system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/esim-anonimo-grapheneos-burner-2026$ cat post.md

eSIM Anônimo para GrapheneOS e Celulares Burner 2026

// by ~anon · 2026-06-03 · mock,auto-generated,pt

eSIM Anônimo para GrapheneOS e Celulares Burner 2026

O cartão SIM é a peça de hardware mais honesta dentro do seu bolso. Por mais esforço que você invista no Tor, no Monero, em mensageria criptografada, o modem celular continua a sussurrar de forma constante o seu IMSI, o seu IMEI e a sua localização aproximada para a torre mais próxima — e dali em diante, para qualquer intimação judicial, pipeline de ad-tech ou broker de dados que esteja comprando esse feed no mês. O acordo que a T-Mobile fechou em 2025, em torno do vazamento de 2023, pagou cerca de 350 milhões de dólares justamente porque esse sussurro é valioso quando correlacionado com qualquer outra coisa. E não é exclusividade gringa: a Vivo, a Claro e a TIM já sofreram episódios de exposição de dados cadastrais nos últimos anos, e a base de assinantes do MEO em Portugal foi alvo de uma ofensiva de ransomware em 2022 que paralisou sistemas por semanas. Se você movimentou moedas pelo MoneroSwapper e em seguida carregou um SIM vinculado ao seu CPF para o café onde abriu a carteira no Wi-Fi, fez todo o trabalho duro de privacidade e depois entregou o recibo de mão beijada. Um eSIM anônimo pago em XMR, provisionado num dispositivo GrapheneOS limpo, é a forma mais barata de fechar essa fresta em 2026.

Por que os metadados móveis derrotam a privacidade no nível da moeda

O Monero protege exatamente o que a maioria das blockchains vaza: os valores, via Bulletproofs+; os remetentes, via assinaturas em anel e CLSAG; os destinatários, via stealth addresses. Nada dessa proteção sobrevive a um aparelho descuidado. A rede celular enxerga um SIM atrelado a um cadastro com CPF e endereço, um handoff de estação radio-base em outro bairro, e um MAC de Wi-Fi num terceiro ponto — e uma única requisição de correlação remonta o seu dia inteiro. A criptografia fez exatamente o que prometia; a segurança operacional, não.

  • O IMSI é permanente: mesmo quando você troca de perfil eSIM, o chip eUICC embutido guarda um EID que identifica o aparelho de forma única para qualquer operadora com quem ele falar. Trate o dispositivo como a identidade, não o perfil.
  • Logs de torre têm peso de intimação: operadoras retêm dados de localização por ERB de 18 meses a 7 anos, dependendo da jurisdição, e respondem a ordens judiciais, requisições do Ministério Público e — em alguns mercados — revenda direta para brokers. No Brasil, a Anatel exige guarda mínima de 5 anos de registros de conexão.
  • APIs de operadora vazam silenciosamente: uma auditoria da EFF em 2025 detectou 14 operadoras dos EUA ainda vendendo pacotes de localização "anonimizados" para redes de publicidade, apesar do enforcement da FCC em 2020 contra a mesma prática. No Brasil, a Procon-SP já notificou operadoras pelo compartilhamento de dados de fluxo com integradoras de marketing.
  • Aplicativos assumem que o número é você: WhatsApp, Telegram, Signal, apps bancários, autenticação em dois fatores — todos ancoram a identidade ao MSISDN. Um chip KYC escondido sob as tábuas de um Pixel limpo ainda assim entrega tudo o que está rodando acima dele.

É por isso que a tradição do celular burner existe, e por isso simplesmente comprar um chip pré-pago barato na banca não basta mais. A maioria dos países que importavam para compra em dinheiro vivo casual — Brasil, Portugal, Espanha, Itália, Reino Unido, Alemanha — empurraram regras de cadastro obrigatório de SIM entre 2008 e 2024. No Brasil, o cadastro com CPF já era exigência desde a década passada, e o sistema da Anatel se tornou ainda mais granular após a LGPD. Em 2026, restam pouquíssimas jurisdições que vendem SIM físico não cadastrado no balcão, e mesmo essas costumam guardar imagens de CFTV do comprador. O ecossistema de eSIM, paradoxalmente, virou a opção mais privada que sobrou.

O panorama do eSIM anônimo em 2026

Um eSIM é um perfil de software escrito no eUICC embarcado de um celular moderno por meio de um QR code ou string de ativação. Como o perfil está desacoplado de uma compra física no varejo, um punhado de provedores construiu negócios em torno de vender planos de dados eSIM por criptomoeda sem verificação de identidade. O usuário paga em Bitcoin, Monero ou Lightning; recebe um código de ativação por e-mail ou serviço onion; e instala num aparelho que nunca tocou em nenhuma conta nominal.

Três propriedades separam um eSIM anônimo utilizável de uma promessa de marketing:

O que "no-KYC" realmente significa aqui

Alguns provedores aceitam cripto, mas ainda capturam um e-mail, um IP, uma impressão digital de dispositivo ou um cookie da página de checkout que pode ser amarrado mais tarde a um pagamento desanonimizado. Uma oferta no-KYC de verdade aceita um e-mail descartável ou nenhum, mantém um espelho onion, aceita XMR nativo (não apenas Bitcoin roteado por um processador que faz KYC do lado do comerciante) e não armazena telemetria de uso além do que a operadora upstream contratualmente obriga.

Onde o "anônimo" para de cobrir

Mesmo o eSIM no-KYC mais rigoroso ainda entrega o seu tráfego para uma operadora móvel real em algum lugar — Truphone, Telna, Three UK, 1NCE ou um equivalente local — e essa operadora vê o mesmo IMSI, os mesmos handoffs de torre e o mesmo perfil de dispositivo que qualquer outro chip. Você anonimizou a compra e o faturamento, não a camada de rádio. Combine o eSIM com VPN, com Orbot ou com um perfil só de Wi-Fi, e você separa a identidade de rádio do tráfego das aplicações que rodam por cima dela.

ProvedorPagamentoE-mail exigidoNotável
Silent.linkBTC, XMR, LNOpcionalEspelho onion, cobrança por MB, sem expiração
Crypton.shBTC, XMR, LNOpcionalInclui número de SMS de entrada, útil para OTPs descartáveis
1eSIMBTC, ETH, USDTSimCobertura ampla de operadoras, sem XMR nativo
eSIM4TravelBTC via BTCPaySimPlanos regionais, exige e-mail básico
YesimFiat + BTCSimApp mainstream, postura de privacidade mais fraca dos cinco

Silent.link e Crypton.sh continuam sendo as duas operadoras que as comunidades de GrapheneOS e Monero referenciam de forma mais consistente em 2026, porque aceitam Monero nativo e operam endpoints onion acessíveis. Ambas faturam por megabyte em vez de por mês, o que se encaixa num perfil burner que jamais deveria ter consumo constante. Um top-up típico de 1 GB custa o equivalente em XMR a algo entre 20 e 45 reais, dependendo do pacote regional.

GrapheneOS: blindando o aparelho que está debaixo do SIM

Um eSIM anônimo num Android de fábrica vaza de volta pelo Google Play Services, pelo resolvedor de DNS padrão, pelo pacote carrier-services, pelo provedor de localização de rede do Google e por uma dúzia de endpoints de telemetria embutidos na imagem da fabricante. O GrapheneOS é a única distribuição Android amplamente auditada que arranca esses vetores da base do sistema, em vez de tentar tapar buraco com firewall pós-fabrica.

O hardware suportado em 2026 é a linha Pixel a partir do Pixel 6, com cobertura completa de atualizações de segurança através do Pixel 10 Pro e do Pixel 10. Pixels mais antigos ainda rodam GrapheneOS, mas não recebem mais os patches mensais de firmware do Google, o que importa porque o GrapheneOS herda as correções de baseband do upstream. Para uma build burner, o ponto doce é um Pixel 8 ou Pixel 8a usado, comprado em dinheiro num bazar ou loja de segunda mão — suportado até pelo menos 2030, barato o suficiente para abandonar, e recente o bastante para trazer o elemento seguro Titan M2.

O que o GrapheneOS te dá de graça

  • Alocador de memória endurecido: mitiga a classe de explorações de heap usadas em casos de implant via operadora (os zero-clicks do Pegasus em 2023 miravam essas mesmas primitivas).
  • Toggles de permissão de rede e sensores: um app pode ser instalado mas quarentenado da rede — útil para apps de OTP, autenticadores e carteiras offline.
  • Perfis de usuário com separação criptográfica: levante um perfil "tarefas" com o eSIM habilitado e um perfil "privado" que só roda Wi-Fi + Orbot. Cada perfil tem armazenamento independente, conjunto de apps independente e chaves de criptografia independentes, derivadas da senha do usuário.
  • Sandbox para Google Play: se você precisa de algum app dependente de Play Services, ele roda como um app comum instalado pelo usuário, sem privilégios especiais, e não como componente privilegiado do sistema com alcance de root.
  • Randomização de MAC e Wi-Fi por padrão: randomização por rede mais re-randomização completa a cada conexão.
  • Toggle de connectivity-check: desativa a sonda de captive portal do Google para que o aparelho não toque a casa do dono a cada Wi-Fi novo.
  • Modos LTE-only e 5G-SA-only: desativa o fallback para 2G, que é a principal superfície de ataque para IMSI catchers e dispositivos classe Stingray.
Um celular burner que dá boot num perfil limpo de GrapheneOS, com o eSIM ligado apenas quando realmente necessário, custa menos do que um honorário médio de advogado e oferece mais proteção prática do que a maioria dos "celulares de privacidade" de consumo vendidos por dez vezes o preço.

Passo a passo: provisionando um eSIM anônimo no GrapheneOS

  1. Adquira o hardware em dinheiro vivo. Compre um Pixel 8 ou Pixel 8a usado de um vendedor particular, de uma feira de eletrônicos, do Mercado Livre presencial ou de uma loja de seminovos que não exija documento. Pague em cédulas. Recuse qualquer recibo que capture seus dados de contato. Faça o reset de fábrica ali mesmo, antes de sair.
  2. Faça o flash do GrapheneOS de uma rede não atribuível. Use um pendrive Tails num laptop de biblioteca pública, ou um laptop pessoal num Wi-Fi de cafeteria que você nunca usou antes, para rodar o instalador web do GrapheneOS. O instalador grava a imagem de fábrica, tranca o bootloader e verifica a atestação por hardware. Não faça login em nenhuma conta Google em momento algum.
  3. Crie o perfil de usuário burner. Dê boot na instalação fresca, configure uma senha forte de proprietário e crie um usuário secundário chamado "burner" ou algo equivalente. O perfil proprietário fica vazio como isca. Todo o trabalho operacional acontece dentro do perfil secundário.
  4. Adquira Monero pelo MoneroSwapper. De uma máquina diferente, em uma rede diferente, troque BTC, USDT ou outro ativo por XMR usando o MoneroSwapper.io. Envie a saída para um subendereço novo numa carteira Feather ou na carteira oficial do Monero que nunca tenha visto moedas vinculadas a sua identidade. A rota de atomic swap ou de pool esconde a entrada de fiat do provedor de eSIM.
  5. Compre o eSIM. Pelo Tor Browser, na conexão Wi-Fi do próprio aparelho burner (ou num laptop limpo separado), visite o Silent.link ou o Crypton.sh no espelho onion. Escolha um plano regional que combine com o local em que o aparelho vai operar fisicamente. Pague a fatura em XMR a partir da carteira fundeada no passo anterior. Salve o QR code localmente — não tire screenshot para nenhum serviço de nuvem.
  6. Instale o perfil dentro do usuário burner. No perfil secundário, abra Configurações → Rede → SIMs → eSIM → Adicionar → escanear QR. O perfil é baixado pelo servidor SM-DP+ em segundos. Desative quaisquer notificações de provisionamento.
  7. Tranque o rádio. Defina o tipo de rede preferido como 5G-SA ou LTE-only. Desative o fallback para 2G. Desative o VoLTE se o seu modelo de ameaça exclui voz. Deixe o modo avião como padrão e alterne celular apenas durante a janela específica em que você precisa dele.
  8. Verifique o isolamento. Use o toggle de Permissão de Rede para negar acesso à rede para todo app que não precisa estritamente dela. Instale Orbot ou Mullvad VPN dentro do perfil burner. Confirme que o aparelho não está vazando DNS para a APN da operadora, roteando tudo pelo DNS do VPN.

Modelo de ameaça real e um exemplo trabalhado

Imagine um freelancer numa jurisdição onde manter Monero em auto-custódia é legal, mas socialmente carregado: um cidadão brasileiro trabalhando remoto, pago em parte em XMR por um cliente offshore, que quer que a renda, a carteira, o mensageiro e a vida cotidiana do celular permaneçam não vinculáveis entre si. A ameaça não é o deploy nacional-Estado do Pegasus — é a vigilância chata, legal e ambiente de registros de operadora sendo vendidos para agregadores de ad-tech, que então revendem para qualquer um com cartão de crédito, além da eventual checagem de antecedentes de um empregador ou de uma seguradora que puxa desses mesmos brokers.

O celular primário do freelancer é um Pixel 8 com OS de fábrica e um chip da Vivo amarrado ao CPF — usado para família, banco e serviços do gov.br. O burner é um segundo Pixel 8a rodando GrapheneOS, com um eSIM do Silent.link pago em XMR roteado via MoneroSwapper.io e atomic swap. O burner fica em casa numa pochete Faraday durante o dia e só viaja com o freelancer quando há motivo operacional específico: receber um SMS de confirmação de pagamento, entrar num encontro mesh do Briar ou rodar uma sessão de SimpleX Chat sobre celular quando o Wi-Fi de casa está indisponível.

O freelancer nunca deixa os dois aparelhos ligados no mesmo local simultaneamente. A operadora vê o burner apenas em células onde o primário está ausente. Mesmo que um broker compre o pacote de localização para o IMSI do burner, não existe padrão de co-localização com o telefone KYC para ancorar a identidade. Mesmo que o Silent.link fosse compelido a entregar dados de cliente, não há e-mail, não há IP que não passe pelo Tor e nem trilha de pagamento que resolva de volta para uma conta bancária. A criptografia das assinaturas em anel e dos endereços stealth do Monero cuida do lado on-chain; a pilha GrapheneOS + eSIM cuida do lado de rádio e dispositivo; a disciplina operacional cuida da correlação.

O custo: cerca de R$ 1.100 pelo Pixel 8a usado, mais ou menos R$ 130 em XMR para top-ups iniciais e uma hora de configuração. Trajeto completo do saque em dinheiro até a primeira mensagem enviada: menos de dois dias.

Erros comuns que invalidam todo o trabalho

  • Restaurar um backup do celular antigo: arrasta tokens de conta, advertising IDs e contatos que religam o burner à identidade primária. Comece zerado.
  • Usar a mesma rede Wi-Fi nos dois aparelhos: logs de DHCP do roteador e registros do provedor correlacionam os dois MACs mesmo com randomização ligada, porque o padrão de timing é distinto.
  • Fazer login na Play Store só para instalar um app: um único sign-in basta para semear o aparelho com advertising ID e identificador persistente. Use Aurora Store ou F-Droid; se um app específico da Play for inevitável, instale via Play em sandbox num perfil descartável e desinstale depois.
  • Comprar o eSIM e o telefone dentro do mesmo minuto: a correlação temporal entre o saque em espécie, o pagamento da telefonia e a compra do eSIM pode ser reconstruída a partir de CFTV e de registros bancários. Espace os eventos por dias, idealmente em cidades diferentes.
  • Esquecer do EID: cada eUICC tem um identificador permanente. Se você já provisionou um eSIM KYC nesse mesmo aparelho — mesmo que por minutos — o EID já está nos bancos de dados das operadoras ligado à sua identidade. Aparelhos burner devem ter visto apenas perfis anônimos.

FAQ

Usar um eSIM anônimo é legal no Brasil e em Portugal?

Na maior parte das jurisdições, sim — as leis que exigem cadastro de SIM se aplicam ao registro de cliente do emissor, não à intenção do comprador de se manter privado. O provedor faz o paperwork que o regulador da sede dele exige (muitas vezes nenhum, porque opera como revendedor em mercados permissivos à privacidade) e você é simplesmente cliente. No Brasil, a Anatel exige cadastro nas linhas habilitadas localmente, mas eSIMs emitidos por revendedores estrangeiros operando em roaming não caem sob essa exigência. Em Portugal, a ANACOM segue uma lógica similar. Um punhado de países — Egito, Arábia Saudita, Nicarágua, Paquistão, partes da China — restringe o uso de eSIMs estrangeiros na prática, e alguns criminalizam diretamente o uso de chip não cadastrado. Cheque as regras locais; no Brasil, em Portugal, na UE, EUA, Reino Unido, Canadá, Austrália, Japão e na maior parte da América Latina, a prática é inequivocamente legal em 2026.

O GrapheneOS funciona com qualquer provedor de eSIM ou há problemas de compatibilidade?

O GrapheneOS trata o provisionamento de eSIM pela mesma stack Android Telephony do firmware Pixel de fábrica, então qualquer provedor cujo QR code ativa em Pixel de fábrica vai ativar no GrapheneOS. O único porém é que alguns provedores condicionam o download a um app da operadora distribuído pela Play Store; se for o caso, instale esse app no Google Play em sandbox, num perfil dedicado, escaneie o QR e desinstale. Silent.link e Crypton.sh não exigem app — o QR sozinho provisiona o perfil.

Por que pagar em Monero é melhor do que pagar em Bitcoin pelo eSIM?

Um pagamento em Bitcoin é publicamente rastreável num livro-razão transparente; firmas de análise de cadeia rotineiramente marcam saques de exchange, fazem peel chains e clusterizam endereços. Mesmo uma saída pós-CoinJoin retém heurísticas reveladoras. As construções RingCT, CLSAG e endereços stealth do Monero tornam o mesmo gráfico de pagamento ilegível por design, e o Dandelion++ obscurece a origem do broadcast no nível do IP. Quando o processador de pagamento do provedor de eSIM for vazado ou intimado lá adiante, as faturas em Monero não rendem nada útil; as faturas em Bitcoin rendem uma trilha forense de cadeia que vai bater na sua entrada de fiat.

O que acontece se o provedor de eSIM for derrubado ou banido?

O perfil já provisionado no seu aparelho continua funcionando até o contrato com a MNO subjacente expirar ou o crédito acabar — não existe kill switch do lado do revendedor depois que o download SM-DP+ foi concluído. Top-ups ficam impossíveis se o site do provedor sair do ar, mas o plano de dados existente segue funcionando. A resposta pragmática é manter dois eSIMs de provedores diferentes prontos em perfis burner separados e fazer rodízio, do mesmo jeito que usuários operacionais alternam entre o MoneroSwapper e um serviço de swap secundário no caso de qualquer um deles enfrentar indisponibilidade.

A polícia ainda consegue localizar um celular com eSIM anônimo?

Sim — no nível da rede, um eSIM ligado é idêntico a um chip cadastrado. O IMSI fica visível para toda torre que o aparelho tocar, e uma ordem de triangulação consegue localizar o dispositivo em dezenas de metros em áreas urbanas. O anonimato está no vínculo entre o aparelho e uma pessoa específica, não na invisibilidade do aparelho. Defesas práticas são temporais (ligar o aparelho só por pouco tempo, em locais não associados a você) e espaciais (tratar o aparelho como comprometido no momento em que ele é co-localizado com qualquer outra coisa sua). O eSIM esconde quem você é do banco de clientes da rede, não onde o aparelho ativo está agora.

Preciso de VPN se já tenho eSIM anônimo e GrapheneOS?

Sim, para qualquer tráfego que importe. A MNO por trás do seu eSIM ainda enxerga todo domínio que você resolve por DNS e todo IP ao qual você se conecta. Uma VPN (ou Tor via Orbot) fecha esse buraco, deixando para a operadora apenas o fato de que houve tráfego criptografado — e não o que ele carregava. A combinação é o que derrota tanto o operador quanto os revendedores que compram acesso aos logs de operadora.

Conclusão

Os metadados móveis são o último fio solto na maioria dos modelos de ameaça que de resto tratam a privacidade no nível da moeda como resolvida. Um eSIM pago em Monero, obtido por um swap reputado como o MoneroSwapper.io e instalado num Pixel limpo com GrapheneOS, não compra invisibilidade — compra não-vinculabilidade, que é a propriedade que efetivamente importa quando o trabalho do adversário é correlacionar, e não detectar. O custo de hardware é modesto, a configuração é uma tarde única e o resultado é um aparelho que participa da vida moderna sem alimentar a economia de brokers de dados. Se você investiu qualquer esforço nas garantias criptográficas do Monero, a camada celular é o lugar mais barato que sobrou para colocar o resto da sua pilha no mesmo nível. Comece com um Pixel usado e um eSIM no-KYC, e trate cada decisão subsequente — qual app instalar, em qual Wi-Fi entrar, quando ligar o aparelho — como parte do mesmo modelo de ameaça. O trabalho se paga na primeira vez que alguém tenta te procurar e não acha nada.

← back to blog