A megaoperação realizada na última quinta mostrou uma parte da infiltração do PCC em vários setores do Brasil, ilustrando o “Risco PCC”, mas uma outra operação deflagrada em 2024 revelou algo muito mais grave: a Operação i-Fraude.
Por que essa operação é tão séria? Imagine uma plataforma de vigilância chamada “Guardião do Brasil”, criada pelo governo federal para rastrear alvos móveis em tempo real, além de amplo acesso a banco de dados de cidadãos e empresas, agora imagine todo esse poder justamente na mão de criminosos…
Credenciais da plataforma foram comercializadas e o Primeiro Comando da Capital transformou o Córtex em "arma", acessando informações sensíveis de inúmeras pessoas e autoridades, monitorando em tempo real alvos do grupo e causando estragos usando o aparato estatal que deveria ser utilizado contra o crime organizado.
1. A plataforma
O Córtex, criado pelo Ministério da Justiça para integrar 160 bases de dados sigilosas e rastrear alvos em tempo real, deveria ser uma ferramenta para combater o crime organizado.
Na prática, falhas de segurança, controle e governança transformaram o sistema em um alvo valioso para hackers e principalmente para o Primeiro Comando da Capital.
2. O que o Córtex acessa
O sistema permite cruzar informações de mais de 35,9 mil câmeras e dezenas de bancos de dados sensíveis:
CPF, endereço, telefone, biometria Dados do SUS, Coaf e Receita Federal Registros policiais, boletins de ocorrência, histórico criminal Movimentações bancárias e voos de companhias aéreas Deslocamentos de veículos via OCR em tempo realEm resumo: com alguns cliques, é possível mapear a vida de qualquer pessoa.
3. Operação i-Fraude
Em 2024, a Polícia Federal revelou que o Córtex havia sido comprometido.
Hackers criaram uma plataforma paralela, chamada i-Find, que vendia consultas sigilosas:
Mais de 10 mil clientes cadastrados 10 milhões de consultas mensais Assinaturas a partir de R$ 20 por diaEntre os “clientes” estavam membros do PCC, que usaram as informações para monitorar autoridades e planejar atentados.
4. O plano do PCC para matar Moro
Em março de 2023, a Polícia Federal deflagrou a operação Sequaz e desarticulou um plano do PCC para assassinar o senador Sergio Moro e o promotor Lincoln Gakiya.
O PCC usou informações obtidas via i-Find para monitorar:
O senador Sergio MoroO promotor Lincoln Gakiya, considerado “inimigo número 1” da facçãoMinistros do STFAutoridades da segurança públicaO uso do Córtex pelo crime organizado foi determinante para o nível de detalhamento da operação.
5. O mercado negro de dados
O vazamento do Córtex abriu caminho para uma economia criminosa paralela:
Plataformas clandestinas como i-Find e Painel Analytics vendiam pacotes de acessoPreços variavam de R$ 150 a R$ 350 no Telegram e WhatsAppAssinaturas liberavam dados sigilosos de cidadãos, autoridades e empresasEm alguns casos, o próprio espelhamento do Córtex era vendido como um “serviço premium”A PF estima que hackers lucraram R$ 10 milhões entre 2020 e 2024 só com a revenda de acessos.
6. Logins à venda na internet
Uma investigação do especialista em cibersegurança João Lucas Melo Brasio, para a Gazeta do Povo, encontrou milhares de credenciais válidas do Córtex disponíveis na internet.
Logins e senhas de servidores públicos à venda em fóruns clandestinos Pacotes promocionais para acessar dados do sistema Nenhuma barreira robusta de autenticação: sem VPN, sem token, sem criptografiaBrasio classificou a situação como “aterrorizante”:
“O Córtex é uma ferramenta muito poderosa. Tê-la aberta na internet, disponível para qualquer um, é algo gravíssimo”.
. O MJSP não tem controle
O Ministério da Justiça não exerce um controle rigoroso para acessar o Córtex e muito menos o que é consultado nele.
Cada órgão indica seus “pontos focais” para liberar acessos, mas não há justificativa obrigatória para consultas.
Exemplo do caos:
Um único usuário realizou 1 milhão de consultas em um dia — indício claro de extração automatizada de dados.. Tecnoautoritarismo e vulnerabilidade
O caso do Córtex expõe uma contradição perigosa:
O Brasil investe bilhões em tecnologias de vigilância Mas não estabelece controles democráticos E abre brechas para o crime organizado usar a mesma estrutura contra o Estado e os cidadãosSegundo a Data Privacy Brasil, sem regras claras de necessidade, proporcionalidade e responsabilidade, o sistema viola direitos fundamentais e aumenta os riscos à segurança pública.
9. LGPD também vale para o governo
A Lei Geral de Proteção de Dados (LGPD) não se aplica apenas a empresas privadas: os órgãos públicos também são obrigados a proteger os dados que coletam.
O art. 23 da LGPD exige que o tratamento de dados pela administração pública tenha:
Finalidade públicaJustificativa para cada consultaMedidas de segurança robustasNo Córtex, qualquer policial podia acessar dados sigilosos sem necessidade de justificar o motivo. Isso, por si só, pode configurar violação da LGPD.
10. O que a lei exige e o que falhou
O art. 46 da LGPD obriga os controladores — no caso, o Ministério da Justiça — a adotar medidas técnicas e administrativas para proteger dados contra acessos não autorizados, vazamentos e fraudes.
No caso do Córtex, os problemas apontados são graves:
Acessos ilimitados sem justificativaSenhas vazadas na internetEspelhamento ilegal do sistemaVenda de logins no TelegramCom essas falhas, o governo pode ser responsabilizado por negligência na proteção dos dados.
No caso do acesso do PCC ao sistema, o risco é maior: se a falha no controle permitiu que o crime organizado planejasse atentados contra autoridades, a responsabilização pode incluir até crimes de violação de sigilo funcional.
11.Por que isso importa para você
O Córtex concentra dados pessoais, financeiros e biométricos de milhões de brasileiros.
Enquanto não houver governança robusta, qualquer pessoa pode ser monitorada, localizada e exposta — seja por autoridades, seja por criminosos
12.Conclusão: riscos e urgência de ação
O Córtex nasceu com a promessa de proteger a sociedade, mas se tornou um vetor de risco tanto para cidadãos quanto para autoridades.
O Ministério da Justiça afirmou que conduz ações permanentes de atualização e aprimoramento da segurança de todos os sistemas de gestão da informação, incluindo detecção de vulnerabilidades e implementação de controles adicionais de acesso.
Para mitigar riscos futuros, especialistas recomendam:
Auditorias independentes e regulares do sistemaControles rigorosos de acesso e autenticaçãoTreinamento e responsabilização de agentes públicosTransparência sobre bases de dados integradas e finalidades de usoSem mudanças estruturais concretas, o Estado continuará vulnerável e os cidadãos, desprotegidos.
