Brasileños se ponen en alerta tras supuesta base con 248 millones de CPF, direcciones y teléfonos ser puesta a la venta, pero la Receita niega invasión y señala datos antiguos de 2019.

Grupo criminal anunció una base de datos con CPFs, direcciones y teléfonos, pero el órgano federal afirma que no hubo compromiso de sus sistemas y relaciona el material con un incidente antiguo

Una oferta publicada en un foro utilizado por cibercriminales puso a millones de brasileños en alerta esta semana. El grupo responsable del anuncio alegó poseer una base con aproximadamente 248,8 millones de registros de CPF, además de información de empresas, direcciones, teléfonos, ocupaciones y vínculos societarios.

El caso comenzó a ganar repercusión el miércoles, 10 de junio de 2026, cuando el material fue divulgado como si hubiera sido retirado de un sistema de la Receita Federal. Los vendedores afirmaron que los archivos sumarían cerca de 78,7 gigabytes y contendrían más de 1 mil millones de registros distribuidos por diferentes tablas.

La Receita Federal, sin embargo, publicó una nota en la mañana del jueves, 11 de junio, negando que sus sistemas hayan sido invadidos o que sus bases hayan sido comprometidas. El órgano clasificó la información sobre un ataque reciente como falsa y afirmó que los datos serían antiguos, mayoritariamente referentes a 2019.

Hasta el momento, por lo tanto, no existe confirmación independiente de que haya ocurrido una nueva filtración dentro de la Receita Federal. La existencia de una base con información aparentemente verdadera no comprueba, por sí sola, que esos datos hayan sido retirados directamente de los sistemas del órgano.

Anuncio prometía más de 1 mil millones de registros organizados

Según información publicada por TecMundo, el grupo criminal ofreció una muestra formada por aproximadamente 100 líneas de cada uno de los 24 archivos presentados. Los documentos estarían almacenados en el formato SQLite, que permite organizar y buscar grandes volúmenes de información con relativa facilidad.

Entre las supuestas tablas anunciadas estaban registros de personas físicas y jurídicas, direcciones, números telefónicos, nombres de madres, fechas de nacimiento, ocupaciones, actividades empresariales, socios y situaciones registrales. Los vendedores también alegaron poseer información relacionada con cerca de 41,6 millones de CNPJs.

La cantidad de CPFs mencionada no significa necesariamente que 248 millones de brasileños vivos hayan sido afectados. Una base de esta naturaleza puede contener registros de personas fallecidas, extranjeros inscritos en el CPF, registros antiguos, duplicidades e información reunida a partir de diferentes fuentes.

La Receita Federal dice que no hubo invasión de los sistemas

De acuerdo con la nota oficial publicada por la Receita Federal, la oferta criminal se basaría en la recirculación de una base de datos antigua, conocida por las autoridades y divulgada desde 2021. El organismo informó que la información es mayoritariamente de 2019 y no tendría relación con un incidente ocurrido en sus sistemas en 2026.

La institución también destacó que la presencia de un CPF en determinado conjunto de datos no permite identificar automáticamente su origen. El número es utilizado desde hace décadas por bancos, tiendas, operadoras de telefonía, organismos públicos, empresas de análisis de crédito y numerosas otras organizaciones.

En la evaluación presentada por el organismo, los criminales pueden asociar una base antigua a la Receita Federal para aumentar la credibilidad del anuncio y elevar el valor comercial del material. Bases organizadas, con nombres de tablas similares a los utilizados por el poder público, también pueden ser montadas con información obtenida de diferentes filtraciones.

La Receita declaró además que continúa monitoreando el episodio en conjunto con los organismos competentes. La nota, sin embargo, no detalló qué análisis técnicos fueron realizados para relacionar los archivos con la filtración antigua ni informó si todo el material ofrecido en el foro ya fue examinado.

Muestras aparentemente verdaderas no comprueban el origen

El análisis inicial de las muestras encontró CPFs y CNPJs con dígitos verificadores válidos, además de códigos de estados, municipios, países, naturalezas jurídicas y actividades económicas compatibles con estándares utilizados en Brasil. Esta coherencia aumenta la posibilidad de que al menos parte de la información sea real.

Un CPF matemáticamente válido, sin embargo, no comprueba que el registro pertenece a una persona existente ni revela de qué sistema fue retirado. Programas simples pueden verificar o incluso generar combinaciones compatibles con las reglas de formación de estos documentos.

Otro punto importante es que diversas informaciones atribuidas a la supuesta filtración pueden ser obtenidas en registros públicos o semipúblicos. Datos de empresas, nombres de socios, actividades económicas, direcciones comerciales y situaciones registrales, por ejemplo, aparecen en diferentes servicios de consulta.

Informaciones como nombre de la madre, teléfono personal, correo electrónico, dirección residencial y fecha de nacimiento aumentan la gravedad cuando aparecen vinculadas al mismo CPF. Aun así, estos elementos también pueden haber sido reunidos a partir de incidentes anteriores que involucren empresas privadas, plataformas digitales o servicios públicos.

Aún hay una diferencia entre demostrar que una base contiene datos verdaderos y probar que fue retirada recientemente de una institución específica. El origen, la fecha de la recolección y el método utilizado por los criminales continúan sin comprobación pública.

Caso antiguo afectó a más de 220 millones de registros

El episodio citado por la Receita remite a la gran filtración revelada a principios de 2021. En ese período, una base atribuida inicialmente a empresas de análisis de crédito habría reunido información de más de 220 millones de personas, número que también incluía registros de ciudadanos fallecidos.

La Autoridad Nacional de Protección de Datos informó, en enero de ese año, que estaba realizando una investigación técnica y que había solicitado aclaraciones a empresas y organismos como la Policía Federal, el Comité Gestor de Internet y el Gabinete de Seguridad Institucional. El origen completo de esa base de datos permaneció rodeado de dudas, a pesar de la amplia circulación de la información en ambientes criminales.

Datos antiguos aún pueden ser usados en nuevos fraudes

Incluso si el material anunciado en junio de 2026 es una copia o reorganización de datos antiguos, el riesgo para los ciudadanos no desaparece. La información personal rara vez pierde totalmente su valor, especialmente cuando incluye CPF, nombre completo, filiación y fecha de nacimiento.

Los criminales pueden cruzar registros antiguos con datos actuales encontrados en redes sociales, aplicaciones de mensajería y páginas públicas. Este proceso permite crear fraudes personalizados, en los cuales el estafador conoce detalles suficientes para ganarse la confianza de la víctima.

Uno de los riesgos más comunes es el envío de mensajes sobre falsas deudas fiscales, devoluciones del Impuesto sobre la Renta, bloqueos de CPF o cobros inexistentes. Al mencionar información verdadera, el estafador intenta convencer al contribuyente de que tiene acceso a un sistema oficial.

En una alerta divulgada anteriormente, la Receita explicó que los estafadores llegan a utilizar nombre, CPF y dirección reales en páginas que imitan el portal gov.br. Las deudas fiscales legítimas deben verificarse directamente en el e-CAC, sin acceder a enlaces recibidos por WhatsApp, SMS, redes sociales o correo electrónico.

Cómo aumentar la protección contra fraudes con CPF

El primer cuidado es no entrar en pánico ni pagar por servicios que prometen retirar el CPF de bases de datos clandestinas. No existe un procedimiento capaz de borrar todas las copias de una información que ya circula ilegalmente en internet.

Tampoco es necesario cambiar inmediatamente la contraseña del gov.br solo porque el CPF puede estar en una base. El cambio se vuelve recomendable cuando existen señales de acceso indebido, cuando la contraseña ha sido expuesta o cuando la misma combinación se utiliza en otros servicios.

Según las orientaciones del Gobierno Digital, los usuarios que identifiquen actividades sospechosas deben cambiar la contraseña, habilitar la verificación en dos pasos, revisar los dispositivos autorizados y registrar un correo electrónico seguro para la recuperación de la cuenta. La plataforma permite excluir dispositivos y navegadores desconocidos a través de la aplicación oficial.

El ciudadano también puede consultar el Registrato para verificar cuentas bancarias, préstamos, financiamientos y claves Pix vinculados a su nombre. El servicio BC Protege+ permite informar a las instituciones financieras que la persona no desea abrir nuevas cuentas en ese momento, reduciendo el riesgo de apertura fraudulenta con documentos falsos.

Otra herramienta importante es el Permiso para Participar de CNPJ, disponible a través de Redesim. El recurso posibilita impedir que el CPF sea incluido como socio o responsable de una empresa sin autorización, pudiendo ser temporalmente desactivado cuando el propio ciudadano necesite abrir o integrar un negocio.

Confirmación de un incidente exigiría comunicación a los afectados

Las reglas brasileñas determinan que un incidente confirmado capaz de causar riesgo o daño relevante debe ser comunicado a la Agencia Nacional de Protección de Datos y a los titulares afectados. El reglamento de la ANPD establece un plazo general de tres días hábiles, salvo cuando otra legislación determine un período diferente.

Esta obligación depende de la confirmación de que hubo una violación y de la evaluación sobre el potencial de perjuicio. Una publicación criminal sin origen comprobado no equivale automáticamente a un incidente confirmado dentro de la organización señalada por los vendedores.

En caso de que nuevos análisis técnicos encuentren evidencias de extracción reciente o información que no forme parte de las bases antiguas, el escenario podría cambiar. Por el momento, la posición oficial es que no hubo invasión, fuga o compromiso de las bases de la Receita Federal.

Suscribir

Ingresa con

Para entrar

Acepto crear mi cuenta.

Cuando inicies sesión por primera vez mediante un botón de inicio de sesión social, recopilamos información pública de tu perfil, compartida por el proveedor de inicio de sesión social, según tu configuración de privacidad. También obtenemos tu dirección de correo electrónico para crear automáticamente una cuenta en nuestro sitio web. Una vez creada tu cuenta, accederás a ella automáticamente.

No estoy de acuerdo.Estoy de acuerdo

Notificar de

nuevos comentarios de seguimiento Nuevas respuestas a mis comentarios

Label

Nombre*

Correo electrónico*

Guarda mis datos para la próxima vez que comente.

Guarda mi nombre, correo electrónico y sitio web en las cookies de este navegador para la próxima vez que comente.

ONESIGNAL ID

ONESIGNAL ID

Acepto crear mi cuenta.

Cuando inicies sesión por primera vez mediante un botón de inicio de sesión social, recopilamos información pública de tu perfil, compartida por el proveedor de inicio de sesión social, según tu configuración de privacidad. También obtenemos tu dirección de correo electrónico para crear automáticamente una cuenta en nuestro sitio web. Una vez creada tu cuenta, accederás a ella automáticamente.

No estoy de acuerdo.Estoy de acuerdo

Label

Nombre*

Correo electrónico*

Guarda mis datos para la próxima vez que comente.

Guarda mi nombre, correo electrónico y sitio web en las cookies de este navegador para la próxima vez que comente.

ONESIGNAL ID

ONESIGNAL ID

0 Comentarios

Más reciente

Más viejo Más votado