O SIM swap é a fraude digital mais devastadora e menos compreendida do Brasil. Em 2024, o país registrou mais de 5.000 casos formais de SIM swap — mas especialistas estimam que o número real seja 10 vezes maior, já que a maioria das vítimas não sabe identificar o tipo de ataque e registra apenas a fraude bancária que veio como consequência (Febraban, 2024). O dano médio por vítima no Brasil vai de R$15.000 a R$50.000 em transferências não autorizadas — com casos documentados bem acima dessa faixa quando criptomoedas ou contas empresariais estão envolvidas.
O que torna o Brasil especialmente vulnerável não é falta de tecnologia. É uma combinação perigosa de fatores: os maiores vazamentos de dados da história expuseram informações de praticamente todo adulto brasileiro, a adoção massiva de bancos digitais tornou as contas acessíveis pelo celular, e por muito tempo os processos de verificação das operadoras eram insuficientes para impedir atacantes bem-informados.
Este guia explica como o ataque funciona no contexto brasileiro específico, o que as operadoras locais — Claro, Vivo, TIM, Oi — fizeram para responder, e o que você pode fazer hoje para se proteger de forma concreta e imediata.
TL;DR: SIM swap transfere seu número para chip do atacante via engenharia social com a operadora. Proteção principal: senha de portabilidade na operadora (ative hoje) + migrar 2FA para authenticator app (TOTP). Número virtual usado para serviços não críticos reduz a superfície de ataque do seu número real. Aja antes de ser vítima — a janela de dano após o ataque é de minutos.
Como Funciona o SIM Swap no Brasil
O Ataque em Detalhes
SIM swap — também chamado de portabilidade fraudulenta ou sequestro de linha — funciona assim:
Etapa 1 — Coleta de dados do alvo. Antes de qualquer ação, o atacante reúne informações sobre você: nome completo, CPF, data de nascimento, operadora atual, endereço. No Brasil pós-2021, esses dados estão amplamente disponíveis. O vazamento “Pandemia” expôs informações de 220 milhões de CPFs com dados cadastrais completos. Esses dados circulam em grupos do Telegram e fóruns clandestinos, vendidos em lotes por valores irrisórios.
Etapa 2 — Contato com a operadora. O atacante liga para o SAC da sua operadora fingindo ser você. Com os dados coletados, passa pelas perguntas de verificação de identidade: CPF, data de nascimento, último endereço cadastrado, talvez o valor da última fatura. Essas informações, que deveriam ser secretas, já estão nos bancos de dados expostos.
Etapa 3 — Transferência do número. A operadora, convencida de que está falando com o titular legítimo, ativa o número no chip do atacante. O processo completo — do contato ao chip ativo — pode levar menos de 30 minutos.
Etapa 4 — Tomada de contas. Com o número ativo, o atacante age com urgência. Sabe que tem uma janela curta antes de você perceber. Vai para bancos digitais, WhatsApp, e-mail. Clica em “esqueci a senha” — os códigos chegam para ele via SMS. Em minutos, suas contas estão comprometidas. Transferências via Pix vão para contas de laranjas que já aguardavam o depósito.
Por Que o Brasil é Especialmente Vulnerável
O Brasil reúne fatores que criam um ambiente excepcionalmente favorável para o SIM swap:
Vazamentos massivos de dados. O vazamento de 2021 expôs dados de 220 milhões de CPFs — mais do que a população adulta do país. Isso significa que, estatisticamente, seus dados pessoais já estão disponíveis para atacantes. CPF, data de nascimento, endereço — as informações que as operadoras usam para verificar identidade já estão comprometidas para a maioria dos brasileiros.
Adoção massiva de bancos digitais. O Brasil tem uma das maiores taxas de adoção de banco digital do mundo. O Nubank tem mais de 100 milhões de clientes. Inter, C6, Next, PicPay, Mercado Pago — todos predominantemente mobile, com autenticação fortemente vinculada ao número de telefone. Uma única troca de chip bem-sucedida pode comprometer o acesso a todo o patrimônio financeiro digital de uma pessoa.
Processos de verificação historicamente frágeis. Antes das melhorias implementadas a partir de 2022, as operadoras brasileiras verificavam identidade principalmente com CPF e data de nascimento — dados que qualquer atacante com acesso a bases vazadas já possui. O processo de atendimento estava calibrado para facilitar a experiência do cliente, não para resistir a ataques sofisticados.
Concentração geográfica do crime. São Paulo, Rio de Janeiro e Belo Horizonte concentram mais de 70% dos casos formais de SIM swap reportados no Brasil — provavelmente pela concentração de vítimas com maior poder aquisitivo e maior uso de bancos digitais, que é o perfil mais rentável para os atacantes.
Mercado de dados ativo. Há um ecossistema organizado de coleta, venda e uso de dados para fraudes no Brasil, com grupos especializados em diferentes etapas do processo: coleta de dados, execução do SIM swap, lavagem via contas de laranjas. O crime é profissionalizado, não oportunista.
Resposta das Operadoras Brasileiras
O Que Mudou Desde 2022
A partir de 2022, com pressão da Anatel e aumento na visibilidade do problema, as operadoras implementaram melhorias significativas:
Senha de portabilidade (PIN de chip). A Claro foi pioneira em 2022, e as demais operadoras seguiram ao longo de 2022 e 2023. Essa senha adicional é exigida para qualquer solicitação de nova via de chip ou portabilidade — mesmo em loja física, com atendente humano. Sem a senha, o pedido não pode ser processado pelo sistema.
Este é o mecanismo de proteção mais eficaz disponível hoje porque atua diretamente no ponto de exploração do ataque: o processo de atendimento ao cliente. Com a senha de portabilidade ativa, um atacante que ligue para a operadora com todos os seus dados cadastrais ainda vai falhar — porque não tem a senha.
Período de carência pós-troca. Após uma troca de chip, algumas operadoras e bancos parceiros bloqueiam operações bancárias via SMS por 24 a 72 horas. Isso limita significativamente o dano imediato, mesmo que o SIM swap seja bem-sucedido.
Notificação por e-mail antes da troca. Algumas operadoras enviam e-mail de confirmação antes de processar a troca de chip. A eficácia depende de o e-mail estar acessível ao titular legítimo — se o atacante já comprometeu o e-mail, a notificação vai para ele.
Verificação biométrica presencial. Lojas próprias das operadoras implementaram biometria facial para solicitações presenciais. Lojas revendedoras independentes — onde muito do SIM swap presencial acontecia — têm aplicação variável.
Múltiplos fatores de verificação. Além do CPF e data de nascimento, algumas operadoras adicionaram verificações de conta (valor da última fatura, últimos números discados) que são mais difíceis de obter via dados vazados.
Como Ativar a Senha de Portabilidade (Faça Agora)
Esta é a ação mais importante deste guia. Leva menos de 10 minutos e é a defesa mais eficaz disponível contra SIM swap no Brasil hoje.
Claro: Ligue para *1052 (gratuito, 24h) ou acesse o app “Minha Claro”. Vá em Segurança > Senha de Portabilidade. Você vai criar uma senha de 6 a 8 dígitos que será exigida em qualquer solicitação de troca de chip.
Vivo: Ligue para *8486 ou acesse o app “Meu Vivo”. Busque por “Senha de Segurança do Chip” nas configurações de segurança. O processo é similar — crie uma senha que só você conhece.
TIM: Ligue para *144 ou acesse o app “Meu TIM”. Vá em Segurança > Senha do Chip. Siga as instruções para cadastro da senha.
Oi: Ligue para 1057 ou acesse o app “Minha Oi”. Procure por configurações de segurança de linha. O processo varia conforme atualizações do app.
Após ativar, anote a senha em local seguro offline — não no celular, não em app de notas na nuvem. Se você esquecer a senha de portabilidade e precisar trocar o chip por motivo legítimo, o processo de recuperação junto à operadora pode ser lento e exige comprovação de identidade presencialmente.
A senha de portabilidade é subestimada porque a maioria das pessoas nunca precisou trocar de chip de emergência. Mas quando você precisa — ou quando um atacante tenta — ela é a única barreira que a operadora controla. Ativar leva 5 minutos. Não ativar pode custar dezenas de milhares de reais.
Migrar 2FA de SMS Para Authenticator App
Por Que Isso É a Defesa Mais Importante
SIM swap compromete seu número de telefone. Se sua autenticação de dois fatores usa SMS, o atacante com controle do seu número recebe os códigos 2FA e a proteção se torna completamente inútil. O “segundo fator” vai direto para ele.
Authenticator apps — Google Authenticator, Authy, Microsoft Authenticator — geram códigos localmente no seu dispositivo usando um segredo criptográfico armazenado no app. Esses códigos não dependem da rede telefônica, não viajam via SMS, e não podem ser interceptados por SIM swap. Um atacante que controla seu número de telefone não tem acesso aos códigos TOTP.
Esta é a diferença fundamental: SMS 2FA protege contra roubo de senha. TOTP protege contra roubo de senha E contra SIM swap. A migração é simples na maioria dos serviços e leva menos de 5 minutos por conta.
Processo de migração:
- Acesse as configurações de segurança do serviço
- Procure “Autenticação de dois fatores” ou “2FA” ou “Verificação em duas etapas”
- Selecione “Aplicativo autenticador” ou “TOTP”
- Escaneie o QR code com Google Authenticator ou Authy no celular
- Confirme com o código gerado pelo app
- Desative o 2FA por SMS
Guarde os códigos de backup em local seguro — se perder o celular, você vai precisar deles.
Priorize por Criticidade
Não precisa migrar 30 contas de uma vez. Priorize por impacto:
Alta prioridade — Faça hoje:
- Conta Google/Gmail (gateway para recuperação de tudo mais)
- Apple ID (idem para usuários iOS)
- Banco digital principal (Nubank, Inter, C6, PicPay)
- WhatsApp — ative verificação em duas etapas com PIN forte (Configurações > Conta > Verificação em duas etapas)
- E-mail principal (Outlook, Yahoo, e-mail corporativo)
- Exchanges de criptomoedas (Binance, Coinbase, Mercado Bitcoin)
Média prioridade — Faça esta semana:
- Instagram, Facebook, Twitter/X
- Conta da Amazon
- PayPal, PagSeguro e outras carteiras digitais
- Contas de trabalho e serviços corporativos
Baixa prioridade — Quando tiver tempo:
- Serviços de streaming
- Fóruns e comunidades online
- Outros serviços que raramente usa
O Papel dos Números Virtuais na Proteção
Isolamento de Risco: O Princípio do Privilégio Mínimo
Cada serviço que você cadastrou com seu número pessoal é um serviço que pode ser comprometido via SIM swap. A lógica é simples: o atacante que controla seu número pode solicitar recuperação de senha em qualquer serviço que use aquele número como 2FA ou método de contato.
Usando número virtual para serviços não críticos, você isola seu número real — reduz o conjunto de serviços expostos em caso de SIM swap bem-sucedido.
Se um atacante realiza SIM swap no seu número pessoal, ele consegue acesso apenas aos serviços que você cadastrou com aquele número real. Os serviços cadastrados com números virtuais — Shopee onde você fez uma compra, Netflix onde testou o plano, forum onde participa — ficam completamente intocados, porque são vinculados a um número diferente em infraestrutura diferente.
Este é o princípio do “privilégio mínimo” aplicado à identidade digital: compartilhe seu número real apenas onde há necessidade concreta e justificada.
Número Virtual como 2FA em Serviços que Só Aceitam SMS
Para serviços que não suportam TOTP e aceitam apenas SMS como segundo fator, número virtual tem uma propriedade vantajosa: não está sujeito ao processo de portabilidade das operadoras brasileiras.
Um atacante não pode fazer SIM swap de um número virtual ligando para a Claro ou Vivo. São infraestruturas completamente separadas. Para comprometer um número virtual, o atacante precisaria comprometer a conta do serviço de números virtuais — um ataque diferente, mais complexo e muito menos provável.
A limitação é real e importante: se você perder acesso à conta do SMSCode, perde o número. Por isso, use números virtuais para serviços secundários e não críticos — não para sua conta bancária principal ou e-mail primário.
Como Usar Número Virtual na Prática
O SMSCode oferece números de mais de 200 países a partir de R$0,29. Para verificação de cadastro em serviços não críticos:
- Acesse o painel e selecione o serviço e país
- Obtenha o número virtual
- Use para cadastro no serviço
- Receba o código SMS no painel
- Complete a verificação
Após o cadastro, configure e-mail e TOTP como métodos de acesso e recuperação — assim, se o número virtual expirar, você ainda acessa a conta.
O Que Fazer Se Você For Vítima
Identificando o Ataque em Andamento
Os sinais são claros quando você sabe o que procurar:
- Seu chip perde sinal subitamente sem razão aparente — zero barras, sem dados, impossível ligar
- Ao tentar usar o celular, aparece mensagem de “sem serviço” ou “SOS” mesmo em área com cobertura
- Você recebe e-mails ou notificações de login em contas que você não fez
- O WhatsApp desconecta e pede novo código de verificação
- Você recebe SMS de redefinição de senha de serviços que você não acionou
Cada minuto conta. O atacante sabe que tem uma janela curta antes de você perceber e bloquear.
Ação Imediata — Primeiros 30 Minutos
1. Ligue para a operadora de outro telefone imediatamente. Use celular de familiar, colega ou telefone fixo. Informe que suspeita de SIM swap e peça bloqueio de emergência da linha. A maioria das operadoras tem protocolo para isso.
2. Acesse o internet banking pelo computador — não pelo celular comprometido. Verifique transações das últimas horas. Se houver transferências não autorizadas, acione imediatamente o canal de emergência do banco (números 0800 disponíveis 24h).
3. Mude a senha do e-mail principal pelo computador, se ainda conseguir acessar via TOTP ou senha salva. Com e-mail seguro, você pode usar recuperação de outras contas sem depender do número comprometido.
4. Notifique o banco sobre o possível comprometimento da linha, mesmo sem transações visíveis ainda. Solicite bloqueio preventivo de transações via PIX e TED.
5. Registre Boletim de Ocorrência. Presencialmente ou online (em SP: delegaciaeletronica.policiacivil.sp.gov.br). O BO é necessário para processos de ressarcimento com banco e operadora, e para eventual ação judicial.
Após a Estabilização
Com o imediato controlado, inicie o processo de recuperação e prevenção de recorrência:
- Ative a senha de portabilidade na operadora (se não tinha antes, ative agora)
- Migre 2FA para authenticator app em todos os serviços críticos
- Conteste transações bancárias fraudulentas junto ao banco (prazo: até 30 dias após o extrato com a transação)
- Solicite formalmente à operadora o histórico de solicitações de troca de chip nos últimos 90 dias
- Consulte advogado especializado em direito digital para avaliar ação contra a operadora (há precedentes de indenização)
Legislação e Responsabilidade das Operadoras
SIM swap é crime no Brasil. O enquadramento penal inclui:
- Fraude e estelionato: Art. 171 do Código Penal — pena de 1 a 5 anos de reclusão
- Acesso não autorizado a sistema informático: Lei 12.737/2012 (Lei Carolina Dieckmann) — acesso indevido a dados eletrônicos
- Violação da Lei Geral de Proteção de Dados (LGPD): Uso indevido de dados pessoais obtidos ilegalmente
As operadoras que permitem SIM swap por falha em seus processos de verificação têm sido responsabilizadas judicialmente. O argumento central em ações bem-sucedidas é que a operadora tinha obrigação contratual de verificar adequadamente a identidade do solicitante antes de processar a troca — e falhou nessa obrigação.
Para processar a operadora, é fundamental ter documentação completa:
- Boletim de Ocorrência (obrigatório — registre imediatamente)
- Protocolo de reclamação formal junto à operadora (registre logo após o incidente)
- Extratos bancários com transações fraudulentas identificadas, com data e hora
- Registro de reclamação no PROCON do seu estado e na Anatel
- Toda comunicação com a operadora sobre o incidente, preservada por escrito
FAQ
SIM swap é crime no Brasil?
Sim. SIM swap é tipificado como fraude e estelionato (Art. 171 do Código Penal), com penas de 1 a 5 anos. Pode enquadrar também crime de acesso indevido a sistema informático (Lei 12.737/2012). Registre Boletim de Ocorrência imediatamente se for vítima — é necessário para ressarcimento bancário e para eventual ação judicial contra a operadora.
Posso processar minha operadora por SIM swap?
Sim, há precedentes. Operadoras que permitem SIM swap por processo de verificação inadequado têm sido condenadas no Judiciário e no PROCON. Para ter boas chances na ação: BO registrado, protocolo de reclamação com a operadora, extratos com transações fraudulentas, e toda comunicação sobre o incidente documentada. Consulte advogado especializado em direito digital — em casos com dano documentado, as chances são favoráveis.
A senha de portabilidade realmente protege?
É a proteção mais eficaz disponível nas operadoras brasileiras hoje. Qualquer solicitação de troca de chip ou portabilidade — inclusive em loja física — exige essa senha. Não é inviolável (ataque interno à operadora poderia contornar em casos extremos), mas eleva significativamente a dificuldade do ataque para o nível onde a grande maioria dos atacantes desiste. Ativar leva 5 minutos e pode evitar perdas de dezenas de milhares de reais.
Número virtual me protege contra SIM swap?
Parcialmente — e de forma importante. Serviços cadastrados com número virtual não são afetados pelo SIM swap do seu número pessoal: são infraestruturas separadas que as operadoras não controlam. Isso reduz o dano potencial de um SIM swap bem-sucedido. Mas número virtual não substitui as proteções primárias: senha de portabilidade + TOTP para contas críticas. Use os dois: proteções primárias para o número real, e número virtual para reduzir o que está exposto ao número real.
Meu banco só aceita SMS como 2FA. O que faço?
Entre em contato com o banco e peça alternativas de autenticação — biometria pelo app, por exemplo. Bancos digitais como Nubank, Inter e C6 geralmente oferecem autenticação biométrica que não depende de SMS. Bancos tradicionais estão migrando. Enquanto isso: ative senha de portabilidade na operadora (mais importante), monitore o sinal do seu chip ativamente (queda súbita de sinal é alarme imediato), e considere manter saldo menor no banco digital com mais dependência de SMS. Reporte ao banco o risco — ter registro formal da solicitação ajuda em eventual ação de ressarcimento.