27 de fevereiro de 2026

A maioria dos sistemas de segurança se baseia em uma suposição perigosa: basta uma verificação para impedir a entrada de fraudadores. Não é assim, e os números deixam isso bem claro.

As credenciais foram as primeiras a ser comprometidas. Dados do Microsoft Entra mostram que os ataques baseados em senhas representam agora mais de 99% dos 600 milhões de ataques diários à identidade que eles observam. Aquele código de acesso único enviado por SMS para o seu celular também não está mais sendo eficaz; ataques de troca de SIM estão aumentando mais de 1000% ano a ano somente no Reino Unido.

Assim, as organizações passaram a adotar a biometria facial, e os invasores seguiram o mesmo caminho. Isso porque os sistemas de alta segurança — aqueles que protegem processos críticos, contas financeiras e dados confidenciais — atraem os adversários mais determinados. Somente em 2024, a iProov observou:

Não se trata apenas de números maiores. Eles representam uma mudança fundamental: os invasores agora estão atacando especificamente a camada biométrica, contornando as defesas que as organizações achavam que podiam “configurar e esquecer”. O problema é presumir que qualquer verificação isolada, por mais sofisticada que seja, é suficiente por si só.

Quando falamos de segurança em camadas aqui, não estamos nos referindo à autenticação multifatorial – como usar uma senha junto com um aplicativo autenticador, por exemplo (embora isso seja altamente recomendado e cada vez mais exigida em muitos países e setores). Estamos falando da estratégia de defesa em profundidade dentro de cada fator em si — como a sobreposição de vários controles de segurança na verificação biométrica garante que, se uma verificação for burlada, as outras detectem o que ela deixou passar.

Verificações em um único ponto – especialmente soluções de verificação de atividade – são obsoletas contra essa ameaça.

Como afirma a Gartner:

“Os líderes de mercado no setor de verificação de identidade estão sendo levados a adotar uma abordagem mais holística, que incorpore uma estratégia de defesa em várias camadas para se proteger contra deepfakes.”
Relatório sobre o impacto da IA e dos deepfakes na verificação de identidade.

A segurança da identidade online é uma corrida armamentista. Trata-se de uma evolução contínua, não de uma equação que possa ser resolvida e deixada de lado. É exatamente por isso que a arquitetura da sua defesa é tão importante quanto a robustez de qualquer componente individual. Vamos explorar por que a proteção de identidade em várias camadas é essencial e como ela mantém você à frente dos criminosos.

O problema da segurança de ponto único

A comparação com as senhas não é por acaso. As senhas falharam não porque o conceito fosse errado, mas porque os invasores se tornaram sofisticados o suficiente para burlar verificações de credenciais de fator único em grande escala, utilizando métodos como ataques de força bruta e credential stuffing. A mesma dinâmica se repete em soluções biométricas de baixa segurança, com ataques cada vez mais complexos que são democratizados, empacotados e vendidos por fraudadores.

Nem todas as verificações biométricas de autenticidade são iguais. Alguns provedores utilizam uma verificação de imagem de quadro único: este rosto parece real? O problema é que as modernas ferramentas de troca de rosto, câmeras virtuaise softwares deepfake são projetados especificamente para passar nesse tipo de verificação. A iProov identificou mais de 115.000 combinações possíveis de ataque entre as ferramentas que monitoramos ativamente. Nenhuma verificação isolada consegue cobrir toda essa superfície de ataque.

As verificações de quadro único capturam um instantâneo, não a presença real. Elas não conseguem provar que alguém está realmente lá, apenas que a imagem parece real, e muitos deepfakes são criados com sucesso para parecer reais.

E recorrer aos seres humanos como plano B também não é solução. Apenas Apenas 0,1% das pessoas consegue identificar com segurança mídias sintéticas. Quando 99,9% das pessoas não conseguem distinguir o real do falso, a revisão manual é uma vulnerabilidade, e não uma rede de segurança.

Você poderia perguntar, com razão: se as verificações de ponto único são o problema, isso não se aplica a qualquer fornecedor de soluções biométricas — incluindo a iProov? Sim, se a iProov fosse uma verificação de ponto único. Mas não é. A diferença é de natureza arquitetônica, e é isso que explicaremos a seguir.

Como funciona, na prática, a segurança biométrica em várias camadas

A resposta não consiste simplesmente em adicionar mais camadas sem uma correlação inteligente, pois isso apenas gera ruído e atrito. O objetivo é uma integração ideal, na qual cada camada contribua com sinais distintos que, quando analisados em conjunto, criem um panorama completo que nenhuma camada isoladamente poderia oferecer.

Cada camada analisa diferentes tipos de evidências. Isso significa que, se um invasor conseguir enganar uma camada, a camada seguinte estará procurando por algo completamente diferente e será muito mais difícil de enganar da mesma forma.

Isso é especialmente importante no caso dos ataques por injeção – uma das maiores ameaças aos sistemas biométricos, conforme reconhecido pelo NIST. Ao contrário dos ataques por apresentação tradicionais (como mostrar uma foto ou um vídeo para a câmera), os ataques por injeção contornam completamente a câmera. Em vez disso, os invasores inserem um vídeo deepfake diretamente no sistema.

Se o seu sistema verificar apenas a imagem em si, ele pode nem perceber que isso está acontecendo. É fundamental analisar sinais adicionais, como a integridade do dispositivo, o uso de emuladores e a consistência do ambiente. Sem essas verificações adicionais, mesmo um sistema robusto de detecção de atividade pode não detectar o ataque.

Veja como a abordagem em várias camadas da iProov detecta e bloqueia ataques modernos:

1: A camada de imagens: detecção avançada de movimento

A primeira etapa comprova que uma pessoa real está fisicamente presente, e não uma foto, um vídeo, um deepfake ou uma máscara. Isso vai muito além de verificar se um rosto parece convincente.

A tecnologia Dynamic Liveness utiliza tecnologia Flashmark™ – sua tela se ilumina com cores aleatórias enquanto o sistema analisa como a luz reflete em um rosto real ao longo de vários quadros. Isso cria um em tempo real de desafio-resposta que é praticamente impossível de falsificar, mesmo com deepfakes sofisticados, pois comprova que a pessoa está presente neste exato momento, e não se trata de um ataque de repetição.

2: A camada de metadados: Perícia digital

Embora a detecção de atividade verifique a pessoa, a camada de metadados verifica o ambiente digital. Isso inclui:

  • Detecção de dispositivos comprometidos (com jailbreak ou root)
  • Identificação de emuladores, frequentemente utilizados em operações de fraude em grande escala
  • Identificar VPNs ou serviços de anonimato que ocultam a verdadeira origem de um dispositivo
  • Comparação dos sinais técnicos com o dispositivo reivindicado

Considere o último ponto: um invasor que apresenta o que parece ser um iPhone, mas as dimensões da imagem no fluxo de dados não correspondem a nenhuma resolução já produzida por nenhuma câmera de iPhone. Esse sinal, por si só, não prova fraude. Combinado com uma VPN, uma origem de IP incomum e dados de verificação de autenticidade que foram aprovados com demasiada facilidade, isso poderia levantar um sério sinal de alerta.

É o equivalente digital de um passaporte que parece verdadeiro, mas traz o holograma do país errado. Os fraudadores modernos nem sempre serão identificados por um único indicador: verificações de GPS, análises de IP ou detecção de autenticidade, por si só, apresentam pontos cegos. O segredo está em garantir que cada camada contribua com informações específicas que reforcem a decisão final.

3: A vantagem do monitoramento contínuo

Como se trata de uma corrida armamentista, a implantação não é o fim da história. Ferramentas de ataque que eram de ponta no ano passado agora são vendidas como “Crime-como-Serviço” para qualquer pessoa com um cartão de crédito.

iProov’s Centro de Operações de Segurança (iSOC) analisa continuamente dados de ataques reais, atualizando métodos e algoritmos de detecção à medida que o panorama de ameaças evolui. Este não é um sistema que você configura e esquece, mas uma defesa ativa e adaptativa. Um sistema estático, por mais bem projetado que seja no lançamento, é um alvo fixo.

Como o iSOC monitora todo o sistema, e não apenas um componente, ele consegue detectar padrões que uma verificação pontual deixaria passar. Se os invasores encontrarem uma maneira de contornar uma camada, essa brecha não fica oculta. Ela se transforma em informação. O sistema pode ser fortalecido, as regras de detecção atualizadas e as proteções reforçadas antes que a tática se espalhe.

Com uma única verificação de segurança, uma tentativa de fraude bem-sucedida pode passar despercebida. Com o monitoramento contínuo, cada incidente se torna um sinal e uma oportunidade para se adaptar.

As ameaças mudam; a resposta também. Essa postura proativa de segurança é a única que faz sentido em um cenário de ameaças em constante mudança, onde nenhuma verificação isolada pode ser considerada definitiva.

Cpensamentos negativos

Os deepfakes vão melhorar. Os ataques por injeção vão se proliferar. As ferramentas de ataque vão ficar mais baratas.

A única variável que você controla é a sua arquitetura.

A proteção em várias camadas — que combina tecnologias avançadas de verificação de atividade, inteligência de metadados e monitoramento ativo de ameaças — é a forma de eliminar o ponto único de falha do qual os invasores dependem. Não tornando uma única verificação mais difícil de contornar, mas garantindo que nenhuma verificação isolada seja suficiente para burlar o sistema.

A questão não é se vale a pena investir em segurança em várias camadas. A questão é se você pode se dar ao luxo de operar sem ela.

Gostaria de saber mais sobre as soluções biométricas em camadas da iProov?

Blog sobre defesa em várias camadas |
Índice

Continue lendo