O que é um ataque SIM swap?

Um SIM swap (ou sequestro de SIM) acontece quando um atacante convence a sua operadora móvel a transferir o seu número de telemóvel para um cartão SIM que ele controla. Fá-lo através de engenharia social — fazendo-se passar por si com dados pessoais roubados — ou, por vezes, através de um funcionário corrompido. Assim que o seu número está no SIM dele, o seu telemóvel perde rede e cada SMS, incluindo os códigos 2FA de utilização única, chega ao dispositivo do atacante. Ele repõe então as palavras-passe e toma conta de contas de email, bancárias e de cripto que dependem da verificação por SMS.

Quais são os sinais de alerta de um SIM swap?

O sinal mais claro é a perda súbita e inexplicável de rede móvel — sem chamadas, mensagens ou dados móveis, enquanto quem está por perto não tem problemas. Pode também receber uma notificação da operadora sobre uma troca de SIM ou uma portabilidade que não solicitou, ou ser desconectado inesperadamente das contas. Se o telemóvel ficar sem rede e assim permanecer, trate-o de imediato como um possível SIM swap: contacte a sua operadora a partir de outro telemóvel e proteja as suas contas mais sensíveis.

Um SIM swap derrota a autenticação de dois fatores?

Apenas a 2FA baseada em SMS. É a lição central: os códigos enviados por SMS seguem o seu número de telemóvel, por isso, assim que o número é sequestrado, os códigos vão para o atacante. Os métodos de dois fatores que NÃO estão ligados ao seu número de telemóvel são imunes — uma aplicação de autenticação (TOTP) gera os códigos no próprio dispositivo, uma chave de segurança de hardware (FIDO2) exige a chave física e as passkeys estão associadas ao seu dispositivo. Tirar as contas de alto valor da 2FA por SMS é a defesa mais eficaz que existe.

Como me protejo de um ataque SIM swap?

Quatro camadas. (1) Adicione um PIN / bloqueio de portabilidade / 'Number Lock' à sua conta móvel, para que o número não possa ser transferido sem ele. (2) Substitua a 2FA por SMS por uma aplicação de autenticação, uma chave de segurança de hardware ou passkeys no email, banca e cripto. (3) Remova, onde possível, o seu número de telemóvel como método de recuperação nas contas críticas. (4) Reduza os dados pessoais expostos em fugas de dados e nas redes sociais, já que os atacantes os usam para se fazerem passar por si junto da operadora.

O que devo fazer se estou a sofrer um SIM swap neste momento?

Aja em minutos. Ligue à sua operadora a partir de outro telemóvel para voltar a proteger o número e reverter a troca. Depois, a partir de um dispositivo de confiança, mude as palavras-passe e revogue as sessões, começando pelo seu email (é a chave-mestra), depois banca, cripto e contas sociais, desativando em cada um a 2FA por SMS. Contacte o seu banco para assinalar a fraude. Apresente uma denúncia à autoridade competente. A rapidez é importante: a janela do atacante é o tempo entre a troca e o momento em que recupera o controlo.

Ataque SIM swap: como funciona e como travá-lo (2026)

O seu número de telemóvel nunca foi pensado para ser uma chave de segurança — mas, durante anos, os códigos de utilização única por SMS transformaram-no numa. Um ataque SIM swap explora exatamente isso: ao sequestrar o seu número, um atacante recebe os seus códigos 2FA por SMS e entra diretamente nas suas contas. Este guia explica como funciona o ataque, os sinais de alerta e as defesas concretas que realmente o travam em 2026.

Como funciona um ataque SIM swap

O mecanismo é a engenharia social, não a pirataria do seu telemóvel:

O atacante reúne os seus dados pessoais (a partir de fugas de dados, phishing ou das suas redes sociais públicas).
Contacta a sua operadora móvel, faz-se passar por si e pede que o seu número seja movido para um novo SIM (uma "portabilidade" ou substituição de SIM) — por vezes com a ajuda de um funcionário de loja corrompido.
O seu telemóvel perde a rede; o número vive agora no SIM do atacante.
Cada SMS — incluindo os códigos 2FA de utilização única — chega agora ao dispositivo dele. Ele desencadeia reposições de palavra-passe e toma conta primeiro do email, depois das contas bancárias, de cripto e sociais.

A fraqueza de raiz é que os códigos SMS seguem o número de telemóvel, não a si.

Um portátil aberto numa secretária de madeira

Sinais de alerta

Perda súbita de rede móvel (sem chamadas/mensagens/dados) enquanto quem o rodeia não tem problemas.
Um alerta da operadora sobre uma troca de SIM ou uma portabilidade que não solicitou.
Ser desconectado das contas inesperadamente, ou emails de reposição de palavra-passe que não iniciou.

Se o telemóvel ficar sem rede e assim permanecer, presuma um possível SIM swap e aja de imediato.

As defesas que realmente funcionam

1. Bloqueie o número junto da operadora. Adicione um PIN / bloqueio de portabilidade / Number Lock para que o seu número não possa ser transferido sem ele. É o único controlo do lado da operadora que bloqueia a maioria das trocas.

2. Abandone a 2FA por SMS — esta é a jogada-chave. Como um SIM swap só derrota os códigos por SMS, mova as suas contas importantes para uma 2FA que não esteja ligada ao seu número de telemóvel:

Aplicação de autenticação (TOTP) — códigos gerados no dispositivo. Veja o nosso guia da melhor aplicação de autenticação.
Chave de segurança de hardware (FIDO2) — à prova de phishing e de swap. Veja a nossa comparação de chaves de segurança de hardware.
Passkeys — associadas ao seu dispositivo. Veja a configuração de passkeys.

3. Remova o número de telemóvel como método de recuperação nas contas críticas, onde a plataforma o permitir.

4. Reduza os seus dados expostos — o atacante precisa de detalhes pessoais para se fazer passar por si. Palavras-passe fortes e únicas num gestor fazem com que um SIM swap, por si só, não chegue para se propagar em cascata pelas contas.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Guarde palavras-passe fortes e únicas com o NordPass →Cofre zero-knowledge + autenticador integrado (TOTP) · Para que o SMS nunca seja a sua única defesa→

Se está a sofrer um SIM swap neste momento

Ligue à sua operadora a partir de outro telemóvel para voltar a proteger o número e reverter a troca.
A partir de um dispositivo de confiança, proteja primeiro o seu email (é a chave-mestra): mude a palavra-passe, revogue as sessões, desative a 2FA por SMS.
Faça o mesmo para as contas bancárias, de cripto e sociais, por essa ordem.
Contacte o seu banco para assinalar a fraude e apresente uma denúncia à autoridade competente.

A rapidez é tudo: a sua janela de risco é o intervalo entre a troca e o momento em que recupera o controlo. Para o manual completo de gestão do incidente, veja o que fazer quando a sua conta é pirateada.

Conclusão

Um SIM swap só é poderoso contra a verificação baseada em SMS. Bloqueie o seu número junto da operadora, mova cada conta importante para uma aplicação de autenticação, uma chave de hardware ou passkeys, e mantenha palavras-passe fortes e únicas num gestor. Faça isso e sequestrar o seu número de telemóvel deixa de ser uma chave-mestra para a sua vida digital.

Guia editorial baseado em métodos documentados de ataque SIM swap e nas propriedades documentadas da autenticação por SMS, TOTP, FIDO2 e passkey. Indicamos com clareza a fraqueza específica da 2FA por SMS. As ligações comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem qualquer custo adicional para si.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Um gestor com 2FA e passkeys integrados → NordPassGuarde TOTP e passkeys · XChaCha20 · plano gratuito→

Ataque SIM swap: como funciona e como travá-lo (2026)

Como funciona um ataque SIM swap

Sinais de alerta

As defesas que realmente funcionam

Se está a sofrer um SIM swap neste momento

Conclusão

Ler a seguir

O que é a 2FA? A autenticação de dois fatores explicada (2026)

Aplicação de autenticação de dois fatores: guia completo 2026 (TOTP vs SMS, melhores apps)

Guia de configuração YubiKey FIDO2 2026 (Windows, Mac, Linux, Web)