Em resumo:

  • A proteção efetiva contra ataques de 2FA requer métodos resistentes a phishing, governação de identidade obrigatória e monitorização contínua.
  • As chaves de segurança físicas, como a YubiKey, eliminam vulnerabilidades de SMS, TOTP e notificações push, bloqueando ataques como AiTM e MFA Fatigue.

A autenticação de dois fatores (2FA) é definida como um mecanismo de verificação que exige dois elementos distintos para confirmar a identidade de um utilizador. Apesar de ser uma camada de proteção amplamente adotada, os exemplos de brechas de segurança evitáveis em 2FA mostram que a tecnologia, sozinha, não basta. 74% dos vazamentos de dados envolvem erro humano, o que significa que a maioria das falhas não resulta de criptografia quebrada, mas de escolhas de design, processos frágeis e comportamento previsível. Conhecer estes vetores é o primeiro passo para os eliminar.

1. Exemplos de brechas de segurança evitáveis em 2FA via SMS

Telemóvel com cartão SIM e ícones de segurança vistos de cima

O SMS continua a ser o método de segundo fator mais utilizado em Portugal e no mundo. É também o mais vulnerável. O ataque de SIM swapping consiste em convencer a operadora a transferir o número de telefone da vítima para um cartão SIM controlado pelo atacante. A partir desse momento, todos os códigos de verificação chegam ao atacante, não ao utilizador legítimo.

A interceptação SS7 é ainda mais silenciosa. O protocolo SS7, criado nos anos 1970 para encaminhar chamadas entre operadoras, não foi concebido com segurança em mente. Um atacante com acesso à rede SS7 pode redirecionar SMS sem que a vítima ou a operadora detete qualquer anomalia. O MFA por SMS é suscetível a estas duas técnicas, tornando-o inadequado para sistemas críticos.

Dica profissional: Substitua o SMS por aplicações autenticadoras baseadas em TOTP ou, preferencialmente, por chaves de segurança físicas compatíveis com FIDO2. A migração é simples e elimina toda a superfície de ataque associada à rede telefónica.

2. Extração da seed TOTP por malware

As aplicações autenticadoras baseadas em TOTP (Time-based One-Time Password) geram códigos a cada 30 segundos. A proteção depende de a seed, ou seja, a chave secreta inicial, permanecer confidencial no dispositivo. Quando o dispositivo está comprometido por malware, essa premissa deixa de ser válida.

Trojans de acesso remoto conseguem extrair a seed diretamente da memória ou dos ficheiros de configuração da aplicação autenticadora. Com a seed em mão, o atacante gera códigos TOTP válidos indefinidamente, sem precisar de aceder ao telemóvel da vítima. Manter as aplicações autenticadoras atualizadas e proteger os dispositivos finais é essencial para evitar esta extração. Um dispositivo comprometido anula qualquer benefício do segundo fator baseado em software.

3. Ataques Adversary-in-the-Middle (AiTM)

Os ataques AiTM posicionam um proxy entre o utilizador e o serviço legítimo. O utilizador autentica-se normalmente, incluindo o segundo fator, mas o proxy captura o token de sessão em tempo real. O atacante usa esse token para aceder à conta sem precisar de repetir a autenticação.

Ataques AiTM e MFA Fatigue exploram o comportamento humano para aprovações indevidas, sem quebrar qualquer criptografia. Ferramentas como Evilginx2 automatizam este processo e estão disponíveis publicamente. A única defesa eficaz contra AiTM é a autenticação baseada em protocolo FIDO2, que vincula a autenticação à origem do pedido e torna os tokens capturados inutilizáveis noutros contextos.

4. MFA Fatigue: desgaste até à aprovação acidental

O ataque de MFA Fatigue não requer qualquer sofisticação técnica. O atacante, já na posse das credenciais da vítima, envia dezenas ou centenas de notificações push de aprovação. O objetivo é esgotar a paciência do utilizador até que este aprove uma notificação por engano ou para fazer parar o fluxo de alertas.

Ataques de fadiga MFA exploram a psicologia do utilizador e têm sido usados contra alvos de alto valor em setores financeiros e de infraestrutura crítica. A mitigação passa por limitar o número de pedidos push por período de tempo, exigir correspondência de número (number matching) e treinar os utilizadores para nunca aprovarem notificações não solicitadas.

5. Exploits de dia zero com inteligência artificial generativa

A inteligência artificial generativa acelerou o desenvolvimento de exploits. Um exploit de dia zero automatizou o bypass de métodos TOTP e notificações push em escala global, reduzindo para dias o tempo que antes levava semanas de trabalho manual. Isto significa que vulnerabilidades em implementações de 2FA são agora exploradas muito mais rapidamente do que as organizações conseguem corrigir.

A resposta não é apenas atualizar sistemas com maior frequência. A proteção real exige que o segundo fator seja resistente por design, não apenas por obscuridade. As chaves de segurança físicas com FIDO2 não transmitem segredos durante a autenticação, o que as torna imunes a esta categoria de exploits.

6. Fluxos de recuperação de conta que ignoram a 2FA

Os fluxos de recuperação de conta representam um dos pontos mais frágeis em qualquer implementação de 2FA. Quando um utilizador perde acesso ao segundo fator, o processo de recuperação tende a relaxar as verificações para não bloquear o utilizador legítimo. Este relaxamento cria uma porta de entrada alternativa para atacantes.

Fluxos de recuperação mediados por IA representam um risco estrutural porque reduzem a verificação e tornam-se alvo prioritário para invasores que usam localização falsificada com VPNs. Um atacante que simule estar na localização habitual da vítima pode passar por verificações automatizadas sem dificuldade. As políticas de recuperação devem exigir verificação presencial ou por canal alternativo seguro para contas de alto valor.

Os principais riscos nestes fluxos incluem:

  • Chatbots de suporte que aceitam provas de identidade insuficientes
  • Redefinição de senha por email sem confirmação do segundo fator
  • Ausência de alertas ao utilizador legítimo durante o processo de recuperação
  • Falta de revisão humana para contas com permissões elevadas

7. O caso do chatbot da Meta e o Instagram

O caso do chatbot da Meta é um dos exemplos mais citados de falha evitável em fluxos de recuperação. O chatbot da Meta permitia troca de email e reset de senha no Instagram mesmo com 2FA ativa, explorando uma falha no fluxo de suporte automatizado. Um atacante conseguia iniciar o processo de recuperação, alterar o endereço de email associado à conta e redefinir a senha, tudo sem precisar de aceder ao segundo fator configurado.

Esta falha ilustra um princípio crítico: a 2FA só protege se todos os caminhos de acesso à conta a exigirem. Um único fluxo alternativo sem verificação equivale a uma porta traseira aberta. A correção exige auditoria completa de todos os pontos de entrada, incluindo suporte ao cliente e processos administrativos.

8. Vazamento no Meu INSS: 2,8 milhões de CPFs expostos

Uma falha no aplicativo Meu INSS expôs dados de 2,8 milhões de CPFs por consultas realizadas fora do contexto de sessão segura. O incidente não resultou de um ataque externo sofisticado, mas de uma falha de design que permitia acesso a dados sem validação adequada do contexto de autenticação.

Este caso demonstra que a 2FA no login não protege dados se o controlo de acesso dentro da sessão for deficiente. A autenticação forte na entrada do sistema deve ser acompanhada de verificação contínua de permissões em cada operação sensível.

9. Ataque à Defesa Civil com credenciais da dark web

O ataque à Defesa Civil usou credenciais válidas obtidas na dark web sem que a 2FA fosse obrigatória para os sistemas comprometidos. O atacante não precisou de quebrar qualquer proteção criptográfica. Entrou com um nome de utilizador e uma senha legítimos, comprados ou encontrados em bases de dados de vazamentos anteriores.

Muitas falhas atribuídas a ataques são na verdade acessos com credenciais válidas obtidas via vazamentos na dark web. A governança de identidade obrigatória, incluindo MFA em todos os acessos a sistemas críticos, elimina este vetor. A ausência de 2FA obrigatória em sistemas governamentais continua a ser uma vulnerabilidade estrutural documentada.

10. Governança falha: CPF como login e senha

A governança falha, como o uso repetido de CPFs como login e senha, expõe sistemas críticos a ataques de credential stuffing. Quando o identificador público de uma pessoa serve também como credencial de acesso, qualquer vazamento de CPF torna-se automaticamente uma credencial válida. Este padrão foi identificado em múltiplos sistemas públicos portugueses e brasileiros.

A correção exige políticas de senha que proíbam explicitamente o uso de identificadores públicos, combinadas com 2FA obrigatória e monitorização de tentativas de acesso com credenciais comprometidas conhecidas.

11. Como evitar estas brechas: práticas e tecnologias comprovadas

A migração do SMS para métodos resistentes a phishing é a medida com maior impacto imediato. As chaves de segurança físicas com autenticação FIDO2 vinculam a autenticação ao domínio legítimo, tornando ataques AiTM e de phishing estruturalmente impossíveis. A Smartmanagement reporta uma redução de 92% nas apropriações de conta com a adoção de YubiKey, com taxa de aceitação de 100% durante a autenticação.

As políticas de acesso condicional complementam a autenticação forte. Verificar o estado do dispositivo, a localização e o comportamento do utilizador antes de conceder acesso reduz a superfície de ataque mesmo quando as credenciais estão comprometidas. O modelo Zero Trust aplica este princípio de forma sistemática.

Vetor de ataque Método de mitigação recomendado
SIM swapping e SS7 Substituir SMS por FIDO2 ou TOTP em app dedicada
Extração de seed TOTP Atualizar apps autenticadoras e proteger dispositivos finais
Ataques AiTM Implementar autenticação FIDO2 vinculada à origem
MFA Fatigue Ativar number matching e limitar pedidos push por hora
Fluxos de recuperação frágeis Exigir verificação por canal seguro alternativo para contas críticas
Dica profissional: Audite todos os fluxos de recuperação de conta antes de implementar 2FA. Uma implementação de 2FA com fluxo de recuperação frágil oferece menos proteção do que aparenta, porque o atacante simplesmente usa o caminho alternativo.

O treino contínuo dos utilizadores é insubstituível. Reconhecer notificações push não solicitadas, identificar tentativas de engenharia social e reportar anomalias são comportamentos que nenhuma tecnologia substitui. A segurança em múltiplos fatores exige tanto tecnologia resistente como utilizadores informados.

Principais conclusões

A proteção real com 2FA exige métodos resistentes a phishing, governança de identidade obrigatória e auditoria contínua de todos os fluxos de acesso e recuperação.

Ponto Detalhes
SMS é o elo mais fraco SIM swapping e SS7 tornam o SMS inadequado para sistemas críticos.
Fluxos de recuperação são portas traseiras Um fluxo de recuperação sem 2FA anula toda a proteção configurada no login.
Credenciais vazadas são o vetor mais comum MFA obrigatório em todos os acessos elimina ataques com credenciais da dark web.
FIDO2 bloqueia AiTM por design A autenticação vinculada à origem torna tokens capturados inutilizáveis.
Governança de identidade é incontornável Políticas de senha fracas e ausência de MFA obrigatório criam vulnerabilidades estruturais.

As chaves YubiKey protegem onde outros métodos falham

As chaves de segurança YubiKey são a resposta direta às falhas documentadas neste artigo. Resistentes a phishing, AiTM e MFA Fatigue por design, eliminam os vetores que comprometem SMS, TOTP e notificações push. A Smartmanagement, parceiro oficial da Yubico no Sul da Europa, disponibiliza toda a gama de soluções para empresas e profissionais de segurança, incluindo a YubiKey 5 Series para ambientes corporativos e a YubiKey Bio Series para autenticação biométrica. Para organizações que precisam de elevar o nível de garantia de autenticação, o blog de cibersegurança da Smartmanagement reúne análises técnicas e guias práticos de implementação.

Perguntas frequentes

O que é um ataque de SIM swapping?

O SIM swapping consiste em convencer a operadora a transferir o número de telefone da vítima para um cartão SIM do atacante, dando-lhe acesso a todos os SMS de verificação.

O TOTP é seguro para proteger contas empresariais?

O TOTP é mais seguro do que o SMS, mas vulnerável a ataques AiTM e à extração da seed por malware. Para contas empresariais críticas, a autenticação FIDO2 com chave física é a opção recomendada.

Como evitar brechas em 2FA nos fluxos de recuperação de conta?

Exija verificação por canal alternativo seguro para qualquer processo de recuperação em contas com permissões elevadas, e audite regularmente todos os caminhos de acesso fora do fluxo de login principal.

O que é MFA Fatigue e como se defende contra ele?

MFA Fatigue é um ataque que envia múltiplas notificações push até o utilizador aprovar uma por engano. A defesa passa por ativar number matching, limitar pedidos por hora e treinar os utilizadores para nunca aprovarem notificações não solicitadas.

As chaves de segurança físicas protegem contra todos estes vetores?

As chaves físicas com FIDO2, como as YubiKey, bloqueiam por design os ataques de phishing, AiTM e MFA Fatigue, porque a autenticação é vinculada ao domínio legítimo e não transmite segredos reutilizáveis.

Recomendação

Partilhe este artigo!

Qual YubiKey devo escolher?

Compare YubiKeys e escolha o melhor para suas necessidades.