Resposta curta

"Quebrado" exagera. SMS 2FA não é quebrado criptograficamente — o próprio código de 6 dígitos permanece secreto para o usuário recebedor. O ataque é no chip SIM: ataques de SIM-swap convencem a operadora móvel a transferir seu número de telefone para um SIM que o atacante controla, após o qual os códigos SMS vão para eles. No Brasil, a Anatel reportou crescimento significativo em fraudes de portabilidade em 2024, com perdas relacionadas a cripto na casa dos R$ 200+ milhões.

Como SIM-swap funciona

O atacante coleta PII suficiente sobre você — nome, endereço, CPF, valores recentes de pagamento — de uma violação de dados ou engenharia social. Eles ligam para a operadora (Vivo, Claro, TIM, Oi), alegam um telefone perdido, solicitam um SIM-swap para um novo cartão. Com PII suficiente, a operadora aceita.

Dentro de minutos, seu telefone perde sinal. O SIM do atacante agora recebe todo SMS e ligação destinados ao seu número. Eles vão ao seu banco, corretora, serviço de email — solicitam reset de senha via SMS — recebem o código no SIM deles, tomam a conta.

Por que isto é um problema específico de cripto

Corretoras cripto que usam SMS 2FA são vulneráveis de uma forma que bancos não são porque:

  1. O endereço de saque pode ser uma nova wallet controlada pelo atacante — fundos vão imediatamente
  2. As transações são irreversíveis — sem chargeback, sem reversão de fraude
  3. Os valores em dólares por ataque são maiores — perda média de SIM-swap cripto em 2024 no Brasil foi R$ 215K

As defesas, ranqueadas

1. Largue SMS 2FA totalmente. Substitua por TOTP (Google Authenticator, Authy), Passkey, ou chave hardware (YubiKey). Isto elimina todo o vetor de ataque. Toda corretora brasileira maior suporta pelo menos TOTP.

2. Proteção carrier-side de port-out. Vivo, Claro, TIM oferecem opções de "bloqueio de portabilidade" — todas disponíveis, todas subutilizadas. Adicionam uma senha ou PIN que deve ser apresentado antes que uma portabilidade seja processada.

3. Telefone separado para cripto. Um número secundário, usado apenas para contas cripto, sem associação pública com você. Comprado anonimamente (chip pré-pago Vivo Easy, TIM Pré).

O que está realmente acontecendo nas operadoras brasileiras em 2026

Vivo, Claro, TIM tiveram vazamentos de dados de clientes em 2022-2024 expondo milhões de registros para potencial targeting de SIM-swap. As operadoras dizem que melhoraram a verificação de port-out; a Anatel diz que incidentes de SIM-swap continuam crescendo.

Bottom line: não confie na operadora para proteger seu número de telefone. Use métodos 2FA que não dependam do número de telefone.

Leitura adicional: SIM Swap, 2FA, A verdade sobre 2FA.