A segurança biométrica deve ser gerida de forma ativa | Para além da verificação estática de vitalidade

As ameaças à verificação remota de identidade mudaram radicalmente. O que antes era um desafio de detetar fotografias impressas apresentadas às câmaras evoluiu para um ataque em escala industrial, impulsionado por IA generativa, redes de «Crime-as-a-Service» e sofisticadas ferramentas de injeção digital.

Os métodos tradicionais de autenticação – como os códigos de acesso de uso único – estão a falhar. A verificação biométrica facial surgiu como um dos métodos mais seguros para as organizações verificarem a identidade dos utilizadores online. Mas nem todos os sistemas biométricos estão preparados para as ameaças que as organizações enfrentam atualmente.

Implementar a verificação biométrica sem ter uma visão clara da forma como as ameaças evoluem é como construir defesas sem compreender contra o que se está a defender. Para serem eficazes, as soluções devem ser resilientes face ao panorama de ameaças em constante evolução egeridas de forma ativa – não se limitando a ser resistentes a falsificações conhecidas e já estabelecidas.

A dimensão da ameaça: o que revelam os dados mais recentes sobre ameaças

O Relatório de Inteligência sobre Ameaças da iProov para 2025, baseado em observações em tempo real da atividade criminosa a nível mundial realizadas pelo Centro de Operações de Segurança (iSOC) da iProov, documenta um aumento sem precedentes na sofisticação e na escala dos ataques.

Aumento acentuado dos ataques de troca de rosto, câmaras virtuais nativas e ataques de injeção digital

• Os ataques através decâmaras virtuais nativas aumentaram 2 665 %em 2024, tornando-se o principal vetor de ameaça à medida que estas ferramentas se infiltraram nas principais lojas de aplicações.
• Os ataques de troca de rosto aumentaram 300 %em comparação com 2023, com os autores das ameaças a visarem especificamente sistemas que utilizam protocolos de deteção de vida.
• Mais de 115 000 combinações de ataques potenciais são possíveis a partir de apenas três ferramentas de ataque comuns, o que reforça a razão pela qual os testes pontuais já não são suficientes.
• Apenas 0,1% dos participantes num estudo da iProov identificou corretamente todos os conteúdos deepfake e reais, demonstrando que o julgamento humano, por si só, não é suficiente para nos proteger contra estas ameaças.

Estes números representam uma mudança fundamental. Os ataques simples, perpetrados por indivíduos isolados, evoluíram para um mercado complexo e com múltiplos intervenientes, onde ferramentas sofisticadas são compradas, vendidas e implementadas por indivíduos com pouca qualificação, à escala industrial. Pode ler mais sobre o funcionamento deste ecossistema criminoso na nossa análise das redes de «Attack-as-a-Service».

As implementações de verificação estática de integridade já não são suficientes por si só

A deteção de vida — que confirma a presença de uma pessoa real e viva no momento da captura — continua a ser essencial. No entanto, tornou-se um requisito básico, e não um fator diferenciador. As ameaças que as organizações enfrentam atualmente vão além do que a deteção de vida, por si só, consegue resolver.

O debate no setor mudou. A questão já não é «tem deteção de presença?»; é«consegue provar que a pessoa está efetivamente presente no momento da captura E neutralizar ataques sofisticados que contornam completamente a câmara — e consegue continuar a fazê-lo à medida que surgem novos métodos de ataque?»

Esta mudança está agora consagrada em duas normas de referência:

NIST SP 800-63-4: A nova norma federal dos EUA

O Instituto Nacional de Padrões e Tecnologia dos EUA publicoua norma NIST SP 800-63-4— a primeira atualização das suas Diretrizes de Identidade Digital desde 2017. A nova norma introduz controlos específicos para ataques de injeção e suportes falsificados, exigindo que os sistemas biométricos no Nível de Garantia de Identidade 2 (IAL2) e superiores implementem a deteção de ataques de apresentação E analisem os suportes à procura de sinais de conteúdo gerado por IA e deepfakes.

A iProov é oprimeiro e único fornecedor de soluções biométricas com certificação independente que cumpre estes requisitos.

CEN/TS 18099: Norma de deteção de ataques por injeção

A norma CEN/TS 18099é a primeira norma de ensaio concebida especificamente para avaliar a capacidade dos sistemas biométricos de detetar e neutralizar ameaças baseadas em injeção. O iProov Dynamic Liveness é a primeira e única solução a atingir o Nível Elevado da norma CEN/TS 18099 (Nível 4 da Ingenium) — o nível mais elevado de ensaio independente — após avaliação pelos Laboratórios Biométricos Ingenium, acreditados pela norma ISO/IEC 17025.

Durante mais de 40 dias de testes, não foi identificado qualquer método eficaz de ataque por injeção contra o sistema da iProov.

Estas certificações são importantes porque passam a centrar o debate das alegações de marketing para provas verificadas de forma independente e testadas em laboratório.Saiba mais sobre o conjunto completo de certificações da iProov aqui.

Como a gestão ativa de ameaças protege contra ameaças em constante evolução e desconhecidas

A arquitetura de defesa da iProov assenta em três pilares interligados. Cada um reforça os outros e, em conjunto, criam um modelo de segurança que nenhuma capacidade isolada consegue igualar.

Pilar 1: iSOC — O primeiro sistema biométrico de inteligência contra ameaças do setor

O Centro de Operações de Segurança da iProov (iSOC)é o primeiro sistema global do setor dedicado à inteligência biométrica sobre ameaças e à gestão ativa de ameaças.

Através do iSOC, a iProov monitoriza o tráfego em tempo real para detetar padrões de ataque em todos os clientes, regiões geográficas, dispositivos e plataformas. Isto permite uma monitorização contínua e a aprendizagem a partir das fontes, padrões e metodologias de ataque — mantendo as defesas um passo à frente do panorama de ameaças em constante evolução.

Por que é que isto é importante?

Assim que as ferramentas ou metodologias de ataque conseguem violar um sistema, são rapidamente partilhadas — normalmente na dark web ou nasredes de «Crime-as-a-Service»— e podem alastrar-se muito rapidamente. Sem uma visão clara da forma como os ataques estão a evoluir, torna-se muito difícil estabelecer prioridades nas defesas ou compreender como o comportamento dos atacantes está a mudar.

Por que é que os outros fornecedores não conseguem replicar o iSOC?

Nenhum outro fornecedor de soluções biométricas dispõe de nada comparável. A razão é de natureza arquitetónica: para gerir uma operação global de inteligência sobre ameaças relacionadas com ataques biométricos, são necessários três elementos em simultâneo:

1. Verificação baseada na nuvem— para visualizar todo o tráfego de todos os clientes em tempo real.
2. Uma base de clientes suficientemente ampla em setores de alta segurança— governos, bancos, agências de controlo de fronteiras — para observar padrões de ataque diversificados e sofisticados.
3. Uma equipa científica especializada— informáticos, hackers éticos e especialistas em inteligência de ameaças que transformam informações brutas em atualizações defensivas.

Sem estes três elementos, um fornecedor ou carece de visibilidade (modelos locais), ou carece de diversidade de ataques (base de clientes pequena ou limitada a um único setor), ou carece da experiência necessária para agir com base no que observa.

A iSOC cumpre:

• Detecção em tempo real:os ataques são identificados e investigados à medida que ocorrem.
• Informações partilhadas:todos os clientes beneficiam da deteção de ataques dirigidos a qualquer cliente, em todas as regiões e setores.
• Adaptação contínua:as atualizações de segurança são implementadas a nível global sem causar perturbações às organizações ou aos utilizadores finais.

94% das organizações concordam que um parceiro de segurança biométrica deve fornecer um serviço em constante evolução, e não apenas um produto de software. O iSOC é a forma como a iProov concretiza isso.Saiba mais sobre a importância de uma defesa em constante evolução na era da IA.

Pilar 2: Verificação baseada na nuvem como arquitetura de segurança

A verificação baseada na nuvem não é apenas uma opção de implementação. Trata-se de uma decisão de segurança arquitetónica que permite funcionalidades impossíveis de alcançar em modelos locais ou no próprio dispositivo.

A verificação é feita na nuvem, e não no dispositivo.Se um invasor conseguircomprometer um dispositivo, seja fisicamente ou digitalmente — com ransomware, por exemplo —, a verificação não é afetada, pois está separada das potenciais vulnerabilidades do dispositivo.

A nuvem é o motor do iSOC.O iProov monitoriza e analisa os ataques em tempo real,uma vez quea verificação ocorre na nuvem. Isto proporciona uma visibilidade total do ambiente de execução — algo que as soluções instaladas no dispositivo simplesmente não conseguem alcançar.

As atualizações são implementadas instantaneamente.A implementação do SDK baseada na nuvem significa que as atualizações de segurança são aplicadas no lado do servidor, sem necessidade de aplicar as correções manualmente nos dispositivos. As defesas e os algoritmos evoluem continuamente, dificultando significativamente a vida dos atacantes.

A segurança de um sistema biométrico instalado no local é estática desde o momento em que é fornecido. O panorama das ameaças, porém, não é.Saiba mais sobre a segurança biométrica na nuvem versus a segurança biométrica no dispositivo.

Pilar 3: Flashmark — Dados biométricos exclusivos por sessão

A tecnologiaFlashmarkpatenteada da iProov envia uma sequência única e imprevisível de cores para o ecrã do dispositivo do utilizador durante cada sessão de verificação. O reflexo dessa sequência de luz no rosto do utilizador é analisado para confirmar que a pessoa está efetivamente presente — um ser humano real e tridimensional, a realizar a verificação neste preciso momento.

Como é que isto funciona?A sequência de cores refletida pelo rosto deve corresponder à sequência que o dispositivo recebeu instruções para exibir. Se a imagem parecer realista, mas a sequência de cores estiver errada, o sistema identifica uma falsificação. Como cada sequência é única e expira imediatamente após a utilização, não pode ser reproduzida, interceptada ou pré-gravada.

Este mecanismo é totalmente passivo — não é necessário virar a cabeça, acenar com a cabeça, pestanejar nem dar instruções verbais. Basta o utilizador olhar para a câmara e o processo fica concluído em segundos.

Isto é importante por duas razões:

1. Segurança:Cada sessão gera dados biométricos únicos que, mesmo que sejam roubados, não têm qualquer valor, uma vez que nunca podem ser reutilizados.
2. Inclusão:A verificação passiva evita as barreiras de acessibilidade criadas pelos desafios ativos. O iProov estáem conformidade com as diretrizes WCAG 2.2 AA e a Secção 508, com algoritmos treinados em conjuntos de dados equilibrados e testados em ambiente de produção para garantir um bom desempenho independentemente da idade, género e tom de pele.

Os três pilares a trabalhar em conjunto

Estes três componentes formam uma única arquitetura integrada. O Flashmark gera dados exclusivos por sessão. A verificação baseada na nuvem processa esses dados num ambiente à prova de adulterações e proporciona ao iSOC visibilidade em tempo real. O iSOC deteta padrões emergentes e envia atualizações defensivas a todos os clientes simultaneamente. Este ciclo de retroalimentação – detetar, analisar, adaptar, implementar – é o que torna a segurança da iProov evolutiva, em vez de estática.

Em última análise, isto ajuda a proteger os seus utilizadores e a sua organização contra ameaças futuras e ainda desconhecidas. E, o melhor de tudo, tudo isto é gerido por si através de um serviço contínuo.

O custo de se cometer este erro

Uma única videochamada com deepfakecustou à Arup 25 milhões de dólaresem transferências fraudulentas. Agentes de países sujeitos a sanções do OFAC infiltraram-se em mais de 300 empresas utilizando filtros de deepfake para passar em entrevistas por vídeo à distância.62% das organizações sofreram um ataque de deepfakeno último ano.

A questão para qualquer organização que utilize a verificação biométrica não é «teremos meios para financiar a defesa mais robusta?», mas sim «teremos meios para arcar com as consequências de um erro?».

As soluções biométricas da iProov contam com a confiança das organizações para as quais a resposta a essa pergunta é de extrema importância: oDepartamento de Segurança Interna dos EUA, oMinistério do Interior do Reino Unido,a GovTech de Singapura, aAutoridade Tributária Australiana,o ING,o UBS ea ID.me.

---

O Relatório de Inteligência sobre Ameaças da iProov de 2025 fornece informações exclusivas sobre as metodologias de ataque, as ferramentas e os autores das ameaças observados pelo iSOC.Descarregue o relatório completo aqui.

Para saber como a iProov pode proteger a sua organização contra o panorama de ameaças em constante evolução,marque uma demonstração.