A verificação remota de identidade é um dos desafios mais urgentes de nossa era cada vez mais digital. Confirmar a identidade de uma pessoa sem vê-la fisicamente, em pessoa, é uma necessidade que continua a crescer em importância e dificuldade.
Entre as ameaças mais insidiosas à verificação remota de identidade está o uso de deepfakes criados por IA generativa. As deepfakes não são intrinsecamente prejudiciais, mas podem representar ameaças significativas à segurança. Como agora é impossível distinguir de forma confiável entre imagens sintéticas e imagens reais com o olho humano, a biometria com tecnologia de IA surgiu como a defesa mais robusta contra deepfakes e, portanto, o único método confiável de verificação remota de identidade. De fato, combatê-las exige pesquisa contínua e soluções de missão crítica com segurança em evolução. As pessoas também valorizam a conveniência da verificação biométrica facial - 72% dos consumidores em todo o mundo preferem a verificação facial para segurança on-line.
No entanto, à medida que a tecnologia biométrica avança, os agentes mal-intencionados buscam métodos novos e mais sofisticados para comprometer esses sistemas. É importante lembrar, no entanto, que as falsificações profundas não são uma ameaça à segurança biométrica - elas são uma ameaça a qualquer método de verificação remota da identidade de uma pessoa.
A ameaça do Deepfake: Um olhar sobre a ascensão da tecnologia Deepfake
No início, os deepfakes eram apenas diversão inofensiva, com pessoas criando vídeos e fotos para fins de entretenimento. No entanto, quando combinados com intenções maliciosas e ferramentas de ataque cibernético, eles rapidamente se transformam em ameaças sinistras. Os deepfakes rapidamente se tornaram uma forma muito poderosa de lançar ataques de segurança cibernética, espalhar notícias falsas e influenciar a opinião pública. Você provavelmente já se deparou com um deepfake sem nem mesmo perceber.
A tecnologia deepfake envolve o uso de ferramentas como imagens geradas por computador (CGI) e inteligência artificial para alterar a aparência e o comportamento de alguém. Os algoritmos de aprendizado de máquina trabalham para gerar conteúdo sintético altamente realista para imitar comportamentos humanos, incluindo expressões faciais e fala. Quando usada de forma maliciosa, essa tecnologia pode ser empregada para criar identidades falsas, imitar pessoas e obter acesso a locais seguros, por exemplo.
Devido à sofisticação da tecnologia, o conteúdo deepfake muitas vezes parece altamente realista para humanos treinados e até mesmo para algumas soluções de verificação de identidade, o que dificulta o discernimento entre o genuíno e o sintético. O ritmo de rápida evolução da IA significa que as deepfakes também estão evoluindo continuamente - elas não são uma ameaça estática.
Detecção de Deepfake: Evidências estabelecem que os seres humanos não podem detectar Deepfakes de forma confiável
Compilamos uma lista de estudos que destacam como os seres humanos simplesmente não são um indicador confiável para detectar deepfakes:
- Um estudo de 2021 intitulado "Deepfake detection by human crowds, machines, and machine-informed crowds" (Detecção de deepfake por multidões humanas, máquinas e multidões informadas por máquinas) descobriu que as pessoas sozinhas são muito piores do que os algoritmos de detecção. Os algoritmos de detecção superaram até mesmo os examinadores forenses, que são muito mais habilidosos na tarefa do que uma pessoa comum. O estudo também não encontrou nenhuma evidência de que a educação/treinamento melhore o desempenho.
- Outro estudo de 2021 chamado "Fooled twice: People cannot detect deepfakes but think they can" (Enganado duas vezes: as pessoas não conseguem detectar deepfakes, mas acham que conseguem) descobriu que as pessoas são menos capazes de identificar deepfakes do que pensam; que as pessoas não são confiáveis na detecção de conteúdo de vídeo manipulado; que o treinamento e os incentivos não aumentam a capacidade; que as pessoas têm um viés para uma taxa de rejeição falsa; e, finalmente, que as pessoas são particularmente suscetíveis a serem influenciadas por conteúdo deepfake.
- Em 2022, um grupo de pesquisadores de segurança descobriu que a verificação de chamadas de vídeo de pessoa para pessoa poderia ser facilmente superada com software de sistema operacional e aquarela (ou seja, manipulação de arte digital). Isso mostra que os sistemas de identificação por vídeo de operadores humanos são facilmente superados com abordagens básicas do dia a dia e muito pouca habilidade - às vezes, nem mesmo deepfakes são necessários para enganar os humanos.
Veja se você consegue identificar um deepfake em nosso teste interativo!
Como os deepfakes ameaçam toda a verificação de identidade on-line
Para verificar a identidade remotamente de forma confiável, você terá que ver a pessoa e o documento de identidade dela. A verificação por videochamada, às vezes conhecida como identificação por vídeo, refere-se ao processo de conversar com uma pessoa ao vivo por meio de um software de videochamada para comprovar sua identidade. No entanto, essa é uma opção indesejável, principalmente porque é inconveniente, exige muita mão de obra e custos, e não pode ser automatizada (portanto, é mais difícil de escalonar).
De qualquer forma, as falsificações profundas podem ser injetadas em uma transmissão de vídeo ao vivo, portanto, são uma ameaça ainda mais grave à verificação de vídeo. Como já estabelecemos, os seres humanos são menos confiáveis na detecção de deepfakes do que a biometria. É por isso que alertamos as organizações para que se lembrem de que as falsificações profundas e outras formas de IA generativa não são um "problema biométrico"; elas são um problema de verificação remota de identidade.
A verificação remota de identidade é fundamental para a maioria das organizações que realizam negócios on-line. Em muitos casos, ela não é negociável. Contra a ameaça de falsificações profundas, as organizações devem utilizar a IA para o bem da segurança cibernética (ou seja, biometria alimentada por IA).
Não posso verificar os usuários com outro método biométrico para evitar totalmente as falsificações profundas?
Em seguida, você pode se perguntar: "Por que outros métodos biométricos não são uma alternativa adequada para a verificação de identidade? Você não pode simplesmente usar a autenticação por íris ou voz para não precisar lidar com deepfakes?"
A verificação biométrica da face surgiu especificamente como o único método confiável de verificação remota de identidade porque:
- Outros métodos biométricos não podem verificar a identidade. Eles podem apenas autenticá-la. Isso ocorre porque sua voz, íris etc. geralmente não constam em nenhum dos seus documentos de identidade (ao contrário do seu rosto). Portanto, você não tem nada confiável para verificar os dados biométricos, nenhuma fonte de verdade. Isso é possível em casos raros - talvez uma organização tenha acesso a dados oficiais de impressão digital, por exemplo. Mas não é escalonável como a verificação facial. O mesmo vale para os métodos tradicionais, como senhas e OTPs, que falharam completamente em manter os usuários seguros on-line. Não é possível ter 100% de certeza da identidade de uma pessoa só porque ela sabe algo (uma senha) ou possui algo (um telefone com um código).
- A clonagem orientada por IA é uma ameaça a todos os métodos biométricos. A voz, por exemplo, é considerada a biometria mais fácil de clonar. Você pode ler mais sobre a ameaça da clonagem de voz neste artigo e sobre as desvantagens da biometria de voz aqui.
Proteção contra ataques Deepfake
Quando falamos sobre a ameaça das falsificações profundas, é para enfatizar a importância de uma solução robusta de verificação facial para se defender contra elas e para educar as organizações sobre as diferenças consequentes entre as soluções disponíveis.
Conforme o Gartner Market Guide de 2023, "os líderes de segurança e gerenciamento de riscos devem fazer da detecção de deepfake um requisito fundamental e devem desconfiar de qualquer fornecedor que não esteja discutindo proativamente seus recursos".
Para atenuar os riscos associados aos ataques de deepfake em sistemas biométricos, várias medidas podem ser implementadas:
- Biometria multimodal: A combinação de vários métodos biométricos, como a verificação facial e o escaneamento de impressões digitais, pode aumentar a segurança, pois torna mais difícil para os invasores falsificarem várias modalidades simultaneamente.
- Detecção de vivacidade: A implementação de verificações de detecção de vivacidade com base científica pode ajudar a diferenciar entre dados biométricos reais e representações sintéticas, como deepfakes que não apresentam sinais vitais de vida. Saiba mais sobre a tecnologia de vivacidade aqui.
- Monitoramento contínuo: Os sistemas biométricos devem incorporar o monitoramento contínuo e a detecção de anomalias para identificar padrões ou comportamentos incomuns que possam indicar um ataque deepfake. As organizações devem adotar técnicas avançadas que possam se adaptar ao cenário em rápida aceleração das ameaças cibernéticas (não aquelas que dependem de defesas estáticas - a solução é um serviço em evolução e não um software).
As soluções biométricas técnicas, como a detecção de vivacidade com base científica e a inteligência ativa contra ameaças, ocuparão o centro do palco na identificação da mídia sintética. Entretanto, a pesquisa humana e as habilidades de pensamento crítico ainda são essenciais quando se trata de identificar possíveis ameaças. A solução definitiva está na combinação dos pontos fortes dos seres humanos e da automação para criar uma solução infalível - como faz a iProov, utilizando nossa verificação biométrica de missão crítica com nossos recursos iSOC.
A questão de "como podemos ter certeza da identidade de alguém on-line?" é um tópico extremamente importante e sério, e não está desaparecendo.
Saiba mais sobre como a iProov se defende especificamente contra deepfakes nesta postagem do blog e leia nosso relatório, Deepfakes: The New Frontier of Online Crime".
