A fragilidade das senhas estáticas impulsionou a adoção em larga escala da Autenticação de Múltiplos Fatores (MFA) como controle crítico de segurança. Contudo, a eficácia do MFA está diretamente atrelada ao canal utilizado para a entrega do segundo fator. O uso de mensagens SMS, embora popular pela conveniência, apresenta vetores de ataque substanciais que não podem ser ignorados pela governança de TI.
O principal risco associado ao SMS reside no ataque de SIM Swapping, uma técnica de engenharia social direcionada às operadoras de telefonia, onde o atacante personifica a vítima para transferir a linha telefônica para um novo SIM card. Uma vez clonada a linha, todos os tokens de autenticação baseados em SMS são desviados para o criminoso. Além disso, o protocolo SS7, que sustenta as redes de telefonia móvel, carece de criptografia fim a fim nativa, permitindo a interceptação de tráfego de mensagens por agentes avançados.
Como recomendação de conformidade e hardening, especialistas orientam a transição imperativa para autenticadores baseados em software (Time-based One-Time Password – TOTP) ou chaves físicas de hardware (padrão FIDO2). Centralizar a autenticação corporativa em ecossistemas que mitigam a dependência de redes celulares legadas é o caminho técnico ideal para garantir a resiliência e a confidencialidade dos acessos institucionais.
