Cibersegurança na era dos deepfakes: proteger a confiança

Durante anos repetimos o mantra: “o ser humano é o elo mais fraco”. Investimos milhões em formação, awareness e simulações de phishing convencidos de que, se treinássemos as pessoas para “olhar com atenção”, estaríamos mais seguros. Essa era acabou.

A verdade tornou-se maleável

Num mundo em que alguns segundos de áudio permitem clonar a voz de um CFO e um modelo open-source consegue criar um rosto quase autêntico, em tempo real, a atenção humana tornou-se um risco operacional.

Se a nossa estratégia de segurança depende de um colaborador conseguir distinguir, numa videochamada, se o CEO é real ou um avatar gerado por IA, então a nossa estratégia já falhou. Se a identidade é o novo perímetro, os deepfakes são o novo cavalo de Tróia?

Continuar a tratar os deepfakes como um tema emergente, interessante, mas não prioritário, pode ser um erro. Não porque isto seja o apocalipse digital que os media adoram vender, mas porque os atacantes já ultrapassaram a fronteira da infraestrutura e entraram no território da confiança organizacional.

Já sabemos que não é “se” a organização será alvo de fraude - a pergunta é quando, e se vamos perceber a tempo.

Vamos desmistificar: isto não é apenas sobre vídeos hiper-realistas do CEO a pedir transferências bancárias - embora isso já esteja a acontecer, com taxas de sucesso preocupantes. O que existe hoje é um ecossistema criminoso em plena transformação, com adoção acelerada deste tipo de ferramentas, em ataques como:

• Identity Fraud: bancos, seguradoras e fintechs enfrentam tentativas diárias de abertura de contas com documentos “perfeitos”, gerados por IA. Dados reais (NIF, número de telefone, IBAN), combinados com identidades fictícias, que passam validações e tornam-se ideais para fraude financeira, crédito, etc.
• Voice Cloning em Engenharia Social: alguns segundos de áudio retirados de um vídeo institucional no YouTube. Resultado: uma chamada “urgente” ao departamento financeiro, com a voz exata do CEO ou CFO.

​Onde a deteção falha (e porque isso importa)

A tecnologia de deteção de deepfakes está, neste momento, dois passos atrás da tecnologia de criação. As abordagens atuais tentam detetar indicadores biométricos, com análises ao áudio e ao vídeo, através de micro-anomalias, iluminação ou inconsistências de pixéis.

Contudo, os modelos de Machine Learning que aplicamos para deteção são também usados na melhoria nos modelos.

A defesa contra deepfakes e fraudes de identidade exige uma abordagem radicalmente diferente: Trust, But Always Verify. Sem Exceções.

Implementem uma cultura de segurança saudável, onde validação de identidade é protocolo. Qualquer pedido sensível deve ser confirmado através de um canal alternativo pré-estabelecido, com um processo forte de verificação de decisões e confirmação multi-canal para decisões de alto impacto.

Confiar, mas verificar - sem exceções

Invistam em "Human Firewall” – desta vez, a sério. Não, não é mais um slide de PowerPoint sobre phishing. É treino prático, realista e contínuo. Simulações de ataques, exercícios de validação de identidade sob pressão e de Red Team, que testem não só tecnologia, como processos e pessoas.

Os deepfakes não são invencíveis. São apenas o próximo capítulo na eterna corrida entre ataque e defesa – a diferença é que, desta vez, a adaptação não é só tecnológica. É cultural. É estratégica. É de liderança.

As organizações que se vão defender melhor e adaptar a esta alteração de paradigma acelerado não serão as que adotaram a melhor ferramenta de deteção, mas sim as que tiverem processos onde verificar é reflexo e confiança é desenhada, não assumida.

Conteúdo co-produzido pela MediaNext e pela Claranet Portugal