Vazamento na Anatel expõe dados pessoais de radioamadores brasileiros

Geral

Vazamento na Anatel expõe dados pessoais de radioamadores brasileiros

abril 16, 2026

Sistema EASP sofreu acesso não autorizado em março de 2026; CPFs e nomes de titulares de certificados emitidos em julho de 2025 foram comprometidos

Por Carlos Rincon – PY2CER | Portal Antena Ativa

A Agência Nacional de Telecomunicações (Anatel) confirmou que sofreu, em 18 de março de 2026, um acesso não autorizado ao sistema responsável pelo cadastro de operadores de estações radioamadoras no Brasil. O incidente comprometeu dados pessoais — nome completo e CPF — de radioamadores que tiveram seus Certificados de Operador de Estação Radioamador (COER) concedidos em 25 de julho de 2025. A agência notificou os afetados com semanas de atraso, sob justificativa de que precisava primeiro mapear a extensão do dano.

Para a comunidade radioamadora brasileira, que há décadas convive com entraves burocráticos e atrasos no licenciamento, o episódio representa mais do que uma falha técnica pontual. É o sinal de que a infraestrutura digital que guarda suas informações mais sensíveis nunca foi tratada com a prioridade que merecia.

O que aconteceu — e quando

O sistema comprometido é o EASP (Entidades Autorizadas dos Serviços Privados), plataforma interna da Anatel utilizada para consulta e gestão de informações relativas ao COER. Trata-se, em linguagem simples, do sistema que diz quem tem licença para operar no espectro radioamador no país.

Segundo comunicado oficial divulgado pela agência, o acesso indevido não se limitou às informações disponíveis nos relatórios públicos — que já adotavam, como medida preventiva, o mascaramento parcial do CPF. O invasor alcançou a base de dados subjacente, onde as informações estão armazenadas de forma completa.

A Anatel sustenta que os relatórios convencionais expõem apenas CPF mascarado, nome do operador, classe do certificado, data de início, validade e status do COER. O problema é que o ataque contornou essa camada e chegou diretamente às tabelas do banco de dados, onde os números de CPF são guardados sem mascaramento.

O intervalo entre a detecção do incidente e a comunicação aos titulares dos dados chamou atenção. A brecha foi descoberta em março de 2026, mas os radioamadores afetados só foram notificados posteriormente — o próprio comunicado reconhece isso, alegando que o tempo foi necessário para identificar quem, de fato, teve dados expostos.

O perfil dos afetados

O recorte temporal do vazamento é preciso: radioamadores cujo COER foi emitido na data de 25 de julho de 2025. Isso indica que não se trata de uma exposição massiva de todo o cadastro histórico da agência, mas de um conjunto específico de registros — provavelmente vinculado a um processo de concessão em lote ou a uma atualização de sistema naquela data.

Ainda não há número oficial de quantas pessoas foram atingidas. A Anatel também não detalhou se o acesso indevido foi obra de um agente externo, de alguém com credenciais internas ou de uma combinação de fatores. A investigação segue em andamento com a equipe técnica da própria agência.

Para os radioamadores enquadrados nesse perfil, o risco concreto não é abstrato. Nome completo associado a CPF forma o par básico exigido para a abertura fraudulenta de contas bancárias, solicitação de crédito, cadastro em serviços digitais e uma série de outros golpes que mobilizam o ecossistema do crime cibernético no Brasil. Com esses dois dados, um fraudador tem o suficiente para iniciar um processo de engenharia social ou tentativa de roubo de identidade.

A resposta institucional — e suas lacunas

Ao tomar conhecimento do incidente, a Anatel adotou uma série de medidas que, no papel, seguem o protocolo esperado. O sistema EASP foi desativado e a consulta de dados migrada para o Painel de Dados da agência, eliminando o vetor de ataque original. A Agência Nacional de Proteção de Dados (ANPD) foi notificada, conforme exige a Lei Geral de Proteção de Dados (LGPD). A equipe técnica foi acionada para investigação, e o monitoramento contínuo foi reforçado.

A agência também comprometeu-se a elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), registrar formalmente as operações de tratamento de dados (IDP) e revisar contratos com terceiros que tenham acesso ao sistema.

Tudo isso é necessário. Mas parte do protocolo que deveria ter sido cumprido antes, não depois.

A LGPD, em vigor desde 2020, impõe às organizações que tratam dados pessoais a obrigação de adotar medidas técnicas e administrativas proporcionais ao risco. Um sistema que guarda CPF completo de cidadãos brasileiros sem as devidas camadas de proteção, auditoria de acessos e controles de autorização granular é, por definição, um sistema que não estava em conformidade com a lei — independentemente de qualquer ataque.

O fato de a anonimização do CPF nos relatórios públicos já ter sido adotada como medida preventiva antes do incidente revela que a agência sabia do risco. O problema é que a proteção parou na camada de apresentação, sem chegar à camada de armazenamento.

Radioamadorismo e dados pessoais: uma relação historicamente negligenciada

A comunidade radioamadora brasileira é pequena, mas relevante. O Brasil conta com dezenas de milhares de operadores licenciados, distribuídos por todas as regiões do país. São técnicos, engenheiros, entusiastas, e também voluntários que atuam em situações de emergência e desastre — exatamente os momentos em que as telecomunicações convencionais falham.

Apesar dessa relevância, o radioamadorismo nunca foi tratado como prioridade administrativa. Os processos de licenciamento e renovação do COER são historicamente lentos, o portal da Anatel voltado para o setor vive em manutenção, e a digitalização dos serviços avançou de forma desigual.

Nesse contexto, a existência de um sistema como o EASP — ativo há anos, acessível via web e carregando dados sensíveis — sem uma arquitetura de segurança à altura é, no mínimo, consistente com o padrão de descaso histórico.

“A gente sempre soube que a segurança digital do nosso licenciamento era frágil”, comenta um operador veterano que prefere não ser identificado. “Nunca foi surpresa. A surpresa é terem admitido.”

A fala, extraída de uma conversa em grupo de radioamadores no WhatsApp, resume um sentimento que circula amplamente na comunidade desde que o comunicado da Anatel foi divulgado.

O que fazer agora

A Anatel listou recomendações padrão para os afetados: não compartilhar senhas por nenhum canal, evitar clicar em links suspeitos, digitar diretamente os endereços de sites no navegador, trocar senhas repetidas em diferentes serviços e ativar a verificação em duas etapas onde disponível.

São orientações corretas — e insuficientes.

Para quem teve CPF e nome expostos, o passo mais importante é monitorar ativamente seu histórico de crédito. O serviço gratuito Registrato, do Banco Central, permite verificar se há empréstimos ou financiamentos em aberto vinculados ao CPF. Os birôs de crédito — Serasa, SPC e Boa Vista — oferecem alertas de novas consultas ao cadastro. Ativar esses alertas é mais eficaz do que aguardar passivamente por danos.

Também é recomendado registrar um Boletim de Ocorrência preventivo na Delegacia de Crimes Cibernéticos, caso seja detectado qualquer uso indevido. O BO serve como proteção legal caso a pessoa precise comprovar que foi vítima de fraude de identidade.

A questão regulatória que ninguém quer tocar

O episódio levanta uma questão que vai além do incidente em si: qual é o nível de maturidade em segurança da informação dos sistemas regulatórios brasileiros que tratam dados de pessoas físicas?

A Anatel não é caso isolado. Ao longo dos últimos anos, diversos órgãos públicos federais e estaduais registraram incidentes semelhantes — do Ministério da Saúde ao Detran de vários estados, passando por prefeituras e autarquias. O denominador comum quase sempre é o mesmo: sistemas legados, controles de acesso insuficientes e ausência de testes regulares de penetração.

A ANPD tem competência para apurar o caso e aplicar sanções administrativas caso conclua que a Anatel descumpriu obrigações previstas na LGPD. As penalidades vão desde advertências até multas de até 2% do faturamento da entidade no Brasil, limitadas a R$ 50 milhões por infração.

No caso de um órgão público, a aplicação prática dessas sanções é mais complexa — mas o processo de investigação e o relatório resultante têm valor público considerável. Tornam visível o que normalmente permanece enterrado em notas técnicas.

O que vem a seguir

A Anatel comprometeu-se a manter os afetados informados sobre novos desenvolvimentos. Nos próximos meses, o Relatório de Impacto à Proteção de Dados Pessoais deverá ser concluído — documento que, se tornados públicos os resultados, pode revelar com mais precisão quantas pessoas foram atingidas, qual foi o vetor exato do ataque e que controles estavam ausentes no momento do incidente.

A migração do EASP para o Painel de Dados representa uma mudança positiva de arquitetura, desde que o novo ambiente tenha sido construído com os princípios de privacidade desde a concepção (privacy by design), exigidos pela LGPD.

Para a comunidade radioamadora, o episódio é mais um argumento na lista de razões para exigir mais do órgão regulador. Não apenas no licenciamento, não apenas nos prazos — mas na forma como a agência guarda, protege e presta contas sobre as informações que os operadores são obrigados a fornecer para exercer uma atividade legal.

Confiança regulatória não se constrói apenas com sistemas funcionando. Constrói-se, sobretudo, quando eles falham e o regulador responde com transparência, velocidade e responsabilização.

Até agora, a Anatel cumpriu parte desse roteiro. A outra parte ainda está sendo escrita.

Carlos Rincon – PY2CER é jornalista e radioamador. Cobre telecomunicações e política de espectro pelo Portal Antena Ativa.

Dúvidas sobre o incidente podem ser encaminhadas diretamente à Anatel pelo telefone 1331, pelo WhatsApp 0800 61 0 1331, pelo e-mail orle@anatel.gov.br ou pelo encarregado de proteção de dados em encarregado@anatel.gov.br. O atendimento ocorre de segunda a sexta, das 9h às 18h (horário de Brasília).

Deixe um comentário Cancelar resposta

Calendário de Contest

Prepare-se para o ICWC Medium Speed Test: Concurso Mundial de CW em Janeiro

Detalhes do Concurso O ICWC Medium Speed Test (MST) é um evento anual que atrai entusiastas de comunicação em Código Morse (CW) de todas as

SSTV da História às Dicas Práticas

O que é SSTV? O SSTV, ou Slow Scan Television, é uma técnica única que permite a transmissão de imagens estáticas por rádio. Ao contrário

ÉTICA: Comportamento ético do radioamador, procedimentos indispensáveis

EMA: TÉCNICA E ÉTICA OPERACIONAL MÓDULO: ÉTICA — Comportamento Ético do Radioamador e Procedimentos Indispensáveis 1. INTRODUÇÃO O radioamadorismo é uma atividade técnica, científica e

Carlos PY2CER

Carlos Rincon, conhecido como PY2CER, é um entusiasta do radioamadorismo com uma trajetória marcada pela curiosidade e dedicação. Desde criança, já demonstrava interesse pelas comunicações desmontando brinquedos para construir seus próprios rádios. Hoje, é uma figura respeitada na comunidade, unindo conhecimento técnico com a paixão por conectar pessoas ao redor do mundo.Além de operador experiente, Carlos é o fundador do AntenaAtiva.com.br, um portal voltado à divulgação e ensino do radioamadorismo no Brasil. O site oferece conteúdo acessível e educativo para iniciantes e avançados, com foco em antenas, comunicação via satélites, concursos de rádio e atividades escolares.Com iniciativas que envolvem escolas técnicas, projetos com satélites meteorológicos e ampla atuação na comunidade, Carlos Rincon e o Antena Ativa se consolidaram como referências nacionais no universo do radioamadorismo, combinando tecnologia, educação e espírito comunitário.