Um novo cenário de risco começa a preocupar especialistas em segurança: smartphones modernos já são capazes de ler, copiar e até emular cartões baseados na tecnologia MIFARE Classic, amplamente utilizada em sistemas de transporte público e controle de acesso. A descoberta acende um alerta para cidades e empresas que ainda utilizam essa tecnologia considerada obsoleta e vulnerável.

De acordo com a análise, modelos recentes de smartphones — especialmente de fabricantes chineses — já conseguem interagir diretamente com cartões RFID do tipo MIFARE 1.0. Isso significa que, sem a necessidade de hardware especializado, um usuário pode ler os dados de um cartão, replicá-los e utilizar o próprio celular como se fosse o cartão original.

A cadeia de ataque não é nova, mas se tornou significativamente mais acessível. Historicamente, a clonagem desses cartões exigia dispositivos específicos, como leitores RFID dedicados e cartões regraváveis adquiridos no mercado paralelo. Agora, com a evolução dos smartphones e o suporte a tecnologias NFC mais avançadas, todo esse processo pode ser realizado em poucos minutos diretamente pelo celular.

O problema central está na própria arquitetura do MIFARE Classic. Desenvolvido originalmente para aplicações simples, como identificação de produtos, o padrão não foi projetado com foco em segurança robusta. Ele utiliza mecanismos de criptografia considerados fracos, com chaves pequenas e facilmente quebráveis — uma limitação já conhecida há mais de duas décadas.

Na prática, isso abre espaço para fraudes. Um atacante pode, por exemplo, copiar um cartão de transporte com saldo carregado e replicá-lo em outro dispositivo. Isso permite a utilização simultânea de múltiplas cópias do mesmo cartão, gerando prejuízos diretos para operadores de transporte. Embora sistemas de bilhetagem consigam detectar inconsistências posteriormente — como o uso simultâneo do mesmo cartão em locais diferentes —, a fraude pode ser explorada por horas antes do bloqueio.

Além do transporte público, o impacto se estende a outros setores. Cartões de acesso utilizados em hotéis, empresas e sistemas de controle físico também podem ser afetados, já que muitos utilizam a mesma tecnologia RFID com níveis de segurança similares.

Outro fator agravante é o modelo de operação offline desses sistemas. Em muitos casos, especialmente em transporte público, a validação do saldo e das transações ocorre localmente, sem comunicação em tempo real com servidores centrais. Isso dificulta a detecção imediata de fraudes e amplia a janela de exploração.

Especialistas alertam que a vulnerabilidade do MIFARE Classic não é uma novidade. Desde os anos 2000 já existem recomendações para migração para padrões mais seguros, como o MIFARE DESFire (2.0), que incorpora criptografia mais robusta e mecanismos avançados de autenticação. No entanto, o alto custo de substituição de infraestrutura — incluindo leitores e validadores — tem retardado essa transição em diversas cidades.

Com a popularização dessa nova capacidade em smartphones, o risco deixa de ser restrito a grupos técnicos especializados e passa a ser acessível a um público muito mais amplo, elevando o potencial de fraude em larga escala.

O cenário reforça uma tendência crítica na cibersegurança: vulnerabilidades antigas podem se tornar ameaças reais novamente quando novas tecnologias reduzem a barreira de exploração. Nesse caso, o avanço dos smartphones está transformando um ataque antes complexo em algo trivial — com impactos diretos no mundo físico e financeiro.