Sistema Guardião Vazado: Código-Fonte da Dígitro Expõe Aparato de Interceptação de 150 Órgãos Brasileiros

Em 17 de abril de 2026, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) atualizou em silêncio a sua Recomendação 05/2026. O texto, técnico e contido, comunicava a três centenas de órgãos federais o que parte do submundo da inteligência brasileira já sabia havia meses: o código-fonte do Sistema Guardião — a plataforma usada por mais de 150 instituições governamentais e de segurança pública para interceptação legal de voz e dados — havia sido publicado no Distributed Denial of Secrets. Ao lado dele, bancos de dados internos, repositórios de código adicionais e arquivos da operação da Dígitro Tecnologia, a empresa catarinense que há quase cinco décadas opera o que poderia ser descrito como o sistema nervoso da escuta autorizada do Estado brasileiro.

O vazamento não é novo. A divulgação inicial no DDoSecrets remonta a setembro de 2025. O que mudou em abril de 2026 foi o reconhecimento institucional. O CTIR Gov, depois de meses tratando o caso como assunto interno, formalizou três CVEs — CVE-2025-4526, CVE-2025-4527 e CVE-2025-4528 — e instruiu os órgãos federais a auditar credenciais expostas, isolar interfaces de configuração da internet pública e considerar comprometidas as chaves de API que estiveram em qualquer repositório agora público. Em outras palavras: o Estado brasileiro admitiu, com sete meses de atraso, que a sua principal terceirizada de interceptação foi inteiramente devassada.

O que é a Dígitro — e por que ela é o ponto único de falha

Fundada em Florianópolis em 1977, a Dígitro Tecnologia se consolidou ao longo das décadas como o fornecedor central da arquitetura de telecomunicações e inteligência da segurança pública brasileira. O carro-chefe da empresa, lançado nos anos 2000, é a Plataforma Guardião — um sistema de interceptação telefônica e de dados que opera sob autorização judicial e que, segundo o próprio material institucional da empresa, está implantado em mais de 150 órgãos governamentais. Polícias federais, civis e militares, ministérios públicos, agências de inteligência e tribunais usam o Guardião — em diferentes módulos e configurações — para conduzir o que a lei brasileira chama de interceptação telemática, e o que a operação cotidiana chama, mais simplesmente, de "fazer escuta".

O ponto que precisa ser dito com clareza, porque ele estrutura toda a discussão posterior: o Brasil terceirizou o backbone técnico da sua atividade de interceptação para uma única empresa privada. Não há redundância tecnológica. Não há diversidade de fornecedores. Não existe um "Plano B" arquitetural se o Guardião, por qualquer motivo, deixa de ser confiável. E o que a Recomendação 05/2026 do CTIR Gov reconhece, em linguagem burocrática, é que essa confiabilidade foi perdida — não por falha de uso, mas por falha do próprio fornecedor em proteger a sua propriedade intelectual.

Anatomia do vazamento

O conjunto de arquivos publicado no DDoSecrets inclui, segundo o consolidado do CTIR Gov e relatos cruzados de portais especializados, três categorias de dados:

• Código-fonte do Guardião e de produtos correlatos — incluindo módulos de captação, transcrição e indexação de comunicações interceptadas. A exposição do código permite a qualquer ator — estatal ou criminoso — desenvolver exploits específicos contra instalações que rodam binários derivados desse código, ou identificar mecanismos de ofuscação e de comunicação backend que poderiam ser explorados para detectar quando uma escuta está em curso.
• Bancos de dados internos da empresa — abrangendo configurações de clientes, registros de suporte técnico e, segundo o disclosure, dados administrativos da operação da Dígitro com seus contratantes públicos. Não há, na narrativa pública até o momento, indicação de que o conteúdo de interceptações específicas tenha sido exposto; o que vazou é o aparato, não os áudios.
• Repositórios de código adicionais e arquivos internos — o que tipicamente significa documentação técnica, scripts de deploy, credenciais embutidas, chaves de API e tudo o mais que tende a viver, contra todas as melhores práticas, dentro de um repositório corporativo.

O CTIR Gov foi explícito ao recomendar que qualquer credencial, segredo ou chave de API que tenha estado nos repositórios da Dígitro deve ser considerada comprometida e rotacionada imediatamente. Isso significa, na prática, que centenas de órgãos públicos passaram parte de abril revisando integrações, trocando senhas e auditando sistemas que, em tese, não tinham relação direta com o Guardião — mas que compartilhavam credenciais com os ambientes da empresa.

As três CVEs e o que elas revelam sobre a engenharia interna

Os identificadores publicados pelo CTIR Gov contam, juntos, uma história desconfortável sobre a maturidade de segurança da empresa:

• CVE-2025-4526 — exposição de senhas em texto plano nas páginas de configuração do Dígitro NGC Explorer, por ausência de mascaramento. Em 2025, qualquer aplicação web séria mascara campos de senha em interfaces administrativas. Que isso não fosse o padrão num produto destinado a clientes governamentais é, por si só, um indicador de quão pouca pressão de segurança a empresa vinha enfrentando dos seus contratantes.
• CVE-2025-4527 — vulnerabilidade client-side que permite a extração remota de informações sensíveis. Sem detalhes públicos do vetor exato, mas a categoria sugere que é possível obter dados privilegiados sem necessidade de autenticação prévia, ou com autenticação minimamente quebrada.
• CVE-2025-4528 — expiração insuficiente de sessão, permitindo que um atacante com privilégios elevados mantenha acesso por períodos prolongados sem reautenticação. Numa plataforma de interceptação, isso é especialmente sensível: significa que uma sessão administrativa comprometida pode ficar viva, indetectada, por dias.

As três CVEs, lidas em conjunto, descrevem um produto que envelheceu mal. A Dígitro construiu o Guardião em uma era anterior à preocupação sistemática com segurança em aplicações web, e — pelo que as vulnerabilidades sugerem — não conduziu uma renovação arquitetural à altura do papel que o produto passou a ter no aparato estatal. A consequência prática é que o vazamento do código-fonte transforma essas três CVEs num multiplicador de risco: agora que qualquer pesquisador ou ator hostil pode ler o código, é razoável esperar que outras vulnerabilidades — não publicadas, não corrigidas — venham à tona nos próximos meses.

O que isso significa para investigações em curso

A pergunta que importa, do ponto de vista da operação cotidiana da segurança pública brasileira, é uma só: investigações em andamento estão comprometidas?

A resposta honesta é: não há como saber publicamente, e talvez não haja como saber privadamente. O vazamento expõe o aparato — o como o Guardião funciona, como ele se comunica com os módulos de captação e backend, como ele indexa e armazena dados. Não expõe, segundo o que se sabe, os conteúdos específicos das interceptações em curso, nem a lista de alvos. Mas com o aparato em mãos, um ator hostil suficientemente sofisticado pode:

• Desenvolver detectores que identifiquem, do lado do alvo, quando uma comunicação está sendo capturada por uma instalação do Guardião — invertendo, na prática, a relação de visibilidade entre interceptador e interceptado.
• Mapear a arquitetura de rede e os pontos de integração com operadoras de telecomunicações, identificando onde o tráfego é desviado para análise.
• Desenvolver exploits específicos que, combinados com acesso lateral às redes dos órgãos contratantes, permitiriam exfiltrar conteúdos de interceptações arquivadas — o que seria uma escalada qualitativa sobre o que já vazou.

Nada disso é garantido, e nada disso ocorreu publicamente. Mas a possibilidade existe, e o cálculo de risco que cada órgão público brasileiro precisa fazer agora é estrutural: vale a pena continuar usando o Guardião enquanto a base de código está pública? A resposta operacional, na ausência de alternativas, será "sim" — porque substituir um sistema de interceptação implantado em 150 órgãos não é projeto de meses, é projeto de anos. Mas a admissão de que se está operando com um produto cuja segurança foi, no mínimo, perfurada deveria estar no centro de qualquer discussão honesta sobre o caso.

O silêncio oficial

Até o fechamento desta análise, em 29 de abril de 2026, não há manifestação oficial de qualquer autoridade federal de segurança pública sobre o vazamento. A Polícia Federal, os Ministérios Públicos estaduais e federais, as agências de inteligência e o próprio Ministério da Justiça e Segurança Pública mantêm, em relação ao caso Dígitro, o que pode ser descrito como uma estratégia de negação por omissão. A própria Dígitro, embora tenha publicado materiais institucionais reafirmando o seu compromisso com "soberania nacional no tráfego de dados" — frase usada em texto de imprensa publicado no site da empresa em 2026 — não emitiu, até agora, um comunicado específico reconhecendo o escopo do vazamento e detalhando as medidas tomadas.

O CTIR Gov, dentro do governo federal, fez o que cabia tecnicamente: documentou as CVEs, emitiu recomendações concretas, instruiu a rotação de credenciais. Mas o CTIR Gov não tem mandato para discutir publicamente o impacto operacional sobre investigações, nem para impor a substituição arquitetural do Guardião. Esse é um debate que precisaria ser conduzido por instâncias políticas — o Congresso, o Ministério da Justiça, o Conselho Nacional de Justiça (que regula o uso da interceptação no judiciário) — e que, até agora, nenhuma delas iniciou.

Para um país que costuma falar em "soberania digital" em discursos oficiais, o caso Dígitro é o teste de consistência. Soberania digital não é ter empresa nacional fornecendo o sistema; é ter sistema nacional cuja segurança não dependa de um único fornecedor cujo código-fonte agora está num site público.

O paralelo com a cobertura recente

O caso Dígitro não chega isolado. Ao longo de abril de 2026, a ON3X tem mapeado uma sequência de incidentes que, lidos em conjunto, descrevem um Brasil — e um ecossistema cripto/cyber global — sob pressão simultânea em múltiplas frentes. A apuração da VECERT publicada em 27 de abril, que mapeou 32 atores de ameaça e 29,8 TB de dados brasileiros expostos em 90 dias, já indicava que o setor público nacional opera em estado de comprometimento contínuo. O incidente da Vercel em 25 de abril, que forçou centenas de projetos Web3 a rotacionar API keys, mostrou o mesmo padrão de supply chain attack — só que aplicado à camada de hospedagem do mundo cripto. E a campanha do Lazarus contra executivos cripto via macOS, documentada em 23 de abril, evidencia que atores estatais sofisticados estão calibrando a sua engenharia social para alvos corporativos específicos.

O fio comum entre a Dígitro, a Vercel, a VECERT e o Lazarus é o mesmo: concentração de confiança em pontos únicos de integração. Quando um único fornecedor — seja de interceptação, de hospedagem, de comunicação corporativa — domina um vertical e a sua segurança é perfurada, todo o ecossistema construído sobre ele herda a falha. É o problema arquitetural que a ON3X já apontou no contexto cross-chain do cluster DeFi de 28 de abril: pontos únicos de confiança fora do alcance da auditoria. No caso da Dígitro, o ponto único é o aparato de interceptação do Estado brasileiro.

A perspectiva ON3X

Três leituras para fechar:

1. A soberania digital brasileira é, hoje, um arranjo de fornecedores únicos. O Estado terceiriza interceptação para a Dígitro, hospedagem governamental para um pequeno conjunto de provedores, identidade digital para o Gov.br (que também concentra superfícies de ataque, como o vazamento Morgue de 251 milhões de CPFs evidencia). A retórica da soberania presume diversidade arquitetural; a prática operacional é o oposto. Enquanto não houver uma política deliberada de redundância — múltiplos fornecedores, código aberto auditável, capacidade interna de desenvolvimento — qualquer comprometimento de um único elo derruba todo o aparato dependente dele.

2. O reconhecimento tardio do CTIR Gov é o sintoma, não o problema. Sete meses entre a divulgação no DDoSecrets e a Recomendação 05/2026 não foram tempo de investigação técnica — foram tempo de hesitação institucional sobre como tornar o caso público sem amplificá-lo. A consequência é que centenas de órgãos públicos operaram, durante meses, com credenciais e configurações que já estavam comprometidas. A lição é estrutural: o Brasil precisa de um regime obrigatório de divulgação rápida de incidentes que afetem fornecedores estatais — algo análogo ao que a SEC americana introduziu para empresas listadas em 2023, mas voltado para a cadeia de suprimentos do setor público.

3. O caso Dígitro é o argumento mais forte que existe a favor de auditoria pública de código em sistemas estatais sensíveis. O paradoxo é que, justamente porque o Guardião opera sob sigilo, a sua segurança era impossível de validar de fora — e quando o código vazou, todos descobriram, ao mesmo tempo, que a Dígitro não havia conduzido as auditorias internas que se esperaria de um produto desse porte. Sistemas críticos do Estado deveriam estar submetidos, no mínimo, a auditorias de código por terceiros independentes, com publicação de sumários executivos. O sigilo operacional sobre quem está sendo investigado é legítimo; o sigilo arquitetural sobre como o sistema funciona é apenas security through obscurity — uma estratégia que, como a Dígitro acaba de demonstrar, falha catastroficamente quando a obscuridade evapora.

O Brasil saiu de abril com um saldo desconfortável: o aparato cyber do Estado está exposto, o setor financeiro foi atingido em sequência (BTG Pactual via DriveWealth, Banco Rendimento, vazamentos correlatos), e a base de identidade digital nacional teve 251 milhões de registros postos à venda. Cada um desses incidentes tem dinâmicas próprias. Mas eles compartilham um diagnóstico: o país construiu, ao longo de duas décadas, uma infraestrutura digital crítica sem investir na arquitetura de redundância e auditoria que essa criticidade exige. A conta está chegando — não num único evento dramático, mas em parcelas mensais.