Serviço de Mensagem Curta: alternativa de segurança ou tecnologia obsoleta?
21/11/2024
Por César Díaz – Líder de Assuntos das Telecomunicações do LACNIC
Em um mundo em que as nossas vidas se tornam cada vez mais interligadas com o digital, a segurança já não é apenas uma opção, mas uma obrigação inevitável. Dos nossos dados pessoais às informações corporativas e governamentais, a necessidade de proteger as credenciais e impedir o acesso não autorizado é vital. Neste cenário, uma tecnologia que muitos consideravam obsoleta, o Serviço de Mensagem Curta (SMS), ressurgiu como um componente básico no âmbito da segurança digital. Longe de ser apenas uma ferramenta de mensagens, o SMS se consolidou como uma alternativa na implementação da autenticação de dois fatores (2FA). Mas, ao escolhê-los como medida de segurança, surgem questões inevitáveis: os SMS são realmente confiáveis para a 2FA?
Das mensagens básicas à segurança essencial
Nos seus primórdios, os SMS revolucionaram a comunicação móvel, permitindo aos usuários trocar mensagens de texto de forma rápida e simples. Durante a década de 90 e inícios dos anos 2000, eles dominaram o cenário das comunicações. Porém, com a chegada dos aplicativos de mensagens instantâneas e das redes sociais, o SMS começou a perder destaque. O que poucos previam era que esta tecnologia, longe de cair no esquecimento, se tornaria uma aliada da segurança digital.
Hoje, o SMS deixou de ser uma simples ferramenta de comunicação pessoal e passou a ser um recurso de autenticação e validação de informações sensíveis. Empresas e governos do mundo todo adotaram o SMS como um canal confiável que adiciona uma camada extra de segurança às suas plataformas. Do comércio eletrônico ao acesso a credenciais, o SMS tornou-se um mecanismo amplamente usado para o envio de códigos de verificação, que funcionam como uma barreira de proteção adicional contra ataques cibernéticos. Esta característica os posicionou como um recurso indispensável no combate à fraude e às ameaças cibernéticas.
Por que os SMS ainda são relevantes em segurança?
Apesar do desenvolvimento de tecnologias mais avançadas, o SMS continua a ser uma ferramenta importante em segurança por vários motivos principais:
- Compatibilidade universal: Os SMS funcionam em praticamente todos os celulares, independente da marca, sistema operacional ou antiguidade do aparelho. Isso os torna uma opção acessível e universal, atingindo tanto usuários de smartphones de última geração quanto aqueles que usam dispositivos mais básicos.
- Simplicidade de uso: Ao contrário de outras tecnologias de autenticação, o SMS não exige que os usuários instalem aplicativos adicionais ou configurações complexas. Qualquer pessoa com um telefone celular pode receber e usar SMS para verificar a sua identidade, facilitando a adoção em massa, mesmo em áreas com baixos níveis de digitalização.
- Confiabilidade em áreas de baixa conectividade: O SMS não depende de uma conexão à Internet, o que significa que pode operar em áreas onde a conectividade é limitada ou instável. Isto o torna uma opção particularmente útil em regiões rurais ou em situações de emergência.
- Acessibilidade global: Os SMS não têm fronteiras. Eles podem ser enviados e recebidos em qualquer lugar do mundo, desde que haja interoperabilidade entre os provedores que oferecem serviços de mensagens celulares, como ampliaremos mais adiante.
Qual é o papel do SMS na 2FA?
A 2FA é um dos mecanismos de segurança mais eficazes da atualidade, e o SMS desempenha um papel básico neste ecossistema. A autenticação de dois fatores via SMS exige que os usuários forneçam duas formas de verificação antes de acessar uma conta ou serviço. Normalmente, a primeira camada é uma senha e a segunda é um código temporário (OTP – One Time Password) enviado ao telefone do usuário via SMS.
Essa dupla verificação reduz drasticamente a possibilidade de um invasor acessar informações confidenciais, mesmo que tenha conseguido roubar a senha do usuário. Ao depender de dois fatores diferentes (algo que o usuário sabe e algo que ele possui), o SMS adiciona uma barreira adicional que protege as contas contra tentativas de hacking, phishing ou acesso não autorizado.
(Acesso livre, não requer assinatura)
Os SMS têm vulnerabilidades na 2FA?
Embora o uso de SMS para a autenticação de dois fatores (2FA) seja eficaz, ele também apresenta alguns riscos e vulnerabilidades importantes que não devemos ignorar. Um exemplo claro é o SIM swapping, como aconteceu em 2019 com Jack Dorsey, cofundador do Twitter. Os invasores conseguiram transferir seu número de telefone para um cartão SIM sob seu controle, permitindo-lhes acessar sua conta pessoal. Este incidente demonstra o quão devastador pode ser este tipo de ataque, em que uma simples mudança de SIM pode comprometer a segurança de contas confidenciais.
Um outro risco importante é a interceptação de mensagens em redes inseguras. Em 2017 e 2018, foram descobertas vulnerabilidades no sistema de sinalização SS7 (Signaling System No. 7), protocolo usado pelas redes móveis para troca de informações entre operadoras. Este protocolo, com décadas de uso, é essencial para gerenciar a autenticação, roteamento e transmissão de SMS. Um caso notório ocorreu no Reino Unido em 2019, onde os cibercriminosos conseguiram interceptar mensagens de verificação enviadas por bancos aos seus clientes, obtendo acesso não autorizado a contas bancárias e transferindo dinheiro de forma fraudulenta.
Finalmente, as técnicas de engenharia social representam uma ameaça significativa. Um exemplo comum é o WhatsApp, onde os cibercriminosos tentam acessar a conta da vítima enviando uma solicitação de login, o que faz com que o WhatsApp envie um código de verificação via SMS para o número do usuário. O invasor então se passa por um amigo ou contato de confiança e envia uma mensagem dizendo algo como:
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.