Serviço de Mensagem Curta: alternativa de segurança ou tecnologia obsoleta?

21/11/2024

Por César Díaz – Líder de Assuntos das Telecomunicações do LACNIC

Em um mundo em que as nossas vidas se tornam cada vez mais interligadas com o digital, a segurança já não é apenas uma opção, mas uma obrigação inevitável. Dos nossos dados pessoais às informações corporativas e governamentais, a necessidade de proteger as credenciais e impedir o acesso não autorizado é vital. Neste cenário, uma tecnologia que muitos consideravam obsoleta, o Serviço de Mensagem Curta (SMS), ressurgiu como um componente básico no âmbito da segurança digital. Longe de ser apenas uma ferramenta de mensagens, o SMS se consolidou como uma alternativa na implementação da autenticação de dois fatores (2FA). Mas, ao escolhê-los como medida de segurança, surgem questões inevitáveis: os SMS são realmente confiáveis ​​para a 2FA?

Das mensagens básicas à segurança essencial

Nos seus primórdios, os SMS revolucionaram a comunicação móvel, permitindo aos usuários trocar mensagens de texto de forma rápida e simples. Durante a década de 90 e inícios dos anos 2000, eles dominaram o cenário das comunicações. Porém, com a chegada dos aplicativos de mensagens instantâneas e das redes sociais, o SMS começou a perder destaque. O que poucos previam era que esta tecnologia, longe de cair no esquecimento, se tornaria uma aliada da segurança digital.

Hoje, o SMS deixou de ser uma simples ferramenta de comunicação pessoal e passou a ser um recurso de autenticação e validação de informações sensíveis. Empresas e governos do mundo todo adotaram o SMS como um canal confiável que adiciona uma camada extra de segurança às suas plataformas. Do comércio eletrônico ao acesso a credenciais, o SMS tornou-se um mecanismo amplamente usado para o envio de códigos de verificação, que funcionam como uma barreira de proteção adicional contra ataques cibernéticos. Esta característica os posicionou como um recurso indispensável no combate à fraude e às ameaças cibernéticas.

Leia também:

Os riscos para a privacidade que implica os bloqueios de sites de Internet por meio de URL

Por que os SMS ainda são relevantes em segurança?

Apesar do desenvolvimento de tecnologias mais avançadas, o SMS continua a ser uma ferramenta importante em segurança por vários motivos principais:

1. Compatibilidade universal: Os SMS funcionam em praticamente todos os celulares, independente da marca, sistema operacional ou antiguidade do aparelho. Isso os torna uma opção acessível e universal, atingindo tanto usuários de smartphones de última geração quanto aqueles que usam dispositivos mais básicos.
2. Simplicidade de uso: Ao contrário de outras tecnologias de autenticação, o SMS não exige que os usuários instalem aplicativos adicionais ou configurações complexas. Qualquer pessoa com um telefone celular pode receber e usar SMS para verificar a sua identidade, facilitando a adoção em massa, mesmo em áreas com baixos níveis de digitalização.
3. Confiabilidade em áreas de baixa conectividade: O SMS não depende de uma conexão à Internet, o que significa que pode operar em áreas onde a conectividade é limitada ou instável. Isto o torna uma opção particularmente útil em regiões rurais ou em situações de emergência.
4. Acessibilidade global: Os SMS não têm fronteiras. Eles podem ser enviados e recebidos em qualquer lugar do mundo, desde que haja interoperabilidade entre os provedores que oferecem serviços de mensagens celulares, como ampliaremos mais adiante.

Qual é o papel do SMS na 2FA?

A 2FA é um dos mecanismos de segurança mais eficazes da atualidade, e o SMS desempenha um papel básico neste ecossistema. A autenticação de dois fatores via SMS exige que os usuários forneçam duas formas de verificação antes de acessar uma conta ou serviço. Normalmente, a primeira camada é uma senha e a segunda é um código temporário (OTP – One Time Password) enviado ao telefone do usuário via SMS.

Essa dupla verificação reduz drasticamente a possibilidade de um invasor acessar informações confidenciais, mesmo que tenha conseguido roubar a senha do usuário. Ao depender de dois fatores diferentes (algo que o usuário sabe e algo que ele possui), o SMS adiciona uma barreira adicional que protege as contas contra tentativas de hacking, phishing ou acesso não autorizado.

Os SMS têm vulnerabilidades na 2FA?

Embora o uso de SMS para a autenticação de dois fatores (2FA) seja eficaz, ele também apresenta alguns riscos e vulnerabilidades importantes que não devemos ignorar. Um exemplo claro é o SIM swapping, como aconteceu em 2019 com Jack Dorsey, cofundador do Twitter. Os invasores conseguiram transferir seu número de telefone para um cartão SIM sob seu controle, permitindo-lhes acessar sua conta pessoal. Este incidente demonstra o quão devastador pode ser este tipo de ataque, em que uma simples mudança de SIM pode comprometer a segurança de contas confidenciais.

Um outro risco importante é a interceptação de mensagens em redes inseguras. Em 2017 e 2018, foram descobertas vulnerabilidades no sistema de sinalização SS7 (Signaling System No. 7), protocolo usado pelas redes móveis para troca de informações entre operadoras. Este protocolo, com décadas de uso, é essencial para gerenciar a autenticação, roteamento e transmissão de SMS. Um caso notório ocorreu no Reino Unido em 2019, onde os cibercriminosos conseguiram interceptar mensagens de verificação enviadas por bancos aos seus clientes, obtendo acesso não autorizado a contas bancárias e transferindo dinheiro de forma fraudulenta.

Finalmente, as técnicas de engenharia social representam uma ameaça significativa. Um exemplo comum é o WhatsApp, onde os cibercriminosos tentam acessar a conta da vítima enviando uma solicitação de login, o que faz com que o WhatsApp envie um código de verificação via SMS para o número do usuário. O invasor então se passa por um amigo ou contato de confiança e envia uma mensagem dizendo algo como:

Se a vítima cair na armadilha e encaminhar o código, o invasor assume o controle de sua conta do WhatsApp, mostrando como é fácil explorar a confiança humana para comprometer a segurança.

Então é seguro usar SMS para 2FA?

Embora a 2FA baseada em SMS seja menos segura do que outros métodos, como aplicativos autenticadores ou chaves físicas, ainda é muito mais robusto do que depender apenas de uma senha. A chave não é confiar apenas no SMS, mas integrá-lo como parte de uma estratégia de segurança mais ampla e avançada.

Em ambientes onde métodos mais avançados não são viáveis, o SMS continua a ser uma opção valiosa graças à sua acessibilidade e facilidade de uso. Desde que as melhores práticas de segurança sejam aplicadas, a 2FA baseada em SMS pode oferecer uma camada adicional de proteção que é melhor do que não ter nenhuma.

Por que não estou recebendo SMS como 2FA?

Em algumas circunstâncias, o SMS usado para autenticação de dois fatores (2FA) pode não ser entregue. Um dos principais fatores é a falta de cobertura, além de algumas circunstâncias ou horários de grande tráfego como festas de Réveillon ou fim de semana de Black Friday. Esses problemas são agravados se o dispositivo do usuário tiver filtros de mensagens ativados ou caixas de entrada cheias, bloqueando o recebimento dos códigos de verificação.

Outro fator relevante é a infraestrutura e configuração das redes por parte das operadoras. As falhas de roteamento nas redes dos provedores podem fazer com que as mensagens de autenticação sejam classificadas incorretamente como spam, afetando sua entrega.

Podemos adicionar erros na configuração do protocolo SMPP (Short Message Peer-to-Peer), ou algumas restrições impostas por alguns aplicativos que bloqueiam temporariamente a entrega de mensagens quando os usuários tentam solicitar vários códigos em um curto período.

Não subestime o poder do SMS na sua segurança digital

Apesar dos riscos inerentes, subestimar o valor do SMS na segurança digital seria um erro. Em um mundo em que as ameaças cibernéticas estão em constante evolução, cada camada adicional de proteção é vital. Embora os aplicativos de autenticação e as chaves físicas sejam métodos mais seguros e devam ser nossa primeira escolha, o SMS ainda é uma ferramenta básica de segurança quando essas opções não são viáveis.

A autenticação de dois fatores é uma necessidade, não um luxo, e embora o SMS apresente alguns desafios, ainda é uma opção para proteger informações confidenciais. Em última análise, cada camada de segurança conta e o SMS continua a desempenhar um papel fundamental na defesa da segurança digital moderna.