O termo, inglês, tornou-se (demasiado) familiar. Os deepfake – uma tecnologia que combina a aprendizagem profunda e a falsificação para gerar conteúdos sintéticos, como vídeos ou áudios manipulados – tornaram-se numa das ameaças mais preocupantes para a segurança e confiança digitais. Se antes o roubo de identidade ou a falsificação de documentos exigiam técnicas artesanais e uma intervenção manual intensiva, atualmente as tecnologias baseadas na inteligência artificial (IA), combinadas com processos automatizados, colocaram ferramentas de fraude altamente sofisticadas ao alcance de grupos criminosos em todo o mundo.
O Veridas Identity Fraud Report confirma esta tendência e alerta que 2024 registou um aumento exponencial da utilização de deepfakes para fins ilícitos, especialmente no contexto de ataques de injeção, uma técnica que alimenta dados sintéticos diretamente nos sistemas, sem necessidade de interação física com câmaras, microfones ou outros sensores. Pode (deve?) parecer perturbador, mas a verdade é que estas criações digitais são capazes de replicar expressões faciais, vozes e gestos com um nível de realismo que desafia os sistemas de segurança tradicionais e é praticamente impercetível ao olho humano.
De acordo com os dados do relatório, 49% das empresas a nível mundial comunicaram incidentes envolvendo deepfakes e 70% consideram que a fraude gerada por IA é atualmente um dos principais desafios operacionais.
E quando é que tudo começou? O ponto de viragem deu-se quando a criação de conteúdo sintético se tornou não só mais acessível, mas também escalável, permitindo que redes criminosas orquestrassem campanhas de fraude maciças contra vários alvos em simultâneo. Os deepfakes, que inicialmente chamaram a atenção pela sua capacidade de manipular o conteúdo de figuras públicas em contextos políticos ou mediáticos, evoluíram – demasiado depressa – para ferramentas de extorsão financeira, clonagem de identidade e ataques contra sistemas de verificação digital.
Esta ofensiva tomou um rumo particularmente preocupante com os chamados ataques de injeção, descritos em pormenor no relatório Veridas.
Quando o virtual se torna real
Os deepfakes – vídeos, áudios ou imagens gerados por inteligência artificial – são a representação visual ou auditiva de uma identidade falsa. Mas o verdadeiro risco surge quando estas criações são utilizadas em ataques de injeção, uma técnica que permite a introdução de identidades sintéticas diretamente nos sistemas, sem necessidade de uma câmara ou de um microfone.
Este processo totalmente automatizado transforma a fraude numa ameaça industrializável. Os atacantes podem lançar milhares de tentativas simultâneas com combinações falsas de nomes, rostos e dados pessoais, procurando contornar os controlos de segurança. A escala e a velocidade destes ataques ultrapassam a capacidade de resposta das equipas de cibersegurança, obrigando as empresas e os organismos públicos a investir em soluções cada vez mais sofisticadas.
O problema ainda se agrava mais quando este conteúdo sintético é combinado com dados pessoais reais – obtidos através de fugas de informação ou técnicas de phishing – gerando identidades híbridas que são virtualmente indistinguíveis mesmo para sistemas de verificação automatizados.
O verdadeiro risco não reside apenas na qualidade destas falsificações, mas na sua capacidade de operar automaticamente, silenciosamente e em grande escala. Esta “fraude invisível”, que não deixa vestígios e atua sem interação humana, pode comprometer processos críticos com um alcance maciço e consequências difíceis de conter.
Como combater a grande ameaça?
A inteligência artificial generativa transformou completamente o cenário da fraude de identidade, tornando a verificação do utilizador e do dispositivo mais crítica do que nunca. Com 85% das fraudes financeiras já ligadas a identidades sintéticas, o desafio não é apenas confirmar quem está do outro lado, mas também onde e como essa verificação é feita.
Um dos principais avanços desta nova fase é a Deteção Avançada de Ataques por Injeção, (Advanced Injection Attack Detection, a AIAD), uma tecnologia que verifica tanto a identidade do utilizador como a integridade do dispositivo a partir do qual a autenticação é efectuada. Isto permite detetar e bloquear tentativas de fraude antes de entrarem no sistema, identificando a utilização de emuladores, máquinas virtuais ou bots automatizados.
Veja abaixo o que pode ser um ataque de injeção de vídeo deepfake.
Mas nenhum elo pode funcionar isoladamente. Atualmente, a luta contra a fraude exige uma cadeia sólida de soluções tecnológicas, em que cada uma das partes reforça a outra. Juntamente com soluções como a AIAD, a deteção de vida assegura que uma pessoa real está presente no processo. As técnicas de análise forense podem detetar anomalias invisíveis em imagens, vídeos ou áudios gerados por IA, tais como padrões de luz invulgares ou sincronizações labiais. Além disso, o desenvolvimento regulamentação, a cooperação internacional e a utilização de estratégias de ciberespionagem são essenciais para travar a proliferação de ferramentas sintéticas para fins maliciosos.
Só quando todos estes elementos atuam em conjunto, enquanto elos de uma mesma cadeia, é possível travar o avanço da chamada fraude invisível: automatizada, silenciosa e cada vez mais difícil de detetar.
Um cenário em constante evolução
A conclusão do relatório aponta para uma verdade incontornável: a inovação constante dos mecanismos de deteção da fraude é uma necessidade. Caso contrário, corremos o risco de perder a corrida para os criminosos digitais que operam com algoritmos cada vez mais sofisticados e adaptáveis.
Neste contexto, a colaboração entre todos os intervenientes no ecossistema digital – reguladores, prestadores de serviços de verificação e empresas de cibersegurança – é mais urgente do que nunca para criar respostas conjuntas à evolução permanente da cibercriminalidade.
O futuro da segurança digital não é definido apenas por novas barreiras tecnológicas, mas também por uma cultura partilhada de precaução e responsabilidade entre organizações e utilizadores. Porque se a inteligência artificial oferece inegáveis benefícios para a produtividade e a inovação, a sua utilização maliciosa pode ampliar exponencialmente o âmbito e a sofisticação da fraude.
Para fazer face a esta realidade, é necessária uma abordagem holística da segurança digital: verificar a proveniência dos dados, analisar a integridade dos dispositivos, aplicar técnicas forenses para detetar anomalias invisíveis em imagens e áudios e reforçar a cooperação entre entidades públicas e privadas. Só assim será possível responder à dupla força que está na base da grande ameaça atual: a dissimulação dos deepfakes e a escalabilidade implacável dos ataques por injeção.