Los hackers secuestraron el sistema de alertas de emergencia de Brasil y enviaron 'misantrópico' a millones de teléfonos.

      TL;DREl sistema de alerta de defensa civil de Brasil fue hackeado, enviando alertas extremas falsas con la palabra “misantropi4” a millones de teléfonos antes de que la plataforma fuera cerrada.

      Los hackers vulneraron el sistema nacional de alerta de defensa civil de Brasil durante la noche, enviando notificaciones falsas de “Alerta Extrema” que contenían la palabra “misantropi4” a millones de teléfonos móviles en al menos siete estados. La plataforma de Alerta de Defensa Civil fue desconectada a la 1:30 am del sábado después de que el Ministerio de Integración y Desarrollo Regional confirmara la intrusión.

      La Policía Federal ha sido activada para investigar. No se ha dado un plazo para cuándo se restaurará la plataforma.

      La primera alerta no autorizada se registró alrededor de las 11:40 pm del viernes 19 de junio, en Paraná. En pocas horas, el mismo sonido de emergencia, el tipo que ignora el modo silencioso y anula lo que esté en pantalla, llegó a teléfonos en São Paulo, Río de Janeiro, Brasilia, Bahía, Pará, Mato Grosso do Sul y Acre.

      El Secretario Nacional de Protección y Defensa Civil, Wolnei Wolff, dijo en una conferencia de prensa que se rastrearon 10 alertas en varios estados brasileños, la mayoría enviadas a través de Cell Broadcast y al menos una por SMS. El número total de teléfonos afectados no fue divulgado oficialmente, aunque el medio alemán Ad-hoc-News informó una estimación de aproximadamente 30 millones de personas alcanzadas.

      “Es difícil decir si una o más personas participaron en este acto criminal”, dijo Wolff. Agregó que el incidente fue “muy malo para el sistema, considerando que estamos tratando con la seguridad de las personas cuando emitimos la alerta”.

      Los teléfonos mostraron “Defesa Civil: misantropi4”, con la letra final “a” en la palabra portuguesa “misantropia” reemplazada por el número 4, una sustitución común en leetspeak. Misantropia se traduce como misantropía, que significa odio o aversión a la humanidad.

      No se acompañaron instrucciones peligrosas con el mensaje, pero el uso de la categoría de alerta más severa, que se reserva para desastres naturales inminentes, causó una alarma generalizada. Los receptores en siete estados fueron despertados por el sonido de emergencia.

      Wolff confirmó que los atacantes lograron recuperar el acceso después de un intento inicial de bloqueo. La plataforma fue finalmente cerrada por completo a la 1:30 am. El sistema permanecerá suspendido hasta que se restablezcan todas las condiciones de seguridad digital, según el ministerio.

      El sistema de Cell Broadcast de Brasil es relativamente nuevo. Fue mandado por el regulador de telecomunicaciones Anatel en 2022, se pilotó en 11 ciudades comenzando en agosto de 2024 y se expandió para cubrir todo el territorio nacional para octubre de 2025.

      La tecnología transmite alertas a todos los dispositivos dentro del rango de una torre celular sin requerir números de teléfono o registro previo. Los cuatro operadores que brindan el servicio, Algar, Claro, TIM y Vivo, estuvieron involucrados en la respuesta nocturna junto con Anatel.

      La vulnerabilidad explotada en el ataque no ha sido divulgada públicamente, y la investigación está en curso. Los investigadores de seguridad han señalado que los sistemas de Cell Broadcast a nivel mundial carecen de autenticación criptográfica, lo que significa que los dispositivos no pueden verificar de forma independiente si una alerta fue realmente enviada por las autoridades de defensa civil.

      Investigaciones académicas desde 2019 han demostrado que se pueden transmitir alertas falsas utilizando equipos relativamente económicos, incluidos radios definidos por software. Si el ataque brasileño explotó la plataforma central, como implica la declaración del gobierno, o utilizó un transmisor clandestino sigue sin estar claro.

      Una persona que asumió la responsabilidad del ataque publicó en X (anteriormente Twitter) antes de que las publicaciones fueran eliminadas por la plataforma, según el medio tecnológico brasileño TecMundo. La Policía Federal no ha confirmado si este individuo es un sospechoso genuino.

      El incidente refleja un patrón de sistemas de alerta de infraestructura crítica siendo comprometidos a través de vectores de ataque sorprendentemente básicos. En Taiwán el mes pasado, un estudiante de 23 años activó el freno de emergencia en cuatro trenes de alta velocidad utilizando una computadora portátil y un radio definido por software barato, explotando claves criptográficas que no se habían cambiado en 19 años. La Comisión Europea fue vulnerada en marzo a través de una herramienta de seguridad de código abierto envenenada, resultando en 92 gigabytes de datos robados.

      La preocupación inmediata para Brasil es la erosión de la confianza pública. El sistema de Cell Broadcast fue construido para salvar vidas durante inundaciones, deslizamientos de tierra y eventos climáticos severos.

      Si los ciudadanos aprenden a asociar el sonido de emergencia con bromas en lugar de advertencias genuinas, pueden ignorar futuras alertas cuando se esté desarrollando un verdadero desastre. Ese riesgo, más que cualquier vulnerabilidad técnica, es el daño duradero de un hackeo que despertó a un país con una sola palabra extraña.