A Polícia Civil do Rio Grande do Sul prendeu nesta terça-feira (16) um hacker de 26 anos acusado de ser a principal fonte de dados vazados de sistemas governamentais e de segurança, incluindo da Polícia Federal. Identificado como “Jota”, ele teria acessado informações sensíveis de investigações, reconhecimento facial e controle de voos, além de “dumpado” 239 milhões de chaves Pix. O hacker vendia os dados por R$ 1 mil mensais a criminosos que, em rede, abasteciam golpistas em todo o país. A prisão ocorreu na terceira fase da Operação Medici Umbra, batizada de “A Fonte”, que cumpriu mandados em Pernambuco, Rio Grande do Norte e São Paulo.
A Polícia Civil do Rio Grande do Sul prendeu, na manhã desta terça-feira (16), um homem de 26 anos apontado como a principal fonte de dados vazados de sistemas governamentais e de segurança no país, entre eles bases da Polícia Federal. A detenção ocorreu durante a terceira fase da Operação Medici Umbra, desencadeada sob o codinome “A Fonte”, que cumpriu mandados de prisão preventiva e de busca e apreensão em Pernambuco, Rio Grande do Norte e São Paulo.
Segundo o delegado Eibert Moreira, responsável pelas investigações, o esquema tinha funções bem definidas e articuladas:
Hacker — invadia sistemas e extraía bases de dados sensíveis;
Painelistas — compravam esses dados e os disponibilizavam em grupos fechados no Telegram, mediante assinatura;
Golpistas — adquiriram o acesso às informações para aplicar fraudes contra as vítimas.
A Polícia afirma que o preso, identificado nas apurações como “Jota”, dava acesso a informações altamente sensíveis: registros de investigações, módulos de reconhecimento facial, controle de voos domésticos e internacionais e outros dados relacionados à segurança. Em declaração à imprensa, a corporação informou que o investigado dizia ter “dumpado” 239 milhões de chaves Pix, extraídas de um arquivo de aproximadamente 460 GB que teria sido obtido a partir de um sistema do Poder Judiciário.
De acordo com o delegado, o fluxo comercial tinha modelo de assinaturas: Jota cobrava cerca de R$ 1.000 mensais por cliente/assinante para fornecer as informações. Já um dos painelistas investigados — identificado como “Menor” — cobrava R$ 50 por cliente para “fornecer o bot” que dava acesso ao grupo. “Menor” teria gerido mais de 200 grupos, o que, segundo a polícia, poderia render cerca de R$ 10 mil por mês só com esse esquema.
Os painelistas criavam painéis e plataformas clandestinas de consulta, onde golpistas selecionavam potenciais vítimas (por exemplo pelo telefone, CPF, histórico de movimentações financeiras etc.) e, com esses dados na mão, aplicavam fraudes, golpes bancários e outras fraudes em diversas regiões do país. Em São Paulo, parte da estrutura sequer intermediava a venda: um dos presos era apontado como executor direto de fraudes; no Rio Grande do Norte, um alvo desenvolveu sistemas para “puxadas” automatizadas em grupos de WhatsApp.
A investigação aponta que o hacker preso também teria fornecido dados a criminosos já identificados em fases anteriores da Medici Umbra e em outras operações contra o cibercrime. Entre os citados está o indivíduo conhecido pelos apelidos “Lammer”, “F4llen” ou “Lucifage”, preso em São Paulo em agosto e investigado por ameaças ao youtuber Felca (caso que ficou público), compartilhamento de arquivos ilícitos e apologia ao nazismo.
A polícia ainda relaciona material oriundo desses vazamentos com golpes concretos que atingiram cidadãos em diferentes estados, além de uso das informações para ameaças e outras ações criminosas.
A terceira fase da operação mobilizou mais de 50 agentes e resultou no cumprimento de três mandados de prisão preventiva e três mandados de busca e apreensão distribuídos entre Pernambuco, Rio Grande do Norte e São Paulo. Em ao menos um dos locais de busca foram apreendidos equipamentos eletrônicos que agora passarão por perícia técnica especializada.
Horas após o atentado inicial, as equipes vistoriaram e preservaram provas digitais — imagens, logs e dispositivos — para rastrear a cadeia de vendas dos dados e identificar outros integrantes da rede. A Polícia Civil informou que o material coletado será submetido a perícia e que as informações servirão para eventuais pedidos de cooperação internacional, caso seja necessário rastrear servidores ou transações fora do país.
Para as autoridades, o episódio evidencia um problema estrutural: a existência de mercados clandestinos onde dados sensíveis são tratados como mercadoria, abastecendo uma cadeia que vai do vazamento à fraude em larga escala. O delegado Eibert Moreira ressaltou que o esquema funcionava de forma organizada, com divisão de funções e remuneração recorrente — modelo que facilita a atuação continuada dos criminosos.
Especialistas ouvidos em operações anteriores alertam que a combinação entre vazamentos massivos (como o alegado “dump” de chaves Pix) e a automação de consultas em grupos criptografados potencializa a atuação de quadrilhas especializadas em golpes financeiros, sequestros-relâmpago e extorsões.