O BTG Pactual, na noite de sexta-feira 24 de abril, comunicou a um subconjunto de clientes residentes fora dos Estados Unidos que houve acesso indevido a dados pessoais por meio de um ataque cibernético contra a DriveWealth LLC, sua parceira norte-americana de custódia para contas internacionais. O ataque, segundo o comunicado, ocorreu no fim de março de 2026; o banco foi notificado pela DriveWealth na semana de 21 de abril, e levou cerca de 72 horas para preparar a comunicação a clientes.

Os dados expostos, segundo o BTG: nomes completos, informações de conta e identificadores bancários. O banco foi enfático ao afirmar que "nenhum ativo ou saldo em dólares do BTG Pactual ou de nossos clientes foi comprometido", e anunciou que os números de conta dos afetados serão substituídos nas semanas seguintes como medida preventiva. Não foi identificado ator de ameaça publicamente.

O ponto que importa, para além do detalhe operacional: o BTG não foi atacado diretamente. O ataque foi contra um fornecedor terceirizado que opera nos EUA, prestando serviços de corretagem e custódia para clientes internacionais do banco brasileiro. Esse padrão — comprometer o banco grande atacando o parceiro pequeno — é, hoje, o modo dominante de operação do crime cibernético contra o setor financeiro de elite. A DriveWealth atende dezenas de outras instituições além do BTG, e a notícia da semana passada é a primeira de uma série provável de divulgações similares por bancos correspondentes.

Para os clientes BTG afetados, o impacto imediato é limitado: dados pessoais expostos podem ser usados em phishing direcionado, mas não há acesso direto a dinheiro. O impacto estrutural, no entanto, é maior. O modelo de "conta internacional via parceiro" — que bancos brasileiros oferecem a clientes private para diversificação geográfica — depende inteiramente da segurança do fornecedor estrangeiro, sobre o qual o banco brasileiro não tem governança direta. Quando esse fornecedor é perfurado, o banco brasileiro herda o risco reputacional sem ter podido evitar a falha técnica. É o mesmo padrão de supply chain attack que documentamos em outros contextos — apenas aplicado ao varejo financeiro de alta renda.

Capítulo 2 — Banco Rendimento e o desvio de R$ 100 milhões contido em horas

Na manhã de terça-feira 21 de abril de 2026, o Banco Rendimento identificou e conteve, por iniciativa própria, um incidente cibernético em alguns dos seus canais de acesso a clientes. Segundo apurações publicadas em sequência por veículos especializados nos dias seguintes, o ataque envolveu o desvio de aproximadamente R$ 100 milhões da operação do banco. A equipe de segurança da informação, segundo o comunicado oficial, agiu nas primeiras horas para isolar a ameaça, recuperar parte do montante desviado e reforçar medidas de proteção. O caso foi reportado às autoridades competentes.

O dado mais relevante, e ao mesmo tempo o menos comentado: o banco recuperou a maior parte do valor desviado, terminando o incidente com prejuízo estimado entre R$ 20 milhões e R$ 40 milhões. Em termos absolutos, isso é dinheiro. Em termos relativos a um ataque que poderia ter custado R$ 100 milhões, é uma defesa razoavelmente bem-sucedida — sustentada por mecanismos de detecção de anomalia em tempo real e por uma resposta operacional rápida.

O Rendimento é, no contexto do sistema bancário brasileiro, uma instituição de médio porte com forte presença em câmbio e correspondência internacional. Que um banco desse perfil tenha sido alvo de uma operação que pretendia desviar nove dígitos em moeda nacional — e que essa operação tenha sido executada com tempo suficiente para que cerca de R$ 60 milhões a R$ 80 milhões fossem recuperados antes de chegar ao destino — sugere que os atacantes não conseguiram antecipar a velocidade de reação. É um caso raro em que a infraestrutura defensiva venceu por reflexo, não por desenho preventivo.

O Banco Central, por sua vez, registrou em 2025 um total de 76 incidentes cibernéticos considerados "relevantes" reportados pelo sistema financeiro nacional — número 29% superior ao de 2024. Os dados de 2026 ainda não estão consolidados publicamente, mas a frequência e a magnitude dos eventos do primeiro quadrimestre sugerem que o número final excederá o de 2025 com folga.

Capítulo 3 — TheGentlemen e o ataque ao colégio Notre Dame de Campinas

Em 28 de abril de 2026, o ator de ameaça TheGentlemen publicou em sua plataforma de leak — um site .onion onde o grupo divulga vítimas que se recusaram a pagar resgate — uma reivindicação de ataque ao domínio notredamecampinas.com.br, vinculado à rede educacional católica Notre Dame de Campinas, em São Paulo. Os detalhes públicos sobre volume de dados e tipos de registros expostos são, até o fechamento desta apuração, limitados. O caso foi registrado por monitores de breach independentes, mas não há confirmação oficial da rede de ensino sobre o escopo do incidente.

O ângulo que torna esse caso relevante para a tese geral deste texto não é o volume — que pode acabar sendo modesto — mas a identidade do alvo e a do atacante:

• O alvo: uma instituição educacional privada brasileira que atende crianças e adolescentes. Vazamentos no setor educacional são especialmente sensíveis porque tendem a expor dados de menores, registros de saúde escolar, informações financeiras dos responsáveis e, em alguns casos, comunicações entre instituição e família. O Brasil ainda não regulamentou de forma rigorosa o tratamento de dados de menores em contexto educacional — a LGPD oferece a moldura, mas as multas e fiscalizações específicas no setor permanecem incipientes.
• O atacante: TheGentlemen é, hoje, uma das operações de ransomware-as-a-service mais ativas do mundo. Surgida em meados de 2025 como um RaaS que recruta afiliados em fóruns underground, o grupo já reivindicou publicamente mais de 320 vítimas em mais de 50 países, com 240 dos ataques concentrados nos primeiros meses de 2026. A operação fornece a seus afiliados lockers multi-OS para Windows, Linux, NAS e BSD (escritos em Go) e um locker dedicado para ESXi (em C), além de ferramentas de neutralização de EDR e infraestrutura de pivô multi-chain.

O perfil técnico do TheGentlemen é, em outras palavras, o de um operador maduro com capacidade industrial de ataque. Que o grupo tenha incluído uma rede educacional brasileira no seu calendário de abril — junto com vítimas de defesa italiana, OEM de microeletrônica filipina e varejo esportivo marroquino, todos divulgados na mesma janela — sugere que o Brasil entrou de forma estável no portfólio de alvos rotineiros do RaaS internacional. Não é mais incidente isolado; é fluxo de produção.

Capítulo 4 — Morgue: 251,7 milhões de CPFs e o vazamento que ressuscitou os mortos

A descoberta mais grave da janela de abril veio sem anúncio oficial, sem briefing à imprensa, sem confirmação federal. Um ator de ameaça operando sob o pseudônimo "Buddha" colocou à venda em fórum underground um banco de dados batizado de "Morgue", contendo 251.720.444 registros de CPFs com vínculos ao portal Gov.br — totalizando 25,1 GB de dados em texto bruto. Para demonstrar autenticidade, o vendedor disponibilizou uma amostra gratuita com 20 mil linhas. A descoberta foi reportada inicialmente pela VECERT, a fonte primária editorial da ON3X em cybersegurança nacional.

O volume é, sozinho, um marco histórico: supera o vazamento de 223 milhões de CPFs de 2021, que até então era o maior incidente do tipo já registrado no país. O número excede até a população brasileira viva — porque inclui registros de pessoas falecidas. A própria estrutura do banco confirma isso: além do CPF e do vínculo Gov.br, os campos incluem afiliação, status de óbito com data, raça e cidade de nascimento. O Brasil emite CPFs desde 1965, e o vazamento Morgue parece consolidar décadas de registros — vivos, mortos e camadas demográficas que normalmente não estariam acessíveis ao mercado paralelo de dados.

A extração ocorreu, segundo o ator, em 15 de março de 2025. O anúncio público chegou em abril de 2026 — um intervalo de 13 meses entre comprometimento e divulgação, durante o qual o conjunto pode ter sido vendido privadamente, usado em campanhas de fraude direcionada ou explorado em operações de engenharia social. Até o fechamento desta apuração, nem o governo federal nem a Autoridade Nacional de Proteção de Dados (ANPD) emitiram confirmação ou nota pública sobre o caso.

O silêncio é, em si, um dado: a ANPD foi criada em 2018 com mandato explícito de fiscalizar incidentes de grande escala. Treze meses entre extração e publicação, e nem assim houve manifestação. Para um cidadão cujo CPF está provavelmente entre os 251 milhões expostos — o que, dado o volume, é quase todo brasileiro adulto vivo — não há orientação oficial sobre como verificar a exposição, nem sobre quais medidas protetivas adotar.

O denominador comum: ataque por terceirização e por antiguidade

Os quatro casos têm anatomias técnicas distintas. O BTG foi atingido via parceiro estrangeiro. O Rendimento, por intrusão direta nos canais de cliente. O Notre Dame, por uma operação de ransomware-as-a-service comoditizada. O Morgue, por extração de uma base governamental cuja origem exata não foi confirmada. Mas dois fios estruturais costuram os quatro:

Fio 1 — Ataque ao perímetro indireto. Em três dos quatro casos (BTG, Notre Dame, Morgue), a vítima nominal não é a mesma que a vítima técnica. O BTG não foi invadido — a DriveWealth foi. O Notre Dame talvez não tenha sido o alvo escolhido por nome — pode ter caído pelo padrão genérico de varredura do TheGentlemen contra setores educacionais. O Morgue não vazou diretamente do Gov.br — vazou de algum integrador, fornecedor ou base intermediária que tem acesso autorizado aos registros. O Brasil hoje é mais atacado pelas suas periferias contratuais do que pelos seus núcleos defendidos.

Esse padrão tem um nome técnico — supply chain attack — e um nome estrutural: terceirização sem auditoria. A cada nó periférico que passa a ter acesso a dados da instituição-mãe sem que a segurança desse nó seja conduzida no mesmo padrão da instituição central, cria-se um ponto de entrada. E esses pontos se multiplicam mais rápido do que os times de governança conseguem mapear.

Fio 2 — Dados antigos ressuscitando como ativos correntes. O Morgue foi extraído em março de 2025, vendido em abril de 2026. O caso Kraken — que a VECERT documentou em 13 de abril — envolvia 5,3 milhões de registros que pareciam ser dados reciclados de exposições anteriores, repackaged como vazamento "novo" para fins de extorsão. O fenômeno é o mesmo: dados que deveriam ter sido descartados, rotacionados ou neutralizados continuam ativos no mercado paralelo, ressurgindo em ciclos de monetização que vão de meses a anos depois da extração original.

A consequência é que a "remediação" de um vazamento — trocar senhas, rotacionar tokens, monitorar fraude — tem janela de eficácia muito mais longa do que se assume. Um CPF, ao contrário de uma senha, não pode ser rotacionado. Uma vez exposto, está exposto para sempre. E o mercado paralelo de dados brasileiros, alimentado pelas exposições acumuladas desde 2021 — quando o vazamento dos 223 milhões marcou o início desta era —, tem hoje material suficiente para operações de fraude, engenharia social e roubo de identidade que se estenderão por toda a década.

O que conecta os quatro casos com o que já cobrimos

Esta sequência não chega num vácuo editorial. Em 27 de abril, a ON3X publicou a apuração da VECERT que mapeou 32 atores de ameaça e 29,8 TB de dados brasileiros expostos em 90 dias, contemplando 214 entidades comprometidas e 1.752 SMTPs corporativos à venda. O Morgue, o BTG e o Rendimento são, todos eles, expansões diretas daquele inventário — agora com nomes, números e timestamps. E em 29 de abril, a ON3X documentou separadamente o vazamento na Dígitro Tecnologia, que expôs o código-fonte do Sistema Guardião e afetou mais de 150 órgãos federais que dependem da empresa para interceptação telefônica autorizada por via judicial.

Lidos em conjunto — VECERT, Dígitro, BTG, Rendimento, Notre Dame, Morgue — esses casos formam um painel de abril que não tem precedente direto no histórico de cibersegurança brasileira. Não em volume isolado de cada incidente, mas na densidade da janela: seis eventos significativos em pouco mais de 30 dias, atravessando todos os principais setores da economia formal (financeiro, governo, educação, fornecedores estatais).

O contexto internacional ajuda a calibrar a interpretação. A campanha do Lazarus contra executivos cripto via macOS, que documentamos em 23 de abril, e o cluster de hacks DeFi que cobrimos no "Cross-Chain Sangrou" de 28 de abril, mostram que o mesmo tipo de pressão sistemática que atinge o Brasil está atingindo setores específicos do ecossistema cripto-financeiro global. A diferença é estrutural: o setor cripto, mesmo em crise, tem capacidade de auditoria pública (código aberto, post-mortems detalhados, comunidades técnicas independentes). O setor público brasileiro e a maior parte do setor financeiro tradicional não têm esse músculo — operam em sigilo defensivo, com divulgação minimalista e accountability lenta.

A perspectiva ON3X

Três leituras para fechar:

1. O Brasil precisa de um regime obrigatório e rápido de divulgação de incidentes para o setor público e bancário. A ANPD existe há sete anos e ainda não impôs ritmo de notificação compatível com a velocidade de exposição. A SEC americana exige divulgação material em 4 dias úteis para empresas listadas. A União Europeia, via NIS2, exige relato inicial em 24 horas para incidentes significativos no setor crítico. O Brasil opera, hoje, em janela elástica que vai de "alguns dias" no setor financeiro a "nunca" no setor público. O caso Morgue — 13 meses entre extração e publicação, sem nota oficial — é o exemplo extremo do problema. Sem prazo legal de notificação obrigatória, o cidadão é o último a saber.

2. A terceirização sem auditoria é o vetor dominante, e exige resposta arquitetural. Bancos brasileiros que operam contas internacionais via parceiros estrangeiros precisam construir contratos com cláusulas de auditoria contínua, padrões mínimos de segurança verificáveis e regime de notificação imediata. Empresas que operam serviços críticos para o Estado — como a Dígitro — precisam estar submetidas a auditorias de código por terceiros independentes, com publicação de sumários executivos. A LGPD não chega lá. Precisaria existir um marco regulatório complementar para a cadeia de fornecedores do setor crítico.

3. A defesa funcionou no Banco Rendimento — e isso é a única boa notícia da janela. O caso Rendimento mostra que detecção de anomalia em tempo real, combinada com resposta operacional rápida, ainda é capaz de neutralizar parte significativa de um ataque mesmo quando o adversário já está dentro. O ataque pretendia tirar R$ 100 milhões; saiu com R$ 20 a R$ 40 milhões. Não é vitória — é dano contido. Mas é o melhor resultado da janela, e o único que oferece um modelo replicável para outras instituições. A lição não é que o sistema é seguro; a lição é que velocidade de resposta importa mais que prevenção quando a prevenção já falhou. E a velocidade de resposta exige investimento em equipe, em ferramentas e em processos de simulação de incidente — exatamente o que a maioria das instituições brasileiras posterga até o momento em que já é tarde demais.

Abril fecha com o Brasil mais exposto do que entrou. Maio começa com a Resolução 519 do Banco Central tornando obrigatório, a partir do dia 4, o reporte de operações cripto internacionais — uma camada adicional de visibilidade que acrescenta pressão regulatória sem resolver o problema estrutural de fundo. A pergunta que cada instituição brasileira — pública ou privada — precisa responder agora não é "fomos atacados?" mas sim "quando e como descobriremos que fomos?". O atraso entre o evento e o reconhecimento, em todos os quatro casos cobertos aqui, foi a diferença entre dano contido e dano consolidado.