A autenticação multi-fator (MFA) e uma das camadas mais importantes de segurança para aplicações modernas. Tradicionalmente, o segundo fator era enviado via SMS -- um canal que, como veremos, possui vulnerabilidades serias. O RCS (Rich Communication Services) surge como a evolução natural das mensagens, trazendo recursos que transformam completamente a experiência de autenticação.
Neste artigo, vamos explorar em profundidade o que e o MFA via RCS, como ele se compara ao SMS tradicional, quais vantagens práticas ele oferece e como você pode implementa-lo na sua aplicação hoje mesmo.
O que é RCS?
O RCS (Rich Communication Services) e o protocolo de mensagens de próxima geração desenvolvido pela GSMA (associação global de operadoras de telecomunicações). Ele foi projetado para substituir o SMS e o MMS, oferecendo uma experiência de mensagens muito mais rica e segura.
Diferentemente do SMS, que está limitado a 160 caracteres de texto puro, o RCS oferece:
- Mensagens verificadas -- o remetente é autenticado pela operadora, impedindo spoofing
- Criptografia de ponta a ponta -- disponível na implementação do Google Messages
- Rich cards e carrosseis -- conteúdo visual estruturado dentro da mensagem
- Botoes interativos -- o usuário pode confirmar a autenticação com um toque, sem digitar codigos
- Confirmação de leitura -- a aplicação sabe exatamente quando a mensagem foi entregue e lida
- Branding verificado -- logotipo e nome da empresa exibidos de forma nativa no app de mensagens
No Brasil, o RCS está disponível nativamente para todos os usuários de Android com o Google Messages, o que representa mais de 85% dos smartphones no país. A Apple anunciou suporte ao RCS a partir do iOS 18, ampliando ainda mais o alcance.
Comparação: SMS vs RCS para autenticação
Para entender por que o RCS é superior ao SMS para MFA, vamos comparar os dois protocolos em aspectos críticos de segurança e experiência:
| Aspecto | SMS | RCS |
|---|---|---|
| Criptografia | Nenhuma (texto puro) | Ponta a ponta (E2EE) |
| Verificação do remetente | Facilmente falsificável | Verificado pela operadora |
| Vulnerável a SIM swap | Sim | Não (vinculado ao dispositivo) |
| Vulnerável a SS7 | Sim | Não (protocolo IP) |
| Botoes interativos | Não | Sim |
| Confirmação de entrega | Limitada | Completa (entregue, lida) |
| Branding | Apenas texto | Logo, cores, nome verificado |
| Custo médio (Brasil) | R$ 0,08 - R$ 0,15 | R$ 0,03 - R$ 0,06 |
O NIST (National Institute of Standards and Technology) ja desaconselha o uso de SMS como segundo fator desde 2017. O RCS resolve todas as vulnerabilidades apontadas pelo NIST em sua publicação SP 800-63B.
Vantagens do MFA via RCS
1. Seguranca superior
O RCS elimina as duas maiores vulnerabilidades do SMS para autenticação: o SIM swap (onde um atacante transfere o número da vitima para um novo chip) e os ataques SS7 (que exploram falhas no protocolo de sinalização das redes telefônicas para interceptar mensagens).
Com o RCS, a mensagem é entregue ao dispositivo específico do usuário, não ao número do telefone. Isso significa que mesmo que um atacante consiga clonar o número, ele não receberá a mensagem de autenticação.
2. Experiencia do usuário sem fricção
Em vez de pedir ao usuário para copiar um código de 6 dígitos e digita-lo em um formulário, o MFA via RCS permite autenticação com um único toque. A mensagem chega com botões de ação -- "Sim, sou eu" e "Não reconheço" -- que o usuário pode tocar diretamente.
Isso reduz drasticamente a taxa de abandono. Dados internos do Authentik mostram que a taxa de conclusão de autenticação via RCS é 94%, comparada a 78% via SMS OTP tradicional.
3. Mensagens verificadas contra phishing
Um dos maiores problemas do SMS para autenticação e o phishing por SMS (smishing). Atacantes enviam SMS falsos se passando por bancos e serviços, pedindo que o usuário clique em links maliciosos.
Com o RCS, cada mensagem de negócio exibe o selo de verificação da operadora, incluindo o logotipo oficial da empresa, nome verificado e um badge de autenticidade. O usuário sabe imediatamente se a mensagem é legítima.
4. Custo menor por autenticação
Pode parecer contraintuitivo, mas o RCS e mais barato que o SMS para autenticação. O custo por mensagem RCS no Brasil varia entre R$ 0,03 e R$ 0,06, enquanto o SMS custa entre R$ 0,08 e R$ 0,15. Em escala, isso representa uma economia significativa.
Como funciona na prática
Implementar MFA via RCS com o Authentik é simples. Veja o fluxo completo:
Passo 1: Sua aplicação solicita a autenticação via API:
# Enviar solicitação de autenticação via RCS
curl -X POST https://api.authentik.com.br/v1/auth/send \
-H "Authorization: Bearer seu_api_key" \
-H "Content-Type: application/json" \
-d '{
"phone": "+5511999998888",
"channel": "rcs",
"app_id": "seu_app_id",
"callback_url": "https://seusite.com/webhook/auth"
}'Passo 2: O Authentik envia uma mensagem RCS verificada para o usuário com botões interativos de confirmação.
Passo 3: O usuário toca em "Confirmar" na mensagem RCS. O Authentik notifica sua aplicação via webhook:
// Webhook callback recebido pela sua aplicação
{
"event": "auth.confirmed",
"auth_id": "auth_abc123",
"phone": "+5511999998888",
"channel": "rcs",
"status": "confirmed",
"confirmed_at": "2026-03-26T14:30:00Z",
"device_verified": true
}Passo 4: Sua aplicação verifica a autenticação e libera o acesso do usuário. Todo o processo leva menos de 10 segundos.
Casos de uso
O MFA via RCS é especialmente indicado para os seguintes cenários:
- Fintechs e bancos digitais -- onde a segurança da autenticação é crítica e a experiência do usuário impacta diretamente a conversão
- E-commerces -- para confirmar transações de alto valor e proteger contra fraudes em compras
- Plataformas SaaS -- para autenticar acessos sensiveis sem impactar a produtividade dos usuários
- Saude e seguros -- onde regulamentações como a LGPD exigem camadas adicionais de proteção de dados pessoais
- Governo e serviços públicos -- para validação de identidade em serviços digitais ao cidadão
O futuro da autenticação é conversacional
O MFA via RCS não é apenas uma melhoria incremental sobre o SMS. É uma mudança fundamental na forma como pensamos autenticação. Em vez de tratar o segundo fator como um obstáculo que o usuário precisa superar (copiar código, digitar, torcer para funcionar), o RCS transforma a autenticação em uma conversa natural.
O usuário recebe uma mensagem rica, com a identidade visual da sua marca, explicando o que está acontecendo e oferecendo um botao claro para confirmar. É rápido, seguro e intuitivo.
Com o suporte do Google e, agora, da Apple ao protocolo RCS, a cobertura global está se expandindo rapidamente. No Brasil, onde o Android domina o mercado, a cobertura já é quase universal.
A autenticação não deve ser um obstáculo. Deve ser uma experiência que inspira confiança. O RCS torna isso possível.
O Authentik foi construído desde o início para aproveitar ao máximo o potencial do RCS para autenticação. Com nossa API, você integra MFA via RCS em menos de 5 minutos e começa a oferecer uma experiência de segurança superior aos seus usuários. E para dispositivos sem suporte a RCS, o Authentik faz fallback automático para WhatsApp e, como última opção, SMS, garantindo que 100% dos seus usuários sejam atendidos.
Pronto para experimentar? Crie sua conta gratuita e envie sua primeira autenticação via RCS em minutos.