“Mais convincentes e difíceis de detetar”, deepfakes são uma ameaça crescente à segurança organizacional

Na atual era digital, caracterizada pelos desenvolvimentos rápidos da Inteligência Artificial (IA), as organizações enfrentam uma inédita e complexa ameaça: os deepfakes. Estas manipulações digitais, capazes de criar imagens, vídeos e áudios falsos de pessoas reais cada vez mais credíveis, são uma nova ferramenta no arsenal dos cibercriminosos e representam um perigo crescente para a segurança das organizações.

Bruno Castro, Fundador e CEO da VisionWare, começa por explicar que, nos últimos anos, a evolução do desenvolvimento de ciberataques assentes em deepfake “tem sido marcada por avanços significativos em termos de realismo e acessibilidade”. Atualmente, qualquer pessoa tem a seu dispor os algoritmos e ferramentas necessários para a criação de deepfakes, antes reservados apenas a especialistas na área da tecnologia, “a um custo irrisório e fáceis de manusear”.

Ameaça real às organizações

São várias as formas como os cibercriminosos se têm vindo a servir da tecnologia de deepfake para visar pessoas e organizações, resultando em implicações financeiras, reputacionais e de interrupção de serviços, de acordo com o relatório da VisionWare intitulado “A Anatomia de um Deepfake”.

Bruno Castro refere, em primeiro lugar, o facto de os deepfakes permitirem aos cibercriminosos “enganar sistemas biométricos e de reconhecimento facial” ou ainda “imitar pessoas reais (como um executivo, um cliente, um parceiro de negócio ou até um familiar)”. Os ataques de engenharia social representam, por esta razão, “a forma mais expressiva” do recurso malicioso a esta ferramenta, visto que as campanhas de phishing e spear phishing estão geralmente dependentes de falsificação de identidade.

Assim, com vista a atingir o seio corporativo, os cibercriminosos munem-se de ferramentas como deepfakes para criar “vídeos e áudios sintéticos do top management de uma organização a solicitar transferências financeiras”, tendo como objetivo “enganar os colaboradores e obter acesso não autorizado a recursos financeiros ou dados sensíveis”. Algumas das consequências mais impactantes, segundo o especialista em cibersegurança e análise forense, incluem a “usurpação de identidades, fraudes e extorsão, roubo de dados, até ao comprometimento de acessos a redes corporativas”.

A título de exemplo, Bruno Castro indica que os atores maliciosos podem fazer-se passar por indivíduos confiáveis de uma empresa através da criação de mensagens de áudio manipuladas do CEO ou outros executivos, para “solicitações urgentes de transações financeiras” ou “para induzir à revelação de informações confidenciais, inclusive, de clientes da organização”.

Além do risco financeiro, a reputação de uma organização, bem como dos próprios funcionários, também pode ser colocada em causa devido a ciberataques baseados em deepfake. Os cibercriminosos podem utilizar a tecnologia emergente para minar a credibilidade de uma empresa ou manipular a opinião pública através da criação de personificações altamente convincentes de “elementos da Administração de uma organização ou dos seus colaboradores a disseminar informações falsas ou comprometedoras”.

Os setores mais vulneráveis aos perigos dos ciberataques por deepfake são especialmente “todos aqueles que dependem fortemente da confiança pública e da credibilidade das suas comunicações, como o setor financeiro – banca e seguros, o político, jornalístico e de entretenimento”, frisa Bruno Castro. No entanto, qualquer organização que trabalhe com dados sensíveis pode cair vítima de ataques de deepfake, “na medida em que essas informações podem ser exploradas para ganhos financeiros ou mediáticos”.

Benefícios num mar de perigos

O deepfake é amplamente associado aos seus potenciais usos maliciosos e riscos subjacentes, mas a tecnologia emergente pode trazer “aplicações legítimas e benéficas para as organizações”, relembra Bruno Castro.

Neste sentido, a tecnologia de deepfake consubstancia-se como uma oportunidade para as empresas no que diz respeito a treinos de simulação e formações, diz, nomeadamente para “criar cenários realistas que ajudam os colaboradores a lidar com situações complexas, de forma segura e eficaz, e assim proporcionar uma aprendizagem personalizada”.

A par disto, os empreendedores podem utilizá-la como uma ferramenta criativa de “demonstrações de produtos cativantes, de maior impacto”, enquanto os profissionais de design e marketing podem “obter uma maior personalização, produtividade e criatividade nos seus vídeos”.

Uma empresa pode ainda implementar a tecnologia de deepfakes para garantir uma experiência de cliente personalizada e apelativa, demonstrando o compromisso da organização com a inovação. Na mesma ótica, esta ferramenta alicerçada em IA permite automatizar determinados aspetos do atendimento ao cliente, reduzindo o tempo de espera e aumentando a eficiência do serviço.

O desafio da deteção de deepfakes

À medida que os deepfakes se tornam mais acessíveis e realistas, a deteção de ciberataques ou esquemas fraudulentos baseados nesta ferramenta apresenta cada vez mais “desafios significativos”, muito devido à “constante evolução da tecnologia a um ritmo super acelerado”. 

Para Bruno Castro, “um dos principais obstáculos é a capacidade dos algoritmos de deep learning em criar deepfakes cada vez mais realistas, dificultando a distinção entre conteúdo real e falso”. 

As Generative Adversarial Network (GAN), refere, têm a capacidade de criar matérias sintéticas “praticamente indetetáveis mesmo para especialistas”. Atualmente, as ferramentas utilizadas para deteção de conteúdo deepfake, que estão ao dispor das organizações, ainda não são capazes de responder prontamente à ameaça crescente que a tecnologia representa, não possuindo “maturidade e eficácia suficiente”. Os detetores atuais, diz, “enfrentam desafios enormes, principalmente, devido a dados incompletos ou dispersos”.

“A maioria dos modelos de deteção só consegue identificar os cheapfakes, isto é, cópias pouco sofisticadas geradas através das manipulações mais simplistas, e naturalmente, mais baratas”, explica o Fundador e CEO da VisionWare. “Também os classificadores de deteção de conteúdo deepfake têm limitações que podem ser facilmente contornadas por indivíduos com conhecimento e motivação adequados”.

Desta forma, as organizações devem adotar abordagens complementares aos modelos de deteção de deepfake para aferir a autenticação do conteúdo, assim como “o desenvolvimento contínuo de técnicas de deteção e verificação de conteúdo gerado por IA”. Assim, existe um conjunto de técnicas que as empresas podem implementar, incluindo “a análise forense de vídeos, a verificação de autenticidade baseada em blockchain, e o recurso a redes neurais (método de IA que ensina computadores a processar dados de uma forma inspirada pelo cérebro humano) especializadas em deteção de manipulações de conteúdos de media”.

De acordo com o seu relatório sobre deepfakes, a VisionWare recomenda sete dicas úteis para ajudar a detetar deepfakes: incongruências na pele e em partes do corpo; sombras à volta dos olhos; padrões de pestanejo invulgares; brilho invulgar nos óculos; movimentos labiais incompatíveis ou irrealistas; coloração não natural dos lábios em relação ao rosto; e manchas irrealistas no rosto.

Preparação é chave

Com os avanços rápidos dos deepfakes e o contínuo desafio associado à sua deteção, a preparação das organizações contra ataques por deepfake torna-se crucial face aos riscos significativos que esta tecnologia pode representar.

Embora não exista uma “receita mágica” para garantir a segurança das suas infraestruturas, as organizações a nível global devem ter em consideração algumas ações preventivas. Bruno Castro destaca a importância do “investimento em tecnologias de monitorização, deteção e resposta” e na “autenticação avançada, através do fortalecimento da confirmação de identidade (biometria, autenticação de dois fatores, passwords fortes, modelo zero-trust) de forma a minimizar a possibilidade de usurpação de identidade”.

Para prevenir e mitigar ataques, monitorizar as tendências do cibercrime com recurso à tecnologia de deepfake pode ajudar as organizações na sua preparação, sendo igualmente essencial apostar na adoção de estratégias e políticas eficazes de cibersegurança e investir em investigação forense, acrescenta o especialista.

Em particular, Bruno Castro indica um conjunto de medidas cuja implementação pode ajudar as organizações a protegerem os seus sistemas, incluindo: a adoção “de um modelo contínuo de auditorias de cibersegurança que permita stressar a infraestrutura de segurança tal como os procedimentos internos”; a implementação de “autenticação de dois fatores, cópias de segurança regulares e seguros”; a introdução de um “mecanismo operacional de atualizações de segurança contínuas”; a implementação de um “modelo de controlo de acessos restrito até ao nível da micro segmentação interna”; a “monitorização proativa de comportamentos suspeitos ou maliciosos em tempo real”; e a “aplicação da conformidade com as regulamentações de proteção de dados e outros normativos do setor”.

Ainda mais, salienta-se a importância de desenvolver “uma cultura de cibersegurança e ciber higiene dentro da organização”, direcionada para a sensibilização e consciencialização de todos os colaboradores, “sem exceção”. É essencial, neste sentido, que sejam realizados “formações e treino contínuo relativamente a potenciais ciberataques baseados em engenharia social com a envolvência de tecnologia deepfake, saber como o detetar, e quais os indicadores que carecem de maior atenção, entre outros”, recorrendo a exemplos específicos com base em casos reais.

Perspetivas futuras

Os desenvolvimentos significativos no que respeita a tecnologia de inteligência artificial apontam para um futuro em que os deepfakes se tornem “ainda mais convincentes e difíceis de detetar”, projeta Bruno Castro. A crescente difusão de conteúdo deepfake, juntamente com o desafio persistente da deteção, “levantará questões sobre a autenticidade de qualquer conteúdo que encontraremos online e terá ainda o potencial de minar a confiança na informação tal como a compreendemos nos dias de hoje”.

Recentemente, o AI Act – o Regulamento para a Inteligência Artificial da União Europeia – foi formalmente aprovado pelo Parlamento Europeu, representando um “marco histórico” enquanto quadro jurídico pioneiro sobre a matéria; todavia, a nova lei “não impedirá totalmente o uso de deepfakes, mas tentará antes regulá-los por meio de obrigações de transparência impostas aos criadores”, adverte o especialista em cibersegurança.

Tendo em conta que o quadro legal europeu “não dá ainda resposta ao problema do deepfake”, prevê-se que, no futuro, a regulamentação de deepfakes “provavelmente envolverão a implementação de leis e regulamentos mais rigorosos e com penalidades mais severas para indivíduos ou organizações que utilizem deepfakes para atividades criminosas”.

Além disto, Bruno Castro espera que haja uma expansão na cooperação internacional com vista a combater os riscos trazidos pela tecnologia de deepfake, “até porque o AI Act é aplicável somente na União Europeia e a realidade é que os deepfakes transcendem fronteiras e afetam em simultâneo, várias jurisdições mundiais”, conclui o Fundador e CEO da VisionWare.