16 de abril de 2025

A violação de dados "Honey Pot" em El Salvador em 2024 foi um sinal de alerta. Cerca de 80% da população do país viu os seus registos pessoais, incluindo imagens faciais, expostos. À medida que este incidente ressurge nas redes sociais, levanta questões críticas sobre o que torna verdadeiramente segura a autenticação biométrica.

Mas há uma coisa que muitos comentadores não percebem: esta violação, embora alarmante por razões de privacidade, não compromete os sistemas de autenticação biométrica com capacidades de deteção de vivacidade. Perceber porquê significa desfazer um equívoco comum.

Neste artigo, explicaremos a diferença entre proteção da privacidade e segurança da autenticação em sistemas biométricos e distinguiremos a forma como os dados biométricos são armazenados e como são utilizados para verificar identidade.

Um equívoco comum: O mito do segredo facial

Muitas pessoas assumem que a segurança biométrica depende de manter a sua imagem facial secreta, como se o seu rosto fosse uma palavra-passe que deve permanecer oculta. A ideia é que, se o seu rosto permanecer oculto, a sua identidade também permanece oculta e, por conseguinte, o serviço que está a utilizar permanece seguro. 

Na nossa era digital, a realidade é que o nosso rosto já é público. Pense nisso:

  • Fotos profissionais no LinkedIn
  • Imagens pessoais nas redes sociais
  • Fotografias de identificação emitidas pelo governo
  • Imagens de câmaras de segurança em espaços públicos

Um atacante pode encontrar facilmente uma fotografia nas redes sociais sem ter de violar uma base de dados segura. Se a segurança biométrica depender apenas do sigilo de um rosto, então publicar a sua fotografia no Instagram seria um enorme risco de segurança.

Um atacante não precisa de violar uma base de dados segura para encontrar o seu rosto - pode simplesmente visitar os seus perfis públicos. No entanto, os sistemas de autenticação biométrica continuam a proteger milhares de milhões de transacções diárias. Como?

O facto de alguém ver o seu rosto ou uma imagem dele não lhe permite reproduzir as condições exactas necessárias para a autenticação sem a sua presença. O verdadeiro desafio consiste em verificar se a pessoa que está a tentar aceder a um sistema é efetivamente a pessoa certa, uma pessoa real, autenticada em tempo real - algo que uma imagem estática não é capaz de provar.

Saiba mais sobre como o iProov consegue defender-se consistentemente contra ameaças emergentes e em evolução aqui.

Privacidade vs. Segurança: Uma distinção fundamental

As informações biométricas armazenadas devem ser encriptadas e protegidas, mas principalmente para respeitar os direitos de privacidade individuais e manter a conformidade, e não porque a sua exposição compromete a segurança biométrica. 

A privacidade e a segurança, embora relacionadas, têm objectivos diferentes nos sistemas biométricos:

  • A proteção da privacidade diz respeito à forma como os dados pessoais são armazenados, acedidos e utilizados. Trata-se de respeitar os direitos dos indivíduos de controlar as suas informações e de impedir o acesso não autorizado a esses dados.
  • Segurança da autenticação centra-se numa questão crucial: A pessoa que está a tentar aceder é genuinamente quem diz ser, autenticando-se em tempo real?

A violação de El Salvador, embora represente uma grave violação da privacidade, não cria necessariamente uma vulnerabilidade de segurança em sistemas de autenticação corretamente concebidos. 

Embora a encriptação dos dados biométricos seja essencial para a privacidade, a verdadeira medida de segurança é se o sistema pode confirmar que a pessoa que acede a esses dados está realmente presente no momento da transação.

A verdadeira base da segurança biométrica

O que realmente protege contra tentativas de falsificação de identidade é uma combinação de tecnologias e algoritmos subjacentes que determinam que o ser humano genuíno está presente em tempo real - e não uma repetição, deepfakeou ataque de injeção digital.

Quando uma solução de autenticação biométrica de base científica é implementada, as imagens roubadas tornam-se inúteis nos ataques. Não podem ser utilizadas para enganar um sistema sofisticado de deteção biométrica de vivacidade que determina se a pessoa real está a autenticar-se nesse momento.

Mesmo que um atacante tenha acesso a uma base de dados de imagens faciais, essas imagens seriam inúteis se o sistema exigisse uma prova de presença em direto. Uma fotografia estática ou mesmo um deepfake falhariam o teste de vivacidade baseado na ciência.

Os sistemas biométricos avançados exigem provas de que:

  1. Está presente um ser humano real (não uma fotografia ou um deepfake)
  2. Esta pessoa específica (que corresponde às credenciais armazenadas) é autenticada
  3. A autenticação está a acontecer agora (não é reproduzida de uma sessão anterior)

Saiba mais sobre os processos/acreditações de privacidade e segurança do nosso sistema no novo livro eletrónico sobre segurança e arquitetura.

Para além da segurança dos modelos

Muitas organizações concentram-se fortemente na forma de armazenar dados biométricos de forma segura - dividindo-os e encriptando-os em várias localizações, tal como armazenar peças de um quadro valioso em diferentes cofres de alta segurança. 

A tecnologia do iProov utiliza uma firewall de privacidade. O iProov não tem acesso a outras informações para além do rosto, e a organização que utiliza o iProov não tem acesso aos dados biométricos. Existe uma separação estrutural entre a identidade do utilizador e a biometria do utilizador, o que é altamente eficaz para salvaguardar a privacidade do utilizador.

Mas a segurança da autenticação biométrica não depende da forma como armazenamos as imagens faciais ou modelos biométricos - depende da capacidade do sistema para detetar e impedir tentativas de falsificação de identidade durante o próprio evento de autenticação.

Deteção de vivacidade com base científica

Estabelecer a autenticidade em tempo real é um dos desafios mais prementes da segurança biométrica. Para o conseguir, os sistemas passivos desafio-resposta é necessária; ela constitui a verdadeira base da autenticação biométrica segura. Ao contrário das respostas de desafio activas, como virar a cabeça, uma resposta de desafio passiva não tem instruções complexas e proporciona um elevado desempenho em todos os dados demográficos.

O iProov Dynamic Liveness verifica se é uma pessoa real e se está a autenticar em tempo real, proporcionando o mais alto nível de garantia de identidade e defesa contra deepfake de missão crítica. Os níveis avançados de segurança são alcançados pelo patenteado Flashmark™ patenteada, que ilumina o ecrã do dispositivo durante o processo de captura do rosto. O reflexo da luz no rosto do indivíduo confirma que ele está realmente presente e oferece mitigação avançada de ataques baseados em IA de dia zero, incluindo deepfakes e trocas de rosto.

Olhar para o futuro

A violação de El Salvador realça uma verdade crucial: num mundo cada vez mais ameaçado por sofisticados ataques de deepfakes e injeção digital, a segurança dos sistemas biométricos dependerá mais do que nunca da sua capacidade de verificar a presença humana genuína. Ao centrarem-se na vivacidade baseada na ciência com verificação em tempo real, as organizações podem criar um ambiente de segurança em que os dados roubados não podem ser reutilizados para fins de falsificação de identidade.

A lição de El Salvador não é que a autenticação biométrica é defeituosa; é que os rostos não são não a chave para a biometria - a deteção de vivacidade é que é. Com uma deteção de vivacidade adequada, a autenticação biométrica continua a ser uma das nossas ferramentas mais fortes contra a fraude de identidade.

À medida que a autenticação biométrica se torna cada vez mais central nas nossas vidas digitais - desde a banca aos cuidados de saúde e aos serviços governamentais - a escolha do parceiro tecnológico correto é crucial.

A iProov leva a privacidade e a segurança a sério - a nossa tecnologia é certificada pela FIDO e ISOe está em conformidade com o GDPR, SOC 2, e eIDAS (e outros - saiba mais), fornecendo o mais alto nível de garantia de identidade para reduzir fraudes e proteger sua organização. Pronto para ver como as nossas soluções avançadas de autenticação podem proteger os seus utilizadores? Marque sua demonstração hoje mesmo.