SIM Swap (clonagem de chip): o que é, como perceber e como se proteger agora

Passo a passo — o que fazer

1. 1

   1. Ligue imediatamente para a operadora

   Se o seu celular perder sinal de repente, ligue para a operadora de outro aparelho (ou pelo fixo) e peça o bloqueio emergencial do número. Informe que pode ser SIM swap. As principais operadoras brasileiras atendem 24 horas: Claro 1052, Vivo 1058, TIM 1056, Oi 103 31.

2. 2

   2. Avise seu banco e bloqueie o acesso digital

   Ligue para o banco usando o número no verso do cartão ou de outro dispositivo. Solicite a suspensão temporária do internet banking e do aplicativo. Não tente acessar pelo celular comprometido — o golpista pode estar monitorando a sessão.

3. 3

   3. Troque todas as senhas de um dispositivo diferente

   Use um computador ou tablet que não dependa do número afetado. Comece pelas contas financeiras, depois e-mail principal, depois redes sociais. Use senhas longas e únicas para cada serviço.

4. 4

   4. Remova o SMS como fator de autenticação

   Acesse cada conta e substitua o '2FA por SMS' por um aplicativo autenticador (Google Authenticator, Authy, Microsoft Authenticator) ou por uma chave de acesso (passkey). SMS é o elo fraco que o SIM swap explora diretamente.

5. 5

   5. Registre boletim de ocorrência

   Faça o B.O. online pelo site da Delegacia Eletrônica do seu estado ou presencialmente. O documento é exigido pelos bancos para ressarcimento e facilita investigações. Guarde o número do protocolo.

6. 6

   6. Monitore extratos e faturas por 30 dias

   Fraudes financeiras podem ocorrer horas depois da troca do chip. Verifique diariamente extratos bancários, fatura do cartão e notificações de compra nos primeiros 30 dias após o incidente.

7. 7

   7. Solicite relatório de portabilidade à operadora

   Peça à operadora um histórico de portabilidades e trocas de SIM associadas ao seu número. Isso confirma quando e de onde foi feita a troca fraudulenta e serve de prova para eventuais ações judiciais ou ressarcimentos.

8. 8

   8. Consulte o Registrato do Banco Central

   Acesse registrato.bcb.gov.br para verificar se foram abertas contas, empréstimos ou chaves Pix em seu nome sem sua autorização. O serviço é gratuito e exige login gov.br.

O que é SIM swap e como o golpe funciona na prática

SIM swap — também chamado de clonagem de chip, portabilidade fraudulenta ou sequestro de número — é um ataque em que o criminoso convence a operadora de telefonia a vincular o seu número de telefone a um chip (SIM card) que está em posse dele. A partir desse momento, você perde a comunicação celular e o golpista passa a receber tudo que seria destinado a você: chamadas, SMS e, principalmente, os códigos de verificação de duas etapas (2FA) enviados por bancos e aplicativos.

O processo geralmente começa semanas antes com a coleta de dados pessoais da vítima. Golpistas compram informações em fóruns de vazamento de dados — CPF, data de nascimento, endereço, nome da mãe — ou as obtêm por phishing e engenharia social. De posse desses dados, o criminoso liga para a central da operadora fingindo ser o titular da linha e alega que perdeu o chip ou que o aparelho foi roubado. O atendente, enganado pelas informações corretas, realiza a transferência.

Segundo o Banco Central do Brasil, o Pix foi o principal alvo de fraudes pós-SIM swap em 2023 e 2024, com casos registrados em todas as operadoras nacionais. A Anatel (Agência Nacional de Telecomunicações) exige desde 2023 que operadoras implementem camadas adicionais de autenticação para trocas de SIM, mas a eficácia varia conforme o atendimento e o canal utilizado. A Resolução Anatel nº 783/2023 estabelece regras de segurança para portabilidade e troca de titularidade de linhas.

Por que o SMS é o elo mais fraco da sua segurança digital

Quando você ativa a verificação em duas etapas por SMS em um aplicativo, está delegando parte da sua segurança à infraestrutura da operadora telefônica — uma infraestrutura que pode ser manipulada por engenharia social, como o SIM swap demonstra. O SMS nunca foi projetado como mecanismo de segurança: é um protocolo da década de 1980 (SS7) com vulnerabilidades conhecidas e documentadas que permitem interceptação mesmo sem troca física do chip.

A alternativa segura é o TOTP (Time-based One-Time Password), implementado por aplicativos como Google Authenticator, Authy e Microsoft Authenticator. Esses aplicativos geram códigos localmente, no próprio dispositivo, sem depender de rede telefônica. Um golpista que fizer SIM swap do seu número não terá acesso aos códigos gerados pelo app, porque eles existem apenas no seu aparelho.

O padrão mais seguro disponível atualmente é a passkey (chave de acesso), adotada por bancos, Google, Apple e serviços como iCloud e Microsoft. Passkeys são credenciais criptográficas vinculadas ao dispositivo e autenticadas por biometria (impressão digital ou rosto), sem senha nem código SMS. São resistentes a phishing e completamente imunes ao SIM swap. A recomendação de segurança internacional — do NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) e da FIDO Alliance — é clara: substituir SMS por autenticadores de aplicativo ou passkeys sempre que possível.

Como prevenir o SIM swap antes que aconteça com você

A primeira linha de defesa é cadastrar uma senha ou PIN de segurança na sua conta junto à operadora. Todas as principais operadoras brasileiras oferecem essa funcionalidade: ao ativar, qualquer solicitação de troca de chip ou portabilidade exigirá essa senha — o que torna muito mais difícil para um golpista realizar o SIM swap apenas com seus dados pessoais. Acesse a conta online da sua operadora ou vá pessoalmente a uma loja autorizada com documento de identidade para configurar.

Reduza a exposição dos seus dados pessoais. CPF, data de nascimento e endereço são as informações usadas por golpistas para se passar por você junto à operadora. Evite preencher formulários desnecessários, responder a pesquisas suspeitas ou clicar em links de phishing. Consulte periodicamente o site Meu CPF (consumidor.gov.br) e o Registrato (registrato.bcb.gov.br) para verificar se há contas ou contratos abertos em seu nome.

Ative alertas de transação em tempo real em todos os seus aplicativos bancários. Quanto mais rápido você for notificado de uma movimentação suspeita, mais rápido pode acionar o bloqueio. Considere também separar o número de telefone vinculado a contas financeiras de um número de uso cotidiano — alguns usuários de alto perfil mantêm um chip exclusivo para operações bancárias, nunca divulgado publicamente.

Monitore se seus dados já foram expostos em vazamentos. Serviços como Have I Been Pwned (haveibeenpwned.com) verificam gratuitamente se seu e-mail aparece em bases de dados vazadas. A Decripte oferece monitoramento contínuo de domínios corporativos e e-mails executivos, com alertas automáticos quando credenciais da empresa aparecem em novos vazamentos — um dos principais insumos para ataques de SIM swap contra colaboradores.

SIM swap corporativo: quando o alvo é a empresa

Para pessoas físicas, o SIM swap resulta em prejuízo financeiro pessoal. Para empresas, o impacto é exponencialmente maior. Diretores financeiros (CFOs), executivos de alto escalão e responsáveis por aprovação de transferências são alvos prioritários: o número de celular corporativo deles autentica transações de alto valor, aprovações de contratos e acessos a sistemas críticos. Um único SIM swap bem-sucedido pode autorizar transferências de centenas de milhares de reais antes que alguém perceba.

O vetor de ataque corporativo costuma ser mais elaborado. O golpista faz reconhecimento público — LinkedIn, site da empresa, redes sociais — para identificar cargos, nomes e números de telefone de funcionários-chave. Em seguida, combina esses dados com credenciais obtidas em vazamentos ou phishing direcionado (spear phishing). A troca do chip é apenas a fase final de um ataque multiestágio que pode durar semanas.

Empresas que operam no Brasil também precisam considerar o risco de SIM swap em contextos de BEC (Business Email Compromise): após comprometer o e-mail de um executivo via SIM swap, o atacante redireciona pagamentos, solicita transferências urgentes e altera dados bancários de fornecedores. O Banco Central registrou aumento de 34% em fraudes corporativas via canais digitais entre 2022 e 2024, parte significativa ligada ao comprometimento de identidade digital de executivos.

A resposta corporativa ao risco de SIM swap envolve três camadas: política de autenticação (eliminar SMS de qualquer sistema crítico), treinamento de colaboradores para identificar tentativas de engenharia social, e monitoramento contínuo de vazamentos que possam expor credenciais de funcionários. A Decripte implementa essas três camadas como parte dos planos de gestão de cibersegurança para empresas.

Como a Decripte protege empresas contra SIM swap e fraudes de identidade

A Decripte é uma empresa brasileira especializada em cibersegurança para organizações de todos os portes — de negócios com 1 colaborador até corporações com mais de 100 mil funcionários. Nosso modelo de atuação combina tecnologia de monitoramento contínuo, resposta a incidentes e consultoria estratégica, com foco em ameaças reais que afetam empresas brasileiras.

O Plano de Gestão de Ameaças da Decripte — disponível gratuitamente para empresas — inclui monitoramento de vazamentos de credenciais corporativas, alertas quando dados de colaboradores aparecem em bases de dados criminosas e diagnóstico de exposição digital. Esses são exatamente os dados que alimentam ataques de SIM swap contra executivos e equipes financeiras.

Para empresas que já sofreram um incidente ou precisam de proteção avançada, os planos pagos da Decripte incluem resposta a incidentes com SLA definido, investigação forense digital, hardening de autenticação e treinamento de times. Nossa equipe já atuou em casos reais de SIM swap corporativo no Brasil, com recuperação de acesso, contenção de danos e implementação de controles para evitar reincidência. Acesse decripte.io e conheça os planos ou comece gratuitamente com o monitoramento de ameaças.

Termos importantes

SIM swap

Ataque em que um criminoso convence a operadora de telefonia a transferir o número de telefone da vítima para um chip sob seu controle, permitindo interceptar chamadas, SMS e códigos de autenticação de duas etapas.

2FA (autenticação de dois fatores)

Camada adicional de segurança que exige uma segunda prova de identidade além da senha, como um código enviado por SMS, gerado por aplicativo autenticador ou confirmado por biometria. O SMS é o método mais vulnerável ao SIM swap.

TOTP (Time-based One-Time Password)

Padrão de senha de uso único baseada em tempo, implementada por aplicativos como Google Authenticator e Authy. Os códigos são gerados localmente no dispositivo a cada 30 segundos, sem depender de rede telefônica, tornando-os resistentes ao SIM swap.

Passkey (chave de acesso)

Credencial digital criptográfica que substitui senha e SMS, vinculada ao dispositivo do usuário e autenticada por biometria (impressão digital ou reconhecimento facial). É o padrão mais seguro disponível atualmente e é completamente imune ao SIM swap.

Perguntas frequentes