Como funciona a Segurança da Nexo

A segurança em cripto é uma responsabilidade compartilhada. As plataformas implementam medidas — controles de infraestrutura, deteção de fraudes, criptografia — mas uma parte significativa do risco da conta pode vir do lado do usuário: senhas fracas, links não verificados, endereços que são trocados sem que ninguém perceba.

Este artigo cobre ambas as partes. O que a Nexo executa em segundo plano, o que os auditores independentes verificam e o que você mesmo pode habilitar para tornar sua conta significativamente mais difícil de comprometer.

O que é executado em segundo plano

Estes operam por padrão. Não há nada para configurar ou habilitar — eles estão ativos para cada conta, cada transação.

Mecanismo anti-golpe

Cada saque na Nexo passa por um mecanismo anti-golpe automatizado que analisa as transações em tempo real antes que os fundos saiam da plataforma. Se algo parecer estranho — um endereço associado a atividades de golpe conhecidas, um padrão de transação incomum, um destino que não corresponde ao comportamento anterior — você verá um aviso em linguagem simples explicando a preocupação. Sem jargões, sem avisos vagos. Em casos raros de alto risco, uma transação pode ser pausada brevemente para revisão.

O mecanismo é executado silenciosamente em segundo plano. A maioria dos usuários nunca o encontrará. Esse é o objetivo.

Criptografia

Os dados em trânsito e em repouso em toda a plataforma são protegidos com criptografia SSL AES de 256 bits — o mesmo padrão usado por instituições financeiras e infraestrutura de nuvem em grande escala globalmente.

Auditorias independentes

A infraestrutura da Nexo é auditada de forma independente em relação a uma pilha de estruturas de segurança reconhecidas internacionalmente, todas renovadas anualmente:

SOC 2 Tipo 2 — controles e processos de segurança operacional
SOC 3 — resumo público da auditoria SOC 2
ISO 27001 — gestão da segurança da informação
ISO 27017 — controles de segurança específicos para a nuvem
ISO 27018 — proteção de informações de identificação pessoal na nuvem
CSA STAR Nível 1 — garantia de segurança na nuvem

Elas são conduzidas por terceiros independentes de forma recorrente.

O que você pode habilitar

O lado da plataforma cobre a infraestrutura e as transações. O que ela não pode cobrir é o acesso à sua conta — isso depende de como você configurou as coisas. Esses recursos estão disponíveis para todos os usuários e levam minutos para serem configurados.

Autenticação de dois fatores (2FA)

A 2FA adiciona uma segunda etapa de verificação no login. Na Nexo, a mesma verificação — SMS, e-mail ou aplicativo autenticador — também é necessária em ações sensíveis: saques, edições do Livro de Endereços e alterações nas configurações de segurança. Assim, mesmo que alguém tenha sua senha, não poderá movimentar fundos ou alterar suas configurações sem o segundo fator.

Os aplicativos autenticadores (como o Google Authenticator ou o Authy) são mais fortes do que a 2FA baseada em SMS. O SMS é vulnerável a ataques de SIM swap, nos quais um invasor convence sua operadora de celular a transferir seu número para um SIM que ele controla. Se você estiver usando a 2FA por SMS, vale a pena gastar dois minutos para mudar para um aplicativo autenticador.

Para habilitar: vá para as configurações de Segurança e selecione seu método de 2FA preferido.

Observação importante: a 2FA reduz significativamente o risco de acesso não autorizado, mas não é uma garantia completa. Guarde seus códigos de recuperação em um lugar seguro — perder o acesso ao seu dispositivo de 2FA sem um backup pode bloquear o acesso à sua conta.

Código anti-phishing

Phishing — e-mails falsos que parecem ser da Nexo — é um dos vetores de ataque mais comuns em cripto. O código anti-phishing é uma sequência pessoal que você mesmo define e que aparece no rodapé de cada e-mail legítimo que a Nexo lhe envia. Se um e-mail que afirma ser da Nexo não contiver seu código, ele não veio da Nexo.

Para defini-lo: abra o aplicativo Nexo → toque em seu perfil → Segurança e Configurações → Código anti-phishing → insira um código de sua escolha.

Uma vez definido, trate qualquer e-mail da Nexo sem o seu código como suspeito — independentemente do quão convincente pareça.

Lista de endereços autorizados

Um dos vetores de ataque mais silenciosos em cripto é a troca de endereços — malware que substitui silenciosamente um endereço de saque copiado por um controlado por um invasor. Se você não verificar o endereço completo, caractere por caractere, antes de confirmar, talvez não perceba.

A lista de permissões de endereços bloqueia seus saques para endereços salvos no seu Livro de Endereços (até 500). Você também pode definir um atraso de Segurança Extra em endereços recém-adicionados — uma janela configurável antes que um novo endereço se torne utilizável para saques. Isso fecha a janela de swap: mesmo que um invasor obtenha acesso temporário à sua conta, ele não pode fazer um saque imediatamente para um novo endereço.

Para habilitar: vá para as suas configurações de Segurança e ative a Lista de Permissões de Endereços.

Validador de canais

Antes de interagir com qualquer endereço de e-mail, identificador de rede social ou URL que afirme ser da Nexo, você pode verificá-lo em nexo.com/channel-validator. Se não estiver no validador, não é um canal oficial da Nexo.

Isso é particularmente útil para redes sociais — contas falsas da Nexo no X, Telegram e Discord são comuns, e elas normalmente se passam por funcionários de suporte ou realizam campanhas promocionais falsas.

O que a Nexo nunca fará

Algumas coisas que vale a pena saber, porque sabê-las torna as tentativas de engenharia social mais fáceis de identificar:

A Nexo nunca pedirá sua senha ou código 2FA
A Nexo nunca pedirá que você autorize uma transação por chat, e-mail ou texto
A Nexo nunca lhe enviará um link de login por SMS

Se alguém que afirma ser da Nexo fizer qualquer uma dessas coisas, não é a Nexo. Você pode relatar atividades suspeitas para a equipe de suporte ao cliente em support.nexo.com/contact.

De onde realmente vem a segurança da sua conta

Nenhuma plataforma pode eliminar todos os riscos. O que as medidas acima fazem — tanto a infraestrutura do lado da plataforma quanto os recursos do lado do usuário — é reduzir a superfície de ataque e tornar sua conta significativamente mais difícil de ser comprometida.

A infraestrutura lida com o que os usuários não podem ver ou controlar. Os recursos do lado do usuário cuidam do que a plataforma não pode — porque nenhuma quantidade de segurança de backend impede um invasor que tenha suas credenciais, ou um usuário que clique em um link de phishing.

Configurar a 2FA através de um aplicativo autenticador, habilitar o código anti-phishing e ativar a lista de permissões de endereços leva menos de dez minutos. É a ação de segurança com maior retorno que a maioria dos usuários ainda não realizou.

Para uma visão mais completa das ameaças comuns e como se defender delas, consulte Ameaças de segurança comuns e como mitigá-las.

Perguntas frequentes

1. O que é o mecanismo anti-golpe e como ele funciona?

É um sistema automatizado que analisa cada saque em tempo real antes que os fundos saiam da plataforma. Se uma transação parecer suspeita — com base no endereço de destino, padrão da transação ou outros sinais — você verá uma explicação em linguagem simples. Em casos raros de alto risco, a transação pode ser brevemente pausada. Ele é executado por padrão, sem nada para configurar.

2. Qual é a diferença entre a 2FA por SMS e um aplicativo autenticador?

Ambos adicionam uma segunda etapa de verificação no login. A 2FA por SMS é vulnerável a ataques de SIM swap, nos quais um invasor convence sua operadora de celular a reatribuir seu número a um SIM que ele controla. Os aplicativos autenticadores geram códigos localmente no seu dispositivo e não estão vinculados ao seu número de telefone, tornando-os mais resistentes a esse tipo de ataque.

3. O que devo fazer se receber um e-mail suspeito que afirma ser da Nexo?

Verifique se ele contém seu código anti-phishing no rodapé — se não contiver, não veio da Nexo. Você também pode verificar qualquer endereço de e-mail, identificador de rede social ou URL em nexo.com/channel-validator. Relate mensagens suspeitas à equipe de suporte ao cliente da Nexo em support.nexo.com/contact.

4. A equipe da Nexo pode acessar minha conta sem minha permissão?

A Nexo nunca pedirá sua senha ou código 2FA, e nunca pedirá que você autorize transações por chat, e-mail ou texto. Se alguém que se diz ser do suporte da Nexo fizer qualquer uma dessas coisas, não é a Nexo.

5. O que é a lista de permissões de endereços e devo habilitá-la?

A lista de permissões de endereços restringe os saques a endereços que você pré-aprovou em seu Livro de Endereços. Ela também permite que você defina um atraso antes que os endereços recém-adicionados se tornem utilizáveis. Isso protege contra malware de troca de endereços e limita o que um invasor pode fazer com o acesso temporário à conta. Vale a pena habilitar se você tiver destinos de saque regulares.

Estes materiais são acessíveis globalmente, e a disponibilidade destas informações não constitui acesso aos serviços descritos, que podem não estar disponíveis em determinadas jurisdições. Estes materiais têm caráter meramente informativo e não constituem aconselhamento financeiro, jurídico, tributário ou de investimentos, nem oferta, solicitação, recomendação ou endosso para usar quaisquer Serviços da Nexo, e não são personalizados nem de qualquer forma adaptados para refletir objetivos de investimento, situação financeira ou necessidades específicas. Ativos digitais estão sujeitos a um alto grau de risco, incluindo, mas não se limitando a, dinâmicas voláteis de preços de mercado, mudanças regulatórias e avanços tecnológicos. O desempenho anterior de ativos digitais não é um indicador confiável de resultados futuros. Ativos digitais não são dinheiro nem moeda com curso legal, não são garantidos pelo governo ou por um banco central, e a maioria não possui ativos subjacentes, fluxo de receita ou outra fonte de valor. O julgamento independente com base em circunstâncias pessoais deve ser exercido, e a consulta a um profissional qualificado é recomendada antes de tomar qualquer decisão.

As medidas de segurança descritas neste artigo refletem a infraestrutura e os recursos da Nexo na data de publicação. A segurança é um campo em evolução, e nenhum sistema elimina todos os riscos. Os usuários são incentivados a se manterem informados e a assumir um papel ativo na proteção de suas contas.