Na noite de 19 de junho de 2026, milhões de celulares no Brasil dispararam um alerta falso da Defesa Civil em nível Extremo — sirene que ignora modo silencioso e não pode ser desabilitado. As mensagens continham texto absurdo: "misantropia", "ATAQUE ALIENÍGENA, HUMANOS CHEGAMOS misantropo", "misantropo ADRESS RJ burros dms pprt." O atacante teve acesso sustentado por cerca de 1h42. E o sistema continua offline — dezenas de milhões de brasileiros sem o principal canal de alerta de desastres.
O ataque: invasão da plataforma IDAP
Segundo a Defesa Civil Nacional, a plataforma IDAP sofreu invasão. Os alertas foram "ordenados remotamente por alguém alheio ao Sistema Nacional de Proteção e Defesa Civil." Provável ataque hacker. Sistema tirado do ar às 1h30. Polícia Federal acionada.
A plataforma IDAP é o sistema web onde agentes autorizados compõem e enviam alertas. Desenvolvida em conjunto pela Anatel, o Cenad e a ABR Telecom, com participação de operadoras, Google e Apple. Cerca de 1.200 agentes cadastrados. O atacante comprometeu essa camada de origem. Os alertas seguiram pelos canais legítimos do Cell Broadcast porque a mensagem veio de dentro do sistema.
A cronologia mostra acesso sustentado: 23h45 em Curitiba. 00h15 no Mato Grosso do Sul. 01h20 em São Paulo, Rio de Janeiro, Brasília, Salvador, Belo Horizonte, Aracaju, Rio Branco. O atacante teve cerca de 1h42 de acesso — tempo suficiente para enviar alertas em nível Extremo para múltiplas regiões.
Cell Broadcast: o canal sem autenticação
O sistema Defesa Civil Alerta usa Cell Broadcast (transmissão celular), que envia mensagens para todos os celulares compatíveis em uma área, sem cadastro, sem app, sem internet. Dois níveis: Severo (beep, respeita silencioso) e Extremo (sirene, ignora silencioso, não pode ser desabilitado). O atacante usou Extremo.
O problema estrutural vai além do caso brasileiro. Segundo pesquisadores da CU Boulder (2019), o Cell Broadcast por design (padrão 3GPP) não tem autenticação criptográfica nas mensagens SIB12 em LTE. Uma estação-base falsa com SDR (Software Defined Radio) comercial falsifica alertas presidenciais nos EUA com 90% de sucesso. Segundo Bitsikas e Pöpper (ACSAC 2022), o 5G PWS (Public Warning System) também tem vulnerabilidades de spoofing (falsificação) e supressão não resolvidas. Assinaturas digitais foram propostas mas não implementadas em nenhum operador.
Mas o caso brasileiro foi pior: não precisou de estação-base falsa. O atacante entrou pela porta da frente. A plataforma de origem foi comprometida. Quando você hackeia o sistema que emite alertas, não precisa falsificar o rádio. Você vira a fonte legítima.
O custo de um sistema offline
O sistema continua offline. Enquanto isso, dezenas de milhões de brasileiros sem o principal canal de alerta de desastres. Em um país com enchentes, deslizamentos e secas recorrentes. O custo de um alerta falso é pânico. O custo de um sistema offline é vidas.
Casos similares documentados: segundo a FCC, o Havaí em 2018 emitiu um falso alerta de míssil por erro humano durante exercício; segundo a EWN e a ABC Australia, a Austrália em 2019 teve o Early Warning Network hackeado via credenciais roubadas. No Brasil, primeiro incidente desde a cobertura nacional em outubro de 2025.
A pergunta que fica: como um sistema projetado para salvar vidas tinha autenticação fraca o suficiente para ser comprometido por alguém que escreve "misantropi4" com leet-speak (substituição de letras por números) de script kiddie (atacante amador)?
A lição para infraestrutura crítica
Na Tech86, vemos um padrão recorrente em auditorias de infraestrutura crítica: sistemas projetados para disponibilidade máxima sem camadas de segurança proporcionais ao impacto. O Cell Broadcast é o canal de alerta mais eficaz que existe — alcance universal, sem dependência de app ou internet. Mas a plataforma que o controla precisa de segurança proporcional ao seu poder.
Um sistema que pode disparar sirenes em milhões de celulares não pode depender de senha única. MFA obrigatório, segmentação de rede, auditoria de cada envio de alerta e assinatura criptográfica nas mensagens SIB12 são o mínimo. Quando o atacante entra pela porta da frente, nenhuma criptografia no rádio salva — porque a mensagem já é legítima na origem. A defesa começa antes do botão de enviar.