Bilhoes de mensagens SMS são enviadas todos os dias para autenticar usuários em aplicações bancarias, e-commerces e redes sociais. Mas o que poucos sabem e que o SMS foi projetado nos anos 1980, em uma epoca em que segurança digital não era uma preocupacao. Hoje, as vulnerabilidades do SMS são amplamente conhecidas e exploradas por criminosos.

Neste artigo, vamos analisar as principaís falhas de segurança do SMS para autenticação e mostrar como o RCS (Rich Commúnication Services) resolve cada uma delas.

Vulnerabilidades do SMS

SIM Swap: a fraude que cresce 400% ao ano

O SIM swap (ou troca de chip) é a vulnerabilidade mais explorada do SMS para autenticação. Neste ataque, o criminoso convence a operadora a transferir o número da vitima para um novo chip SIM. Com o número em mãos, ele recebe todos os SMS destinados a vitima -- incluindo códigos de autenticação.

O processo é alarmantemente simples:

  1. O atacante coleta dados pessoais da vitima (CPF, nome completo, endereço) via engenharia social ou vazamentos
  2. Liga para a operadora se passando pela vitima e solicita a portabilidade do número
  3. A operadora transfere o número para o novo chip
  4. O atacante agora recebe todos os SMS da vitima, incluindo códigos OTP
! Dado alarmante

Segundo a Febraban, os golpes envolvendo SIM swap cresceram mais de 400% nos ultimos três anos no Brasil, com prejuízos que ultrapassam R$ 3 bilhões anuais.

Ataques SS7: interceptação em nível de rede

O SS7 (Signaling System No. 7) é o protocolo usado pelas operadoras de telecomúnicações para rotear chamadas e mensagens SMS entre redes. Projetado nos anos 1970, o SS7 não possui nenhum mecanismo de autenticação ou criptografia.

Pesquisadores de segurança já demonstraram repetidamente que um atacante com acesso ao SS7 pode:

O acesso ao SS7 não é tão difícil quanto parece. Empresas de telecomúnicações menores e revendedores podem ter acesso ao protocolo, e esse acesso pode ser comprado ou alugado no mercado negro por valores relativamente baixos.

SMS Phishing (Smishing)

O SMS não possui nenhum mecanismo de verificação de remetente. Qualquer pessoa pode enviar um SMS se passando por um banco, uma fintech ou qualquer outra empresa. O número do remetente pode ser facilmente falsificado (spoofing), tornando impossível para o usuário distinguir um SMS legítimo de um fraudulento.

Isso é especialmente perigoso para autenticação, pois o atacante pode enviar um SMS falso pedindo que o usuário "confirme" seus dados em um site fraudulento, capturando credenciais e códigos OTP em tempo real.

Sem criptografia

O SMS é transmitido em texto puro entre o dispositivo e a torre da operadora. Não há criptografia de ponta a ponta. Isso significa que qualquer pessoa com acesso a infraestrutura da rede (funcionários da operadora, equipamentos de interceptação) pode ler o conteúdo das mensagens.

Como o RCS resolve esses problemas

O RCS foi projetado com segurança como prioridade, incorporando proteções que o SMS simplesmente não possui:

Vinculação ao dispositivo, não ao chip

A diferença fundamental entre RCS e SMS para autenticação é que o RCS entrega a mensagem para o dispositivo específico do usuário, não para o número do telefone. Mesmo que um atacante consiga clonar o número via SIM swap, ele não receberá as mensagens RCS, pois elas estão vinculadas ao dispositivo original.

Criptografia de ponta a ponta

O RCS implementa criptografia E2EE (End-to-End Encryption) para mensagens entre dispositivos. Isso significa que nem as operadoras, nem a Google, nem qualquer intermediário pode ler o conteúdo das mensagens de autenticação.

Verificação de remetente

Toda mensagem RCS Business (usada para autenticação) exibe a identidade verificada do remetente: logotipo oficial, nome da empresa e um selo de verificação emitido pela operadora. O usuário sabe imediatamente se a mensagem é legítima, eliminando o risco de phishing.

Protocolo IP moderno

O RCS opera sobre IP (Internet Protocol) e não depende do SS7. Isso elimina completamente a superfície de ataque associada ao protocolo SS7, incluindo interceptação e redirecionamento de mensagens.

Custos comparativos

Além da segurança, o custo é um fator importante na decisão entre SMS e RCS:

Métrica SMS RCS
Custo por mensagem R$ 0,08 - R$ 0,15 R$ 0,03 - R$ 0,06
Taxa de entrega 92-95% 97-99%
Taxa de conclusão MFA ~78% ~94%
Custo efetivo por autenticação bem-sucedida R$ 0,10 - R$ 0,19 R$ 0,03 - R$ 0,06
Custo de fraude evitada Alto (SIM swap) Minimo

Quando você considera o custo total -- incluindo fraudes, reenvios por falha na entrega e suporte ao cliente -- o RCS é significativamente mais econômico que o SMS.

Migração do SMS para RCS

Se sua aplicação ainda depende de SMS para autenticação, a migração para RCS pode ser feita de forma gradual e segura:

Estratégia de fallback

A abordagem recomendada e implementar um sistema de fallback automático. O Authentik facilita essa transicao: você énvia a autenticação com o canal "auto" e a plataforma tenta RCS primeiro, depois WhatsApp e, como última opção, SMS.

Isso garante que 100% dos seus usuários recebam a autenticação, independentemente do dispositivo, enquanto a maioria já se beneficia da segurança do RCS.

Migração gradual

Você pode começar migrando apenas os fluxos mais críticos (login, transações financeiras) para RCS, mantendo SMS para fluxos de menor risco. A medida que ganha confiança na plataforma, expande o uso do RCS para todos os fluxos.

Monitoramento

Acompanhe as métricas de entrega, taxa de conclusão e tempo de resposta pelo dashboard do Authentik. Você verá rapidamente a diferença de performance entre os canais.

A questão não e se você deve migrar do SMS para o RCS. A questão e quanto dinheiro você ésta perdendo com fraudes enquanto adia essa migração.

O SMS cumpriu seu papel por decadas, mas o cenário de ameaças evoluiu. Continuar usando SMS como segundo fator de autenticação e aceitar um risco conhecido e evitavel. O RCS oferece uma alternativa superior em todos os aspectos: segurança, custo, experiência e confiabilidade.