Token via SMS: A armadilha de segurança que seu banco ainda insiste em usar

Em 2026, a ideia de que um simples torpedinho de texto é capaz de blindar um patrimônio de R$ 100 mil ou mais já deveria ser piada de mal gosto. Porém, ainda sento na cadeira de especialista e vejo bancos tradicionais e até algumas fintechs oferecendo o SMS como a "segunda etapa" padrão para validar acessos ou transferências via Pix. O SMS, quando pensamos em arquitetura de segurança, é uma tecnologia sem criptografia end-to-end, roteada por redes de telecomunicação antigas que confiam demais na sinalização. É como mandar a chave da sua casa num cartão postal.

Trabalho com robo-advisors e proteção de dados há tempo suficiente para ver padrões. O padrão aqui é a falha de aceitar o "razoável" (receber um código no bolso) quando deveríamos exigir o "robusto" (gerar um código dentro do dispositivo). Se você mantém conta corrente ou investimentos de alto valor protegidos apenas por senha + SMS, você não está seguro. Você está apenas esperando o dia em que o ataque de "troca de chip" (SIM swapping) venha bater na sua porta.

Aqui, desmonto o que considero a maior falácia de segurança digital do momento.

Mito: "Se o celular está no meu bolso, o SMS está seguro"

Esse é o pensamento mais perigoso porque oferece uma falsa sensação de controle físico. A lógica é impecável: o aparelho está comigo, ninguém mexeu, logo, o código que chegou aqui é só meu. O problema é que o token via SMS não depende do seu aparelho, depende do seu número de telefone. E, na arquitetura das operadoras de telefonia (Vivo, Claro, Tim), o número é uma identidade portável, não um hardware fixo.

O golpe de SIM swapping funciona exatamente nessa brecha. O criminoso não precisa do seu aparelho. Ele precisa dos seus dados pessoais (que vazaram em algum vazamento de dados governamental ou empresarial) para se passar por você numa loja física ou até no atendimento online de uma operadora. Eles convencem o atendente que "perdeu o chip" e precisam ativar um novo número com o mesmo DDD.

Na hora que o chip novo é ativado, o seu chip antigo — o que está no seu bolso — perde a rede. E todo o token bancário que o banco envia para "autenticar" aquela transferência de R$ 20 mil cai, na verdade, no chip novo, na mão do golpista. O SMS não sabe quem segura o hardware, apenas para qual rota de rede entregar a mensagem. Em 2026, verifiquei um aumento de 30% nos relatos de incidentes relacionados a portabilidade fraudulenta no Brasil ligada a esse tipo de ataque. Se o seu banco não permite registrar o "ID do aparelho" (Device Binding) além do número, ele está falhando no básico.

A falha estrutural que os bancos não anunciam

Existe uma vulnerabilidade técnica conhecida como SS7 (Signaling System Number 7). O SS7 é o protocolo que permite que as redes de celulares de todo o mundo conversem entre si para rotear chamadas e SMS. O problema? Ele foi desenhado nos anos 70, numa época em que as operadoras confiavam umas nas outras implicitamente. Hoje, é possível alguém com acesso a uma rede internacional (ou comprando acesso de grupos criminosos na dark web) interceptar mensagens de texto em trânsito.

Você digita a senha do banco. O banco envia o SMS. O atacante, monitorando o tráfego da rede SS7, captura esse código antes mesmo de ele chegar na torre mais próxima da sua casa e valida a operação. Você nem chega a ver o SMS. Isso não é ficção científica; é uma realidade técnica que já obriga bancos na Europa a abandonarem o SMS para pagamentos regulados (como o PSD2). No Brasil, a transição é lenta porque o SMS é barato para o banco e fácil para o usuário, mas o custo dessa "facilidade" é cobrado na sua segurança.

Muitos clientes me perguntam: "Mas Fernando, e aqueles links no SMS para confirmar a operação?". Nunca, em hipótese alguma, clique num link recebido por SMS para fazer login em conta bancária. Isso é um prato cheio para phishing. O atacante monta um site falso do seu banco, você clica no link do SMS "oficial" (na verdade, o SMS já foi interceptado ou o link é malicioso desde a origem), digita o código no site falso e pronto: acesso concedido. Ameaças digitais em QR Codes operam com lógica similar de engenharia social, onde a urgência de uma mensagem substitui a verificação de segurança.

Autenticadores: por que o código local vence a mensagem de texto

A alternativa madura, que já deveria ser padrão obrigatório para qualquer conta que tenha mais de R$ 2.000,00 de saldo, é o uso de aplicativos autenticadores (como Google Authenticator, Microsoft Authenticator ou Authy) ou tokens físicos.

A diferença técnica é brutal. No SMS, o segredo (a capacidade de gerar o código) fica na nuvem do banco e é transmitido até você. No app autenticador, o segredo fica registrado dentro do seu chip seguro no celular. O app gera o código matematicamente, em tempo real, usando um algoritmo de hash (HMAC) e o relógio do seu dispositivo. Esse código nunca viaja pela rede. Ninguém pode interceptá-lo porque ele nasce no seu aparelho e morre ali. Para hackear isso, o criminoso teria que ter acesso físico ao seu celular desbloqueado, o que é um barreira muito mais alta do que ligar para a Claro e pedir um segundo chip.

Além disso, apps modernos já implementam notificações de aprovação (push) que exigem biometria ou PIN no próprio aparelho para liberar o acesso no computador. É uma camada a mais. Se o seu banco oferece essa opção e você continua no SMS "por preguiça de configurar", você está subestimando a criatividade de quem quer seu dinheiro. Comparar a segurança de um token físico ou app com SMS é como comparar a biometria facial do app com o reconhecimento de voz: o primeiro é um fator biométrico local e difícil de burlar, o segundo pode ser gravado e reproduzido.

Quando o SMS é aceitável e onde ele mata sua carteira

Vou ser pragmático: eu não sou radical a ponto de dizer que o SMS deve ser abolido da face da Terra. Se você tem uma conta num streaming de filmes, ou num fórum de discussão de culinária, o SMS como segundo fator é aceitável. O custo-benefício de sofrer um ataque para roubar sua conta do Netflix é nulo para o criminoso. O esforço não compensa o retorno.

Onde o SMS se torna inadmissível é no ambiente financeiro: corretoras de investimento (Robo-advisors), bancos onde você recebe salário, contas de benefícios do INSS ou carteiras digitais com saldo. O Pix acelerou a necessidade de segurança. O dinheiro sai em segundos. Se o SMS for interceptado ou a porta fechar depois que o chip for trocado, o dinheiro já estará em uma conta de "laranja" e distribuído em outros bancos antes de você ligar para o 4004 dizendo "não fiz essa transferência".

A maioria dos contratos bancários hoje coloca a responsabilidade no cliente se houver "negligência" no cuidado com os dados. Um advogado do banco pode argumentar que você não protegeu adequadamente seu número de telefone, ou que clicou num link de phishing, o que é tecnicamente verdade se você aceitou as regras do jogo usando um protocolo de 1980 para proteger seu patrimônio de 2026.

O passo seguinte para blindagem

Não espere o banco forçar você. Se você tem acesso a configurações de segurança do seu app agora, faça o seguinte: entre na área de "Segurança" ou "Autenticação de Dois Fatores", desabilite o SMS e selecione "App Autenticador". O banco vai pedir para você escanear um QR Code na tela do computador com o celular. Faça isso. Guarde o código de recuperação (aqueles códigos alfanuméricos) num lugar seguro, tipo uma senha gerenciada, porque se você perder o celular, vai precisar dele para recuperar o acesso.

Se o banco não oferecer app autenticador, exija. Use os canais de atendimento, mande e-mail, reclame no Reclame Aqui. Enquanto isso, transfira seus investimentos líquidos para instituições que tratam a segurança de dados com a seriedade de um cofre, e não de um porta-malas. A tecnologia para proteger seu patrimônio existe, é gratuita e está no seu bolso. Cabe a você parar de usar a fechadura de papel.