A inteligência artificial (IA) converteu-se na grande protagonista da revolução tecnológica dos últimos anos. Não são poucos os que depois de uma ruptura recorrem a ChatGPT para explorar sua pena e ser consolados por um "psicólogo" digital, mãos livres e gratuito. Outros o usam para criar imagens como fá-lo-ia um desenhador gráfico —já o vimos com aquela febre do Studio Ghibli—, bem como outras imagens realistas.
Sua capacidade para criar imagens, vozes e videos realistas tem impulsionado inovações em múltiplos sectores, desde o entretenimento até a saúde. No entanto, este mesmo potencial tem aberto a porta a um palco inquietante. O uso da IA como ferramenta de fraude em meios digitais.
Um dos fenómenos que mais preocupa aos especialistas em ciberseguridad é o telefonema "inyección de IA", uma técnica a cada vez mais sofisticada que aproveita identidades falsas e videos manipulados para vulnerar sistemas de verificação. Bancos, fintechs e plataformas digitais encontram-se no centro desta ameaça que cresce de forma acelerada.
Como funciona a inyección de IA
A diferença das tentativas tradicionais de suplantación de identidade, onde um estafador mostrava ante a câmara uma foto, um documento ou inclusive uma máscara, os ataques de inyección evitam a câmara física e trabalham directamente no canal digital.
Mediante o uso de emuladores e programas especializados, os ciberdelincuentes podem substituir o sinal real de uma câmara com um video gerado por inteligência artificial ou com dados biométricos sintéticos. Isto é, em lugar de que o sistema veja o rosto verdadeiro de um utente, recebe um arquivo falso cuidadosamente elaborado.
Segundo Samer Atassi, vice-presidente para América Latina da empresa de autenticação biométrica Jumio, esta técnica representa uma mudança de nível na fraude digital: "Os ataques de inyección são a cada vez mais difíceis de detectar. Não só põem a prova a tecnologia, também desafiam a confiança que os utentes têm nos sistemas digitais".
Identidades fictícias ao alcance de qualquer
O que dantes parecia ciência ficção hoje é parte do dia a dia em processos tão comuns como a abertura de uma conta bancária em linha. Graças a ferramentas acessíveis em internet, é possível gerar rostos hiperrealistas, manipular videos e criar documentos falsos que imitam à perfección a informação real.
Atassi explica que a facilidade de acesso a estas tecnologias é parte do problema: "A inteligência artificial está democratizada. Isso é positivo para a inovação, mas também tem um lado escuro: agora qualquer pode fabricar identidades falsas com relativa facilidade".
Detalhes que dantes serviam como barreiras de segurança —como o pisco, os gestos faciais ou o movimento de lábios— são hoje reproduzidos por algoritmos avançados, o que volta estas fraudes especialmente difíceis de detectar com sistemas tradicionais.
O impacto dos 'deepfakes' e a 'dark site'
De acordo com o último relatório de Jumio, as tentativas de ataques de inyección aumentaram um 88% no último ano a nível global, com um repunte importante em América Latina. Esta tendência relaciona-se directamente com a expansão das tecnologias deepfake e a disponibilidade de ferramentas de manipulação na dark site.
O risco não se limita à suplantación de identidade. Estes ataques podem:
-
Evadir controles regulamentares, comprometendo a segurança de processos de verificação em sectores sensíveis.
-
Facilitar fraudes financeiras, desde a abertura de contas com dados falsos até transferências baixo identidades roubadas.
-
Erosionar a confiança dos utentes em bancos, fintechs e plataformas digitais, um dano reputacional difícil de consertar.
Um repto coletivo para o ecossistema digital
A magnitude do desafio exige um esforço conjunto. Não basta apenas que as entidades financeiras reforcem suas barreiras… As empresas tecnológicas, instituições públicas e utentes são as que devem colaborar na identificação e prevenção destes delitos.
Para os utentes, a concienciación resulta chave. Conhecer os riscos associados ao uso de identidades digitais e ser cautelosos ao compartilhar informação sensível pode marcar a diferença. Para as empresas, o investimento em inovação em ciberseguridad já não é opcional, sina um factor estratégico que determina a confiança de clientes e sócios.
Medidas de defesa: a importância do "liveness detection"
Em frente a este palco, as soluções de detecção de vida (liveness detection) têm passado de ser um acrescentado a converter num requisito essencial. Estas tecnologias analisam em tempo real sinais impossíveis de reproduzir por completo num video manipulado, como microexpresiones, movimentos involuntarios ou a resposta a estímulos.
Não obstante, a carreira é constante. Os sistemas de segurança devem actualizar-se de forma contínua para não ficar atrás em frente à rapidez com a que evolui a inteligência artificial generativa. A capacitação de equipas, a investigação de novas técnicas de verificação e a detecção temporã de vulnerabilidades consolidam-se como pilares de defesa.
O futuro da segurança em era-a da IA
A inteligência artificial seguirá transformando a forma na que interatuamos com o mundo digital. Mas essa transformação também implica que os ciberdelincuentes terão a sua disposição ferramentas a cada vez mais potentes.
O grande repto para os próximos anos será equilibrar o aproveitamento da IA para melhorar a experiência dos utentes e, ao mesmo tempo, blindar os sistemas em frente a seu uso malicioso. Quem consigam esse balanço não só protegerão suas plataformas, também consolidarão a confiança num meio digital a cada vez mais vulnerável.
E é que longe do que possa pensar, a inyección de IA não é uma ameaça futurista, sina um problema real e crescente que já afecta a bancos e fintechs. A ciberseguridad entra numa nova etapa na que a inovação será tão importante como a vigilância constante para evitar que a criatividade dos estafadores se imponha sobre a confiança dos utentes.