Um novo alerta de cibersegurança começa a preocupar especialistas e operadores de transporte: smartphones modernos já são capazes de ler, copiar e até emular cartões RFID baseados na tecnologia MIFARE Classic, amplamente utilizada em sistemas de bilhetagem eletrônica e controle de acesso no Brasil.
A descoberta evidencia fragilidades antigas dessa tecnologia, considerada obsoleta do ponto de vista de segurança digital. Segundo análises recentes, alguns smartphones — especialmente modelos mais avançados com suporte ampliado a NFC — conseguem interagir diretamente com cartões MIFARE 1.0 sem necessidade de equipamentos especializados. Na prática, isso permite que um usuário leia os dados do cartão, replique as informações e utilize o próprio celular como substituto do cartão original.
Historicamente, a clonagem de cartões RFID exigia dispositivos específicos, como leitores dedicados e cartões regraváveis vendidos no mercado paralelo. Com a evolução dos smartphones, porém, esse processo se tornou muito mais acessível, podendo ser realizado em poucos minutos diretamente no aparelho celular.
O principal problema está na arquitetura do próprio padrão MIFARE Classic. Desenvolvido originalmente para aplicações simples de identificação, o sistema utiliza mecanismos de criptografia considerados frágeis pelos padrões atuais. As chaves criptográficas empregadas possuem baixa complexidade e já são conhecidas pela comunidade de segurança há mais de duas décadas.
Essa limitação abre espaço para diferentes tipos de fraude. Em sistemas de transporte público, por exemplo, um atacante poderia copiar um cartão com saldo válido e replicá-lo em outros dispositivos, permitindo uso simultâneo de múltiplas cópias. Embora plataformas modernas consigam identificar inconsistências posteriormente — como o uso do mesmo cartão em locais distintos —, a exploração pode ocorrer durante horas antes do bloqueio definitivo.
O impacto também vai além da mobilidade urbana. Sistemas de controle de acesso utilizados em hotéis, empresas, condomínios e ambientes corporativos frequentemente utilizam tecnologias RFID similares, ampliando o potencial de exploração dessas vulnerabilidades no mundo físico.
Outro fator crítico é a operação offline de muitos sistemas de bilhetagem. Em diversas cidades, as validações acontecem localmente nos validadores, sem sincronização imediata com servidores centrais. Isso dificulta a detecção em tempo real e aumenta a janela disponível para exploração das fraudes.
Especialistas em segurança destacam que os riscos envolvendo o MIFARE Classic não são novidade. Desde os anos 2000, pesquisadores recomendam a migração para padrões mais modernos, como o MIFARE DESFire, que incorpora criptografia robusta e mecanismos mais avançados de autenticação. Entretanto, o alto custo para substituição de leitores, validadores e infraestrutura tem retardado essa transição em diversos sistemas públicos e privados.
Com a popularização dessa capacidade em smartphones, a ameaça deixa de ser restrita a grupos técnicos especializados e passa a atingir um público muito mais amplo, elevando significativamente o risco de fraudes em larga escala.
O caso reforça uma tendência cada vez mais comum no cenário da cibersegurança: vulnerabilidades antigas podem voltar a representar grandes ameaças quando novas tecnologias reduzem drasticamente a barreira técnica de exploração. Neste caso, o avanço dos smartphones transformou um ataque antes complexo em algo potencialmente trivial — com impactos financeiros e operacionais diretos no mundo real.
