Sua empresa ativou MFA em todas as contas, seguiu as boas práticas e mesmo assim teve uma conta corporativa comprometida. Como? A resposta incomoda: o MFA funcionou perfeitamente — e o atacante entrou mesmo assim. Em 2026, ataques como adversary-in-the-middle (AiTM) e MFA fatigue contornam exatamente os métodos de MFA que a maioria das empresas usa: SMS, código OTP e push de aprovação. Este artigo explica por que o MFA tradicional não é mais suficiente, sem cair no erro oposto de dizer que MFA não serve para nada — ele continua essencial — e o que adotar como próxima camada de defesa.

MFA continua importante — mas a régua mudou

Antes de qualquer coisa, um alerta: não remova o MFA da sua operação. Ele ainda barra a esmagadora maioria dos ataques automatizados de roubo de credenciais. Tirar o MFA é voltar à era da senha única e abrir a porta para credential stuffing, phishing em massa e brute force. O problema é outro: o MFA tradicional foi desenhado para um cenário de ameaça que mudou. Em 2025, mais da metade dos comprometimentos investigados começou com credenciais roubadas — e atacantes direcionados já tratam o MFA por SMS, OTP e push como um obstáculo contornável, não como uma barreira definitiva. A régua subiu. O que protegia em 2020 já não protege contra um adversário focado em 2026.

Como os atacantes contornam o MFA em 2026

Existem várias técnicas em uso ativo. Três delas concentram a maior parte dos incidentes.

1. Adversary-in-the-Middle (AiTM): o ataque que vence o MFA “por dentro”

Esta é a mudança mais importante. Em vez de criar uma página falsa que captura sua senha para usar depois, o atacante coloca um proxy invisível entre você e o site real. O fluxo é assustadoramente normal:
  1. Você vê a página de login real da Microsoft ou do Google.
  2. Você digita sua senha real.
  3. Você aprova o desafio de MFA real no seu celular.
  4. Tudo funciona — mas cada interação passou pela infraestrutura do atacante.
No momento em que o site legítimo emite o token de sessão (o cookie que prova que você autenticou), o atacante o captura. A partir daí, ele acessa sua conta de qualquer lugar — sem precisar da sua senha nem do MFA novamente. Seu MFA funcionou. Sua conta foi comprometida. Os ataques AiTM cresceram de forma acentuada no último ano, impulsionados por kits de phishing comerciais que tornam a operação barata e acessível mesmo para atacantes de baixo nível técnico.

2. MFA fatigue (push bombing): cansar o usuário até o “sim”

Aqui o atacante já tem a senha válida (de um vazamento ou phishing) e dispara dezenas de notificações push em sequência — muitas vezes de madrugada, às vezes acompanhadas de uma ligação falsa do “suporte”. O usuário, exausto ou confuso, aprova uma para o incômodo parar. Foi exatamente assim que a Uber foi invadida em 2022: o MFA trabalhou como projetado; o ser humano cedeu.

3. SIM swapping e roubo de token de sessão

No SIM swapping, o atacante convence a operadora a transferir seu número para o chip dele — e todo código SMS passa a chegar nas mãos erradas. É por isso que SMS como segundo fator é frágil para contas sensíveis. Já o roubo de token de sessão (via cookies ou tokens OAuth roubados) permite reaproveitar uma sessão já autenticada, ignorando o login por completo. Como esses ataques geram um evento de autenticação bem-sucedido, ferramentas que só monitoram logs de falha não os detectam.

Por que isso está acontecendo agora?

  • Identidade virou o novo perímetro: com nuvem e SaaS, o atacante não precisa invadir a rede. Basta comprometer uma identidade corporativa válida para acessar e-mail, documentos e sistemas internos.
  • Barreira de entrada despencou: kits de phishing AiTM são vendidos prontos. Lançar uma campanha sofisticada hoje custa pouco e exige pouca técnica.
  • IA otimiza o ataque: atacantes usam automação para identificar o melhor horário de disparo e o momento em que o usuário tende a aprovar prompts sem pensar.
  • O elo humano é o alvo: AiTM e MFA fatigue não quebram a criptografia — exploram o comportamento. Por isso treinamento e tecnologia precisam andar juntos.

A resposta: MFA resistente a phishing + defesa em camadas

A boa notícia é que existe um nível de autenticação que neutraliza justamente esses ataques. A chave está em uma diferença técnica: o MFA resistente a phishing usa criptografia de chave pública vinculada ao domínio legítimo. O segredo nunca é digitado nem enviado a um servidor — então um site falso, mesmo via proxy, não consegue completar a autenticação.
  • Chaves FIDO2 / WebAuthn: chaves de segurança físicas, o padrão-ouro contra AiTM. A validação criptográfica confirma o domínio real — um proxy não consegue forjá-lo.
  • Passkeys: a mesma lógica FIDO2, mas em formato mais prático, ligadas ao dispositivo do usuário.
  • Windows Hello for Business e autenticação por certificado: alternativas resistentes a phishing já integradas ao ecossistema Microsoft.
Mas trocar o fator não basta. A defesa precisa ser em profundidade:
  • Acesso Condicional baseado em risco: bloquear ou exigir reautenticação em logins anômalos (IP, geografia, dispositivo desconhecido).
  • Governança de tokens e sessões: reduzir tempo de vida de sessão e monitorar comportamento pós-login, já que o token roubado é o objetivo do AiTM.
  • Bloqueio de protocolos legados: desativar autenticação básica e protocolos antigos que ignoram MFA.
  • Detecção comportamental por identidade: baselines por usuário detectam o que o log de falhas não mostra.
  • Treinamento contínuo: AiTM e MFA fatigue exploram o usuário — simulações e conscientização fecham o elo humano.
Esse é o cerne de uma arquitetura Zero Trust: nunca confiar por padrão, verificar sempre. Vale aprofundar em como o Microsoft Entra ID protege identidade e acesso corporativo e em como construir uma estratégia de segurança de identidade para proteger contas e acessos. Para ambientes Microsoft 365 — o alvo mais atacado do mundo — o nosso guia para proteger o Microsoft 365 contra phishing e malware detalha as camadas complementares ao MFA.

Perguntas frequentes

Devo desativar o MFA já que ele pode ser contornado?

Não, jamais. Remover o MFA aumenta drasticamente o risco de comprometimento e ainda gera problemas de conformidade. O caminho é manter o MFA e evoluir para métodos resistentes a phishing.

SMS como segundo fator ainda serve?

Apenas para cenários de baixo risco. Para contas corporativas e privilegiadas, o SMS é frágil devido ao SIM swapping e deve ser substituído por autenticador, passkey ou chave FIDO2.

Passkeys e chaves FIDO2 são realmente imunes a phishing?

São resistentes a phishing porque a autenticação é vinculada ao domínio legítimo por criptografia. Um site falso não consegue completar o handshake, o que neutraliza o AiTM. Nenhum controle é “imune” a tudo, por isso a defesa em camadas continua necessária.

Como sei se minha empresa sofreu um bypass de MFA?

Sinais incluem logins de IPs ou dispositivos desconhecidos, acessos de geografia incomum, prompts de MFA suspeitos e mudanças em cookies de sessão. Como o evento de autenticação é “bem-sucedido”, a detecção exige análise comportamental, não só monitoramento de logs.

Conclusão: MFA é o piso, não o teto

MFA não morreu — ele virou o requisito mínimo. Em 2026, a pergunta deixou de ser “temos MFA?” e passou a ser “que tipo de MFA temos, e o que existe ao redor dele?”. Empresas maduras já migram para autenticação resistente a phishing, acesso condicional baseado em risco e governança de identidade. A InfoB ajuda a diagnosticar o seu ambiente — especialmente Microsoft 365 e Entra ID — e a implementar a próxima camada de defesa antes que o próximo incidente faça o diagnóstico por você. Fale com nossos especialistas e avalie a maturidade da sua autenticação.