Você ativou a autenticação em dois fatores e se sentiu protegido. Faz sentido — afinal, o recurso é amplamente recomendado por especialistas em segurança digital. Mas o que pouca gente sabe é que o 2FA tem brechas reais, exploradas diariamente por criminosos no Brasil e no mundo. O problema não está na tecnologia em si, mas no método escolhido e nos hábitos de quem a usa.
O Brasil registrou 315 bilhões de tentativas de ataques cibernéticos só no primeiro semestre de 2025, segundo o relatório da DeepStrike, que posicionou o país como o 7º mais atacado do mundo. Com esse cenário, entender onde o 2FA falha — e o que fazer para compensar essa falha — deixou de ser assunto de especialista e passou a ser necessidade de qualquer pessoa conectada.
O que é autenticação em dois fatores e por que ela existe
A autenticação em dois fatores, ou 2FA, é uma camada adicional de verificação que exige não apenas a senha, mas um segundo elemento para confirmar sua identidade. Esse segundo fator pode ser um código temporário enviado por SMS, gerado por um aplicativo, enviado por e-mail ou até representado por uma chave de segurança física conectada ao computador.
A lógica por trás do recurso é simples: mesmo que alguém descubra sua senha, ainda vai precisar do segundo fator para acessar a conta. Dados da Microsoft mostram que mais de 99,9% das contas comprometidas não tinham nenhuma forma de MFA ativada. Ou seja, quando bem implementado, o 2FA é altamente eficaz. O problema começa quando a implementação deixa brechas.
O calcanhar de Aquiles: o SMS como segundo fator
O método mais usado no Brasil para autenticação em dois fatores é o SMS — aquela mensagem de texto com um código numérico que expira em minutos. É prático, não exige nenhum aplicativo adicional e funciona em qualquer celular. Por isso mesmo, continua sendo oferecido como padrão por bancos, redes sociais e plataformas de e-commerce no país. Mas é também o método mais vulnerável.
O principal vetor de ataque contra o 2FA via SMS é o chamado SIM swap, ou "golpe da portabilidade". Nesse golpe, o criminoso entra em contato com a operadora telefônica da vítima, se passa por ela com dados pessoais obtidos em vazamentos, e convence o atendente a transferir o número de telefone para um chip sob seu controle. A partir desse momento, todos os SMS enviados para aquele número — incluindo os códigos de autenticação — chegam ao golpista.
Além do SIM swap, o protocolo SS7, usado nas redes de telecomunicações globais, possui falhas conhecidas que permitem a interceptação técnica de mensagens de texto. O próprio Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST) já desencorajou formalmente o uso de SMS como segundo fator de autenticação por conta dessas vulnerabilidades.
Phishing evoluído: quando o criminoso age em tempo real
Imagine receber um e-mail idêntico ao do seu banco, com o mesmo logo, a mesma fonte e até o mesmo domínio visual. Você clica, coloca a senha e o código 2FA gerado pelo seu aplicativo — e em fração de segundos, um criminoso usa essas informações para entrar na sua conta real. Isso é o que os especialistas chamam de ataque AiTM, ou "Adversary-in-the-Middle".
Nesse tipo de ataque, o criminoso opera um proxy reverso — uma espécie de intermediário invisível entre você e o site legítimo. Quando você digita suas credenciais e o código 2FA no site falso, ele repassa essas informações ao site real em tempo real. O criminoso captura o token de sessão autenticado e assume o controle da conta antes mesmo do código expirar. Esse método contorna completamente a proteção do 2FA tradicional.
A engenharia social também é amplamente usada. Criminosos simulam situações de urgência — uma suposta compra suspeita no cartão, um bloqueio iminente de conta — e convencem a vítima a "confirmar o código" que acabou de chegar por SMS ou aplicativo. A pressão emocional funciona como gatilho para erros que, em circunstâncias normais, não aconteceriam.
A fadiga de notificações: uma armadilha subestimada
Existe ainda uma modalidade de ataque menos conhecida, mas cada vez mais registrada: o chamado MFA Fatigue, ou fadiga de MFA. Funciona assim — o criminoso já possui a senha da vítima e começa a disparar dezenas de solicitações de autenticação via push notification no celular dela. A qualquer momento do dia ou da madrugada, o celular vibra pedindo aprovação de login.
Depois de receber a décima, a vigésima notificação, o cansaço faz com que a vítima simplesmente toque em "aprovar" para parar de ser incomodada. Nesse momento, o acesso é concedido ao invasor. Casos assim foram registrados em empresas grandes ao redor do mundo e têm se tornado mais comuns também no Brasil, especialmente em ambientes corporativos com acesso a sistemas críticos.
- SMS/Voz: método mais fraco; vulnerável a SIM swap e interceptação SS7
- Push notification: melhor que SMS, mas suscetível ao ataque de fadiga de MFA
- Aplicativo autenticador: padrão recomendado; gera códigos temporários offline
- Chave física (FIDO2/WebAuthn): o método mais seguro; imune a phishing
Qual método de 2FA realmente protege?
A hierarquia de segurança entre os métodos de 2FA é clara. No topo estão as chaves de segurança físicas, como o YubiKey, que usam o padrão FIDO2/WebAuthn. Elas se conectam via USB, NFC ou Bluetooth e exigem presença física para autenticar. Como a chave nunca sai do dispositivo do usuário e a autenticação ocorre localmente, esse método é imune a phishing e a ataques Man-in-the-Middle. O T-Mobile implantou 200 mil dessas chaves no início de 2025 para proteger seus colaboradores.
Logo abaixo estão os aplicativos autenticadores, como Google Authenticator e Authy. Eles geram códigos TOTP (Time-based One-Time Password) que expiram a cada 30 segundos e funcionam mesmo sem conexão com a internet. Segundo o relatório Verizon Data Breach Report, métodos baseados em aplicativo reduzem em 99,9% o risco de invasão por senha vazada. Para quem ainda não usa um gerenciador de senhas, vale saber que os mais modernos já suportam a geração e o armazenamento de códigos de autenticação.
No outro extremo, o SMS deve ser evitado sempre que houver uma alternativa disponível. Infelizmente, muitas plataformas brasileiras — especialmente bancos e fintechs menores — ainda oferecem apenas SMS como segundo fator, deixando os usuários reféns do método mais vulnerável.
O que fazer agora para reforçar sua proteção
O primeiro passo é mapear todas as suas contas relevantes — e-mail, banco, WhatsApp, redes sociais — e verificar quais métodos de 2FA estão disponíveis em cada uma. Troque o SMS por um aplicativo autenticador sempre que possível. Para as contas mais críticas, considere uma chave de segurança física.
Salvar os códigos de recuperação é outro ponto frequentemente ignorado. Quando você ativa o 2FA, a plataforma oferece códigos de uso único para emergências. Guarde-os em um local seguro — preferencialmente no seu gerenciador de senhas ou impresso em local físico protegido. Eles são sua rede de segurança caso perca o celular ou troque de número.
Fique atento também ao que acontece depois do login. A seção de atividade de login, disponível em plataformas como Instagram e Google, mostra quais dispositivos e localizações acessaram sua conta recentemente. Verificar essa lista periodicamente é uma prática simples que pode revelar acessos não autorizados antes que o dano seja maior. Vale aplicar esse mesmo cuidado ao configurar a segurança do seu perfil em redes sociais.
Por fim, desconfie sempre de urgência. Qualquer mensagem — seja por SMS, e-mail ou WhatsApp — que peça para você "confirmar um código agora" ou "aprovar um acesso antes que sua conta seja bloqueada" deve acender um sinal de alerta. Nenhum banco ou serviço legítimo pede que você compartilhe um código de autenticação com outra pessoa ou em outro canal que não o oficial.
| Método de 2FA | Segurança | Vulnerabilidades |
|---|---|---|
| SMS / Voz | Fraca | SIM swap, SS7, interceptação |
| Push notification | Regular | MFA Fatigue, aprovação acidental |
| Aplicativo autenticador | Boa | Phishing em tempo real (AiTM) |
| Chave física FIDO2 | Excelente | Perda ou roubo físico da chave |
A autenticação em dois fatores continua sendo uma das ferramentas mais importantes para a segurança digital — mas ela não é infalível. Conhecer suas limitações é o que separa quem usa o recurso de forma ingênua de quem realmente está protegido. No Brasil, com ataques cibernéticos em alta e golpes cada vez mais sofisticados impulsionados por inteligência artificial, essa distinção faz toda a diferença.
Comentários (0) Postar um Comentário