16 de fevereiro de 2026

Em nossa publicação anterior, exploramos como o Diretrizes de Identidade Digital NIST SP 800-63-4 atualizadas estão elevando o padrão para a verificação biométrica. A iProov foi a primeiro fornecedor a demonstrar resistência a deepfakes de acordo com as novas diretrizes.

Um requisito se destacou nas diretrizes do NIST: as organizações devem agora comprovar resistência tanto a ataques de apresentação e ataques de deepfake . É nessa última categoria que muitos fornecedores ficam em silêncio.

NIST, a Agência da União Europeia para a Cibersegurança (ENISA), a ANSSI e a BSI da Alemanha alertaram sobre os riscos de ataques de injeção. Nossas próprias informações de inteligência sobre ameaças mostram que eles aumentaram 740% no iOS em 2025. Ao contrário dos ataques de apresentação, que exigem presença física, os ataques de injeção podem ser automatizados e escalados para milhares de tentativas simultaneamente.

A norma CEN/TS 18099 finalmente oferece o quadro de validação independente para comprovar a resiliência contra ataques de injeção de deepfakes, indo além das alegações feitas pelos fornecedores.

Por que era necessário um novo padrão

A Detecção de Ataques de Apresentação (PAD) possui estruturas de teste bem estabelecidas. A norma ISO/IEC 30107 define como avaliar se um sistema biométrico é capaz de detectar fotos, máscaras e reproduções de vídeo apresentadas à câmera. 

A certificação PAD tornou-se um requisito básico; os ataques por injeção estão cada vez mais sofisticados. Um fornecedor pode possuir a certificação PAD e, mesmo assim, não ter nenhuma resiliência contra ataques por injeção. Esses dois vetores de ataque exigem metodologias de teste fundamentalmente diferentes. A norma ISO 30107 não foi concebida para lidar com essa categoria de ameaças.

Quando analisamos como os fornecedores lidam com ataques de injeção, as respostas geralmente se enquadram em três categorias: documentação de testes internos, diagramas arquitetônicos com setas tranquilizadoras ou programas de “recompensa por detecção de falsificação” em ambientes que não são de produção. Essas avaliações frequentemente se baseiam em estruturas proprietárias não desenvolvidas por organismos de padronização reconhecidos, o que significa que os resultados não podem ser comparados entre as diferentes soluções.

Isso é importante porque os ataques por injeção são projetados para escapar da detecção. Eles não acionam os mesmos alertas que os ataques de apresentação. As organizações podem sofrer comprometimentos sistemáticos sem sequer perceber. A integração continua funcionando, as métricas de conversão parecem saudáveis e a fraude cresce discretamente até que alguém peça provas.

Os ataques de injeção são sofisticados porque atuam em duas frentes simultaneamente: o mecanismo de entrega é projetado para passar despercebido pela aplicação, enquanto o conteúdo injetado é criado para enganar quaisquer verificações existentes na outra extremidade — defender-se de um sem o outro deixa as organizações vulneráveis.

O Comitê Europeu de Normalização (CEN) reconheceu essa lacuna e desenvolveu a CEN/TS 18099: a primeira especificação técnica formal dedicada a testar sistemas biométricos contra ataques de injeção. 

Como funciona a norma CEN/TS 18099

A norma distingue dois componentes de um ataque por injeção:

  • Método de ataque por injeção (IAM): Como o ataque é executado. Isso inclui explorar bibliotecas de software, manipular o tráfego de rede e usar emuladoresou a interceptação de funções do sistema para interceptar e substituir dados biométricos.
  • Instrumento de Ataque por Injeção (IAI): O que é entregue. O rosto sintético, o vídeo deepfake ou a sequência de imagens manipuladas que o invasor deseja que o sistema aceite como autênticos.

Os avaliadores procuram estabelecer diversos métodos de ataque contra o sistema alvo. Nos casos em que os métodos de ataque são bem-sucedidos, eles então utilizam uma variedade de ferramentas de ataque para avaliar as capacidades de detecção.

Essa abordagem em duas etapas revela onde as defesas realmente atuam. Alguns sistemas podem permitir que métodos de ataque sejam estabelecidos, mas detectam os instrumentos maliciosos. Outros podem bloquear a própria via de ataque, impedindo totalmente a entrega dos instrumentos. Essa distinção é importante para compreender o nível de proteção oferecido.

O que revelou a avaliação da solução da iProov?

A iProov submeteu o Dynamic Liveness a uma avaliação independente realizada pela Ingenium Biometric Laboratories, um laboratório credenciado pela norma ISO/IEC 17025 que atua como laboratório biométrico independente do Reino Unido para a Autoridade Nacional de Segurança e Proteção. Os testes foram conduzidos de acordo com os requisitos de detecção de ataques por injeção de nível 4 da Ingenium, que excedem o nível mais alto da norma CEN/TS 18099 (CEN High) em escopo e rigor.

Nível 4 da Ingenium baseia-se nos requisitos descritos na norma CEN/TS 18099, oferecendo maior garantia por meio de testes ampliados e tipos de ataques complexos. A avaliação de 40 dias analisou pelo menos três métodos distintos de ataque por injeção e quinze instrumentos de ataque. 

Durante os testes, não foi possível estabelecer com sucesso nenhum método de ataque por injeção. Como as vias de ataque estavam bloqueadas, o laboratório nunca chegou a utilizar os instrumentos de ataque. Os rostos sintéticos e os vídeos deepfake não tinham para onde ir.

Isso representa uma abordagem de segurança fundamentalmente diferente. Em vez de tentar detectar conteúdo malicioso após sua entrada no sistema, a Verificação Dinâmica de Validade impede, desde o início, que a via de injeção seja estabelecida.

É importante ressaltar que esse nível de proteção foi alcançado sem comprometer a experiência do usuário. A Taxa de Erro de Classificação de Apresentação de Boa-Fé (BPCER) – a taxa na qual usuários legítimos são rejeitados indevidamente – foi de apenas 1,3%, bem abaixo do limite de 15% exigido pela norma.

O Dynamic Liveness é a primeira e única solução a obter uma avaliação Ingenium Nível 4.

Além do CEN: o panorama mais amplo da validação

A norma CEN/TS 18099 aborda especificamente os ataques por injeção, mas uma garantia de identidade abrangente requer validação em várias categorias de ameaças. Para organizações que definem critérios de aquisição com base na norma NIST 800-63-4, o panorama completo inclui:

Juntos, esses elementos constituem a base de evidências exigida pelo NIST: não se trata de alegações dos fornecedores, mas de validação independente em todo o panorama de ameaças que as organizações enfrentam.

Considerações finais sobre a norma CEN/TS 18099 e a “lacuna de validação” 

A norma CEN/TS 18099 representa a referência para testes de ataques por injeção, mas a tendência regulatória é global. A norma ISO 25456, atualmente em desenvolvimento, ampliará os requisitos de detecção de ataques por injeção em âmbito internacional. As organizações que se adequarem agora se posicionam à frente da pressão regulatória, em vez de terem que se apressar quando os requisitos se tornarem mais rigorosos.

Para arquitetos de segurança, equipes de compras e líderes de conformidade, a questão mudou: já não basta perguntar se um fornecedor possui detecção de deepfakes. A questão é se eles podem comprovar, por meio de testes independentes e alinhados às normas, que sua solução neutraliza os ataques de injeção de deepfakes agora destacados nas Diretrizes de Identidade Digital do NIST.

A pergunta que vai direto ao cerne das alegações dos fornecedores é simples: qual laboratório independente testou essa capacidade, com base em qual norma e em que nível? Se não houver uma resposta publicada, a capacidade não está comprovada. É apenas uma suposição.

Com o iProov, as evidências são publicadas, a metodologia é transparente e os resultados estão disponíveis para análise. 

O seu provedor atual pode dizer o mesmo?

CEN TS 18099 Opção B em escala |
Índice

Continue lendo