Proteja-se da reciclagem de números de telefone

A reciclagem de números de telefone ocorre quando operadoras reassinam um número inativo a outro cliente. Isso permite que o novo titular receba mensagens de verificação e recuperação destinadas ao antigo dono, facilitando sequestro de contas e impersonação. Antes de desativar ou trocar de número, remova-o de todas as contas, migre apps de mensagens pelo método oficial e prefira métodos de recuperação sem SMS. Use a lista de verificação e o playbook abaixo para minimizar riscos.

Por que este assunto importa

Termos-chave

• Reciclagem de número: reassociação de um número de telefone inativo a um novo assinante.
• Período de carência: tempo em que a operadora mantém o número sem reatribuir, para permitir desassociação de serviços.

Importante

Este guia explica riscos e passos práticos. Ele serve para usuários individuais, equipes de TI e pequenas empresas. Seguir os passos reduz risco de tomar conta de contas e vazamento de informação por SMS.

Como a reciclagem de números é perigosa

Números de telefone são recursos finitos. Operadoras reciclam números inativos. Isso cria riscos reais de segurança. Um novo titular pode receber códigos de verificação e SMS de recuperação ligados a contas do antigo dono. Com isso, é possível invadir contas, confirmar serviços e receber dados sensíveis.

Muitos serviços pedem telefone para verificação e recuperação. Alguns serviços, como aplicações de mensagem que usam o número como identificador, dependem exclusivamente do número para funcionar. Se você desativa um número sem remover a associação das suas contas, o assinante que receber o número poderá acessar serviços vinculados a ele.

A principal mitigação das operadoras é um período de carência, geralmente entre 45 e 90 dias ou mais. Durante esse intervalo, a operadora não reatribui o número. Esse tempo dá ao antigo titular a chance de desconectar serviços. Alguns serviços também consideram a inatividade como sinal para excluir contas. Por exemplo, o WhatsApp exclui contas após cerca de 120 dias de inatividade. No entanto, muitos serviços não usam esse critério ou não o têm.

Depois da reciclagem, o novo titular pode impersonar o antigo, usar o SMS para recuperar contas e receber comunicações privadas. Atacantes pesquisam números reciclados cruzando listas expostas em vazamentos ou analisando blocos sequenciais de números para identificar alvos valiosos.

Medidas gerais de proteção

• Desassocie o número de todas as contas antes de desativá-lo.
• Migre ou exclua contas de apps de mensagens pelo método oficial.
• Evite depender de SMS para recuperação e 2FA quando possível.
• Notifique contatos importantes da troca de número.
• Se quiser manter o número, mantenha-o ativo com recargas ou pagamento em dia.

A seguir há passos práticos, checklists e um playbook detalhado.

Passo a passo: desassociar o número de todas as contas

Objetivo: remover seu número de todos os serviços que podem enviar códigos de verificação ou mensagens sensíveis.

1. Inventário inicial

   • Liste serviços essenciais: banco, e‑mail principal, redes sociais, dois principais provedores de mensagens.
   • Pense em serviços secundários: e‑commerce, utilitários, contas governamentais, provedores de saúde.

2. Pesquisar pelo número no e‑mail

   • Faça login no seu e‑mail principal.
   • Busque o número entre aspas ou com separadores para reduzir falsos positivos, por exemplo: 09991234567.
   • Marque mensagens de confirmação, notificações e faturas que contenham o número.

3. Verificar gerenciador de senhas

   • Abra o cofre do gerenciador de senhas.
   • Procure entradas que contenham campo telefone.

4. Checar logins sociais e conexões

   • No Google, visite a página de apps conectados para ver serviços com acesso.
   • No Facebook, revise Apps e Websites.

5. Atualizar contato em serviços críticos

   • Em bancos e provedores de pagamento, atualize o telefone pessoalmente ou via canal autenticado.
   • Para serviços que não permitem remover o telefone, abra um chamado de suporte para registrar a alteração.

6. Registre evidência

   • Salve capturas de tela das alterações.
   • Anote datas e protocolos de atendimento.

Nota

Encontrar todas as contas é a parte mais difícil. Use as dicas acima e repita a busca periodicamente durante o período de transição.

Migrar ou excluir contas em apps de mensagens

Apps que usam número como identificador exigem migração pela interface oficial. Siga as instruções do app para trocar número ou excluir conta. Isso evita que dados ou perfil sejam reutilizados pelo novo assinante.

Exemplo prático

• No WhatsApp, abra Configurações → Conta e escolha Mudar número ou Apagar minha conta.

Siga o processo oficial. Não dependa de soluções improvisadas como apenas desinstalar o app.

Cancelar mensagens promocionais e limpar assinaturas

Mensagens promocionais expõem atividades e pistas sobre sua identidade. Faça o seguinte:

• Responda com STOP ou UNSUBSCRIBE quando for válido.
• Procure na mensagem instruções ou link de cancelar inscrição.
• Em contas online, desmarque a opção de promoções nas preferências.
• Remova seu número de sites de corretores de dados (data brokers) quando possível.

Importante

Nem todos os remetentes respeitam pedidos por SMS. Para mensagens persistentes, use suporte oficial do serviço para remover o número.

Notificar contatos importantes

Mesmo após a troca, seu número antigo estará salvo no telefone de outras pessoas. Elas podem contatar o novo titular acreditando ser você. Envie mensagens pessoais para contatos-chave avisando da mudança, especialmente colegas de trabalho, instituições financeiras e contatos profissionais.

Manter o número ativo para evitar reciclagem

Se você não quer fazer todo o processo de desassociar contas, mantenha o número ativo:

• Pré‑pago: recarregue periodicamente e faça uso básico como chamadas e dados.
• Pós‑pago: mantenha a fatura em dia.

Operadoras podem ter regras diferentes sobre inatividade. Consulte seu provedor para entender o ciclo de carência.

Evite recuperação por número e SMS para 2FA

Risco principal: invasão via recuperação SMS. Alternativas mais seguras:

• Use e‑mail de recuperação com um e‑mail secundário seguro.
• Prefira passkeys quando disponíveis — método sem senha baseado em autenticação forte.
• Use TOTP (apps de autenticação) ou chaves FIDO2/USB/NFC para 2FA.
• Prefira notificações push autenticadas por app que não dependam de número.

Observação

SMS é considerado um método fraco de 2FA e está sendo progressivamente descontinuado em alguns serviços.

Playbook: checklist passo a passo antes de desativar um número

Use este checklist para uma desativação segura.

• Fazer inventário de contas e serviços.
• Procurar número em e‑mail e gerenciador de senhas.
• Atualizar telefone em bancos e serviços críticos.
• Migrar ou apagar contas de apps de mensagens via método oficial.
• Configurar métodos de recuperação alternativos (e‑mail, passkeys).
• Desativar SMS como método principal de 2FA quando possível.
• Cancelar newsletters e promoções.
• Notificar contatos importantes.
• Documentar as alterações com capturas e protocolos.

Fluxo de decisão para ação rápida

flowchart TD
  A[Vou trocar ou desativar número] --> B{Número em serviços críticos?}
  B -- Sim --> C[Atualizar banco e serviços essenciais agora]
  B -- Não --> D{Tem apps de mensagem vinculados}
  D -- Sim --> E[Migrar ou deletar contas via app]
  D -- Não --> F[Remover número de contas abertas]
  C --> G[Substituir SMS por passkeys/TOTP]
  E --> G
  F --> G
  G --> H[Notificar contatos e documentar]
  H --> I[Fim]

Papel dos atacantes e técnicas observadas

Atacantes procuram números reciclados por dois caminhos comuns:

• Cruzamento com vazamentos de dados para identificar contas associadas a um número.
• Mapeamento de blocos sequenciais de números para encontrar números recentemente liberados.

Táticas de ataque incluem receber códigos de recuperação via SMS, solicitar suporte técnico com informações sociais e interceptar comunicações.

Quando a estratégia falha: contramedidas rápidas

Se um número já foi reciclado e você suspeita de fraude:

1. Alerte bancos e provedores de serviços críticos imediatamente.
2. Troque senhas e remova métodos de recuperação comprometidos.
3. Solicite que serviços bloqueiem tentativas de recuperação por SMS.
4. Registre ocorrências em delegacia se houver fraude financeira.
5. Considere relatório de identidade fraudulenta com bureaus de crédito.

Níveis de maturidade para proteção contra reciclagem de números

• Básico: notificar contatos e atualizar contas essenciais.
• Intermediário: migrar apps de mensagem, usar gerenciador de senhas e TOTP.
• Avançado: adotar passkeys, chaves de segurança FIDO2, e processos de desligamento formal para funcionários.

Checklists por função

Para usuário individual

• Atualize bancos e e‑mail.
• Migre WhatsApp/Signal/Telegram pelo app.
• Configure TOTP ou passkey.
• Notifique contatos importantes.

Para administrador de TI

• Procedimento padrão para desligamento de funcionários que inclua desvincular números.
• Inventário de contas por funcionário.
• Fornecer tokens de hardware ou passkeys corporativas.
• Registrar e auditar a desativação.

Para pequenas empresas

• Use números dedicados para serviços críticos.
• Documente clientes que usam SMS como canal de recuperação.
• Configure suporte para clientes que perderam número.

Aspectos de privacidade e GDPR

Números de telefone são dados pessoais sensíveis sob muitas legislações de privacidade. Na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) exige tratamento responsável de dados pessoais. Recomendações práticas:

• Remover números antigos de bases de dados quando o titular pedir.
• Informar clientes sobre como atualizar contatos.
• Minimizar uso de número para funções desnecessárias.

Caixa de fatos e parâmetros úteis

• Período de carência típico das operadoras: geralmente 45 a 90 dias, mas varia por país e operadora.
• Exemplo de limpeza automática: alguns serviços excluem contas após ~120 dias de inatividade.

Esses prazos são indicativos. Consulte sua operadora e serviços para valores exatos.

Critérios de aceitação

Para considerar que a migração foi bem sucedida:

• O número antigo não consta mais em configurações de recuperação dos serviços críticos.
• Apps de mensagem foram migrados ou apagados pelo método oficial.
• Contatos importantes foram notificados.
• Evidências das alterações foram salvas.

Glossário rápido

• Passkey: credencial moderna sem senha, baseada em chaves criptográficas e compatível com padrões FIDO.
• TOTP: código temporário gerado por app autenticador, expira em curtos intervalos.

Modelos e templates úteis

Template de mensagem para notificar contatos

Prezados,

Estou mudando de número de telefone. Meu novo número é [novo número]. Por favor atualizem seu contato e não enviem informações sensíveis para o número antigo.

Obrigado, [Seu nome]

Testes e critérios de verificação

• Verifique login em serviços sem usar SMS.
• Peça a um contato para ligar para seu novo número e confirmar que a identidade bate.
• Tente recuperar senha em serviços que você atualizou para confirmar que SMS não chega mais ao número antigo.

Resumo final

A reciclagem de números é um risco concreto e subestimado. Antes de desativar um número, faça um inventário de contas, migre apps de mensagens pelo método oficial, substitua SMS por métodos mais seguros e notifique contatos importantes. Para empresas, formalize o processo no desligamento de colaboradores e audite as mudanças.

Principais ações: desassociar números, adotar passkeys/TOTP, documentar e notificar.

Extras

Sugestão de publicação social

Título para rede social: Proteja suas contas antes de trocar de número Descrição curta: Saiba como reciclagem de números permite invasões por SMS e o que fazer para prevenir perdas de conta.

Fim do guia