Bloqueio RFID: O que ele realmente protege (e o que ele não protege)
Se você comprou uma carteira com bloqueio RFID ou um daqueles cartões finos com bloqueio RFID que se encaixam em um leitor de cartões nos últimos três ou quatro anos, parabéns: você está protegido contra um método de fraude que deixou de funcionar praticamente na época em que o chip do seu cartão se tornou padrão. O marketing diz que ladrões podem roubar dinheiro da sua conta através do tecido. O marketing estava certo sobre a física das ondas de rádio, mas errado sobre os cartões do outro lado da linha. A ideia é intuitiva. Seu cartão contactless envia dados pelo ar, um estranho com um leitor escondido pode interceptar esses dados e seu dinheiro desaparece. É o tipo de modelo de ameaça que o cérebro aceita facilmente porque segue as regras do roubo físico que já conhecemos. O problema é que o cartão de pagamento moderno do outro lado dessa conexão de rádio não se comporta da maneira que o marketing pressupõe.
Este artigo explica o que era, de fato, a clonagem de cartões RFID, o que o protocolo sem contato EMV mudou e o que está crescendo atualmente nas fraudes por NFC. Spoiler: o tipo de fraude que está crescendo é algo que nenhuma carteira consegue impedir.
Como o skimming de RFID deveria funcionar
As famosas demonstrações aconteceram aproximadamente entre 2009 e 2013. Pesquisadores como Pablos Holman e Kristin Paget subiam aos palcos da Defcon e do TED, seguravam uma caixa preta perto do bolso de alguém e retiravam um clone funcional de um cartão de crédito. Os vídeos das conferências viralizavam. Uma década de marketing de carteiras, capas de celular e porta-passaportes nasceu naqueles minutos.
Os cartões clonados nessas demonstrações eram o que os especialistas em pagamentos chamam de RFID equivalente à tarja magnética. Eles seguiam a primeira geração de cartões sem contato, como o programa original Chase Blink nos Estados Unidos, entre 2005 e 2013. O cartão transmitia, por meio de um link de rádio de curto alcance, essencialmente os mesmos dados codificados em sua tarja magnética: o número da conta principal, a data de validade, o nome do titular do cartão em muitos casos e o código de verificação estático do cartão. Um dispositivo de clonagem com uma antena ligeiramente maior conseguia ler tudo isso através de tecido ou couro fino a poucos centímetros de distância. Os dados capturados eram suficientes para codificar um clone funcional em uma tarja magnética em branco e usá-lo em qualquer estabelecimento comercial que ainda aceitasse transações por aproximação.
A razão técnica pela qual isso funcionou é que os cartões usavam o padrão ISO 14443, o ramo de curto alcance da identificação por radiofrequência (RFID), projetado para proximidade em torno de dez centímetros. Os demonstradores ampliaram esse alcance com antenas maiores e fontes de alimentação limpas. Etiquetas de proximidade que usam o padrão ISO 15693, como as encontradas em livros de bibliotecas e etiquetas de inventário de armazéns, podem ser lidas a até setenta centímetros de distância. Os cartões de pagamento nunca seguiram esse padrão. Mas a impressão que ficou com o público foi a de um único número: os cartões podem ser lidos do outro lado de uma sala. Essa impressão estava errada mesmo em 2010. E está muito mais errada agora.
Fico pensando em como esse medo persistiu. Os cartões daquelas demonstrações famosas praticamente não existem mais. A indústria de pagamentos evoluiu. A categoria de produtos criada para se defender contra esses cartões, não.
Por que o EMV eliminou a ameaça? O bloqueio RFID foi vendido para impedir isso.
O que acabou com os ataques de skimming equivalentes à tarja magnética não foram carteiras melhores. Foi o chip EMV e, mais especificamente, a versão contactless do EMV que vem em todos os cartões Visa, Mastercard, American Express e Discover emitidos nos últimos anos.
Eis o que acontece quando você encosta um cartão contactless moderno em um leitor. O cartão e o terminal concordam com um contador de transação exclusivo para aquela transação específica. O chip do cartão usa uma chave secreta, embutida na fabricação e nunca transmitida, para acionar uma etapa de criptografia que calcula um criptograma único chamado ARQC, o Criptograma de Solicitação de Autorização. O leitor envia o ARQC, juntamente com alguns outros campos, para o banco emissor para aprovação. Se um dispositivo de clonagem de cartões estiver próximo ao seu bolso e capturar a mesma transação, ele obterá o ARQC, o número da conta principal, a data de validade e pouco mais. Sem CVV2, o código de três dígitos no verso do cartão. Sem PIN. Sem dados da faixa magnética. Sem valor de verificação do cartão que possa ser reutilizado.
Qual o problema em usar novamente um ARQC capturado? O contador avançou. A próxima transação precisa de um novo criptograma com o próximo valor do contador. O sistema de autorização do emissor rejeitará a repetição. Os dados clonados são inúteis para fins de clonagem do cartão ou para uma venda presencial normal.
Para tornar a assimetria concreta, veja o que um leitor RFID passivo consegue extrair de um cartão EMV sem contato durante uma única aproximação, em comparação com o que um clone funcional realmente precisaria.
| Campo | Capturado por meio de leitura RFID de EMV | É necessário clonar ou reproduzir. |
|---|---|---|
| Número de conta principal (PAN) | Sim | Sim |
| Data de validade | Sim | Sim |
| Nome do Titular | Às vezes | Às vezes |
| Criptograma ARQC | Sim (uso único, com contador) | Não (deve ser um novo para a próxima transação) |
| CVV2 (três dígitos no verso do cartão) | Não | Sim, para a maioria dos pagamentos sem a presença do cartão. |
| ALFINETE | Não | Sim, para saques em caixas eletrônicos. |
| Dados completos da faixa magnética, trilha dois | Não | Sim, para clonar em um cartão somente para tarja magnética. |
| chave secreta do cartão | Não (nunca sai do chip) | Sim, para gerar qualquer ARQC válido. |
Vale a pena analisar os números que comprovam isso. A EMVCo, entidade que administra o padrão EMV, relata que 96,20% de todas as transações presenciais com cartão no mundo utilizavam o chip no quarto trimestre de 2024. Cerca de 72% de todos os cartões emitidos são compatíveis com EMV. Nos Estados Unidos, a Visa informou que os comerciantes que concluíram a atualização para o chip viram o valor das fraudes com cartões falsificados cair 76% entre dezembro de 2015 e dezembro de 2017. Essa não é uma tendência passageira. O chip está eliminando completamente a justificativa econômica para a clonagem de cartões presencial.
Existe uma exceção específica que vale a pena mencionar. Um número de conta principal e a data de validade capturados podem, por vezes, ser testados em estabelecimentos comerciais que não utilizam autenticação 3DS ou não verificam o CVV2. Isso representa um problema real. E não se trata de um problema exclusivo da tecnologia RFID. Os mesmos números vazam constantemente por meio de violações de segurança, páginas de phishing e clonagem de cartões em processos de finalização de compra online. Uma carteira digital com bloqueio não resolve esses problemas.
Os produtos de bloqueio RFID para números de fraude sem contato nunca mostram a você.
Quem compra carteiras com bloqueio RFID quase nunca vê os números reais de fraudes, porque a categoria de fraude contra a qual as carteiras são anunciadas não é a que está perdendo dinheiro.
| Fonte | Ano | Figura |
|---|---|---|
| Relatório Anual de Fraudes do Departamento de Finanças do Reino Unido 2025 | 2024 | No Reino Unido, as perdas com fraudes por aproximação chegam a 41,1 milhões de libras, a primeira queda anual desde 2020. |
| Finanças do Reino Unido | 2024 | O total de fraudes com cartões não autorizados no Reino Unido foi de 572,6 milhões de libras. |
| Derivado | 2024 | A fraude por aproximação representa aproximadamente 7,2% de todas as fraudes com cartões no Reino Unido. |
| Finanças do Reino Unido | 2024 | A fraude em transações sem a presença do cartão representa cerca de 70% de todas as fraudes com cartões, totalizando mais de 400 milhões de libras. |
| Documento de engajamento da FCA | 2025 | A taxa de fraude por aproximação é de 1,3 pence por cada 100 libras gastas por aproximação, em comparação com 6 pence por cada 100 libras em todas as transações com cartão não autorizadas. |
| FCA / Computer Weekly | 2024 | Transações sem contato no Reino Unido: 18,9 bilhões, um aumento de 3,4% em relação ao ano anterior, com valor médio de 15,86 libras. |
| Análise do FICO US Card Skimming 2025 | 2025 | O órgão americano de combate à fraude afirma explicitamente que não pode isolar a clonagem de cartões RFID como uma categoria de prejuízo separada. |
Leia a última linha duas vezes. O motivo pelo qual não há um valor amplamente divulgado em dólares para as perdas com skimming de RFID nos Estados Unidos é que as pessoas que contabilizam as fraudes com cartões não conseguem encontrar um número significativo para relatar. Elas isolam o skimming em caixas eletrônicos e bombas de gasolina porque esses deixam um dispositivo físico para trás. O skimming de RFID, na forma vendida aos consumidores nos vídeos da Defcon, não aparece nesses cálculos.
Em resumo, as perdas documentadas por skimming passivo de RFID em cartões contactless EMV modernos são estatisticamente indistinguíveis de zero. A Consumer Reports, a AARP, diversos especialistas em segurança, incluindo Roger Grimes da KnowBe4, o Identity Theft Resource Center, o Chase e a Visa, todos afirmaram o mesmo em publicações.
O Banco da Reserva Federal de Kansas City estudou a implementação do chip nos Estados Unidos em um relatório sobre sistemas de pagamento de 2018 e descobriu que a fraude com cartões presenciais em estabelecimentos habilitados para chip caiu drasticamente após a conclusão da transição, com as taxas de falsificação diminuindo enquanto as taxas de fraude sem a presença do cartão aumentavam em compensação, à medida que os criminosos seguiam o caminho de menor resistência para os canais online. Essa migração é o fato central da fraude com cartões na década de 2020. A clonagem de cartões, em todas as suas formas, tornou-se uma pequena e cada vez menor fatia de uma categoria já reduzida de perdas com cartões presenciais. A clonagem por aproximação representa uma parcela ainda menor dessa pequena fatia.
Vale a pena destacar mais um dado. O limite para pagamentos por aproximação no Reino Unido foi aumentado de 25 libras para 100 libras em 2021. Em seguida, a Autoridade de Conduta Financeira (FCA) sinalizou em 2025 que esse limite seria removido a partir de março de 2025, e que cada emissor definiria seus próprios limites. Se a clonagem passiva de cartões por aproximação fosse um vetor de perda significativo, um aumento de cinco vezes na exposição por transação teria alterado os números. Mas não alterou. A fraude por pagamentos por aproximação diminuiu ano a ano em 2024, apesar dos limites mais altos e do maior número de transações. O protocolo está funcionando corretamente.
A verdadeira ameaça NFC que sua carteira não consegue bloquear.
Enquanto a indústria de bloqueio RFID respondia à pergunta de 2012, os atacantes já estavam em outro patamar. O golpe por NFC que mais cresce atualmente não envolve um estranho perto do seu bolso.
Em agosto de 2024, a empresa de segurança ESET publicou uma pesquisa sobre um malware para Android chamado NGate. O ataque ocorre da seguinte forma: a vítima é enganada por phishing, geralmente por meio de uma mensagem de texto que alega ser do seu banco. Ela instala o que acredita ser uma atualização de segurança bancária. O aplicativo falso pede que ela verifique seu cartão físico, aproximando-o brevemente da parte traseira do telefone. O malware lê o cartão através do chip NFC do telefone e transmite os dados, em tempo real, para o telefone de um atacante em outro país. O atacante se aproxima de um caixa eletrônico com o telefone na mão e saca dinheiro como se o cartão da vítima tivesse sido usado corretamente. A ESET documentou a prisão de um suspeito que roubou cerca de seis mil e quinhentos euros de três vítimas em um curto período.
Esse foi o primeiro caso amplamente divulgado. No primeiro semestre de 2025, a telemetria da ESET mostrou um aumento de aproximadamente 35 vezes nas detecções de ataques de retransmissão NFC em comparação com o segundo semestre de 2024. A técnica agora está em uso ativo. Ela funciona contra cartões contactless EMV modernos, porque o protocolo faz o que deveria: o cartão é aproximado, o criptograma é atualizado e o banco emissor vê uma transação aparentemente normal.
Uma capa com bloqueio RFID não oferece nenhuma proteção contra isso. O cartão é usado voluntariamente pela vítima, em seu próprio telefone, após a instalação do aplicativo malicioso. A blindagem de rádio ao redor da carteira não tem relação com a superfície de ataque.
O que realmente protege contra esse tipo de ataque é muito mais difícil de monetizar como um produto físico. É preciso reconhecer a mensagem de phishing, não instalar aplicativos a partir de links e tratar qualquer solicitação para aproximar seu cartão para verificação como o alarme que é. Nada disso cabe em uma carteira de vinte e cinco dólares da Amazon.
Onde a tecnologia de bloqueio RFID ainda conquista seu espaço
A versão honesta da história não é que o bloqueio RFID seja inútil. É que a questão dos cartões de pagamento é o ponto fraco do produto. Os itens realmente vulneráveis a RFID em muitas carteiras são todos, exceto os cartões bancários.
Uma breve lista. Muitos hotéis ainda utilizam cartões-chave antigos com as famílias de protocolos HID iClass e MIFARE Classic de 13,56 MHz, ambos já comprometidos em pesquisas públicas e passíveis de clonagem por qualquer pessoa com um leitor barato. Crachás de acesso a edifícios, especialmente em sistemas corporativos mais antigos, frequentemente utilizam os mesmos protocolos defeituosos. Etiquetas de bibliotecas seguem a norma ISO 15693, que possui o maior alcance de leitura, e seus identificadores são facilmente vazados. Alguns passaportes biométricos antigos apresentavam controles de acesso básicos fracos e podiam ser clonados para obtenção do conteúdo da página de dados. Cartões de fidelidade, cartões de acesso para academias e cartões de transporte com valor armazenado são geralmente fáceis de clonar ou replicar.
Se você carrega vários desses cartões junto com seus cartões bancários, uma capa protetora básica tem uma função real e específica. Ela não tem função alguma para o seu Visa contactless.
A assimetria é o aspecto que o marketing de carteiras digitais evita. Dois problemas diferentes são agrupados na mesma apresentação de produto, e o mais fácil de explicar é justamente aquele que deixou de existir há uma década.
Uma maneira prática de pensar sobre isso: faça uma lista dos itens na sua carteira. Para cada item, pergunte-se qual padrão de rádio ele usa e se esse padrão possui alguma camada criptográfica adicional. Cartões bancários, desde a implementação do chip EMV, possuem. A maioria dos crachás de acesso a edifícios, chaves de hotéis e etiquetas de bibliotecas não. A capa protetora protege tudo o que não possui a camada criptográfica. Ela não pode melhorar o que já a possui. Essa é toda a história do bloqueio RFID, contada sem a propaganda.
