Uma verificação de segurança não é suficiente: o caso da proteção de identidade em várias camadas

A maioria dos sistemas de segurança baseia-se numa suposição perigosa: uma verificação é suficiente para impedir a entrada de fraudadores. Não é. E os números deixam isso claro imediatamente.

As credenciais foram as primeiras a cair. Os dados da Microsoft Entra mostram que os ataques baseados em senhas agora representam mais de 99% dos 600 milhões de ataques diários à identidade que eles observam. Aquela senha única por SMS no seu telemóvel também não está a funcionar; ataques de troca de SIM estão a aumentar >1000% ano a ano só no Reino Unido.

Por isso, as organizações recorreram à biometria facial, e os atacantes seguiram o mesmo caminho. Porque os sistemas de alta segurança – aqueles que protegem processos críticos, contas financeiras, dados confidenciais – atraem os adversários mais determinados. Só em 2024, a iProov observou:

• Os ataques com câmaras virtuais nativas aumentaram 2.665%
• Troca de rostos ataques deepfake triplicaram
• Ataques de injeção aumentaram 783% (e mais 740% até 2025)

Não se trata apenas de números maiores. Eles representam uma mudança fundamental: os invasores agora estão a visar especificamente a camada biométrica, contornando as defesas que as organizações pensavam que poderiam «configurar e esquecer». O problema não é a tecnologia biométrica, mas a suposição de que qualquer verificação única, por mais sofisticada que seja, é suficiente por si só.

Quando falamos de segurança em camadas aqui, não estamos a referir-nos à autenticação multifatorial tradicional autenticação multifatorial – usar uma senha junto com um aplicativo autenticador, por exemplo (embora isso seja altamente recomendado e cada vez mais obrigatório em muitos países e setores). Estamos a falar da estratégia de defesa em profundidade dentro de cada fator em si — como a camada de vários controlos de segurança dentro da verificação biométrica garante que, se uma verificação for enganada, outras detectam o que ela deixou passar.

A segurança da identidade online é uma corrida armamentista. É uma evolução contínua, não uma equação que pode ser resolvida e arquivada. É exatamente por isso que a arquitetura da sua defesa é tão importante quanto a força de qualquer componente individual. Vamos explorar por que a proteção de identidade em várias camadas é essencial e como ela mantém você à frente dos malfeitores.

O problema com a segurança de ponto único

A semelhança com as palavras-passe não é acidental. As palavras-passe falharam não porque o conceito fosse errado, mas porque os atacantes se tornaram suficientemente sofisticados para derrotar as verificações de credenciais de fator único em grande escala com métodos como ataques de força bruta e preenchimento de credenciais. A mesma dinâmica se repete em soluções biométricas de baixa segurança, com ataques cada vez mais complexos que são democratizados, empacotados e vendidos por fraudadores.

Nem todas as verificações biométricas de vivacidade são iguais. Alguns fornecedores baseiam-se numa verificação de imagem de um único fotograma: este rosto parece real? O problema é que as ferramentas modernas de troca de rosto, câmaras virtuaise softwares de deepfake são projetados especificamente para passar nesse tipo de verificação. A iProov identificou mais de 115 000 combinações de ataque possíveis nas ferramentas que monitoramos ativamente. Nenhuma verificação isolada pode cobrir essa superfície de ataque.

As verificações de imagem única capturam um instantâneo, não a presença genuína. Não podem provar que alguém está realmente lá, apenas que a imagem parece real, e muitos deepfakes são projetados com sucesso para parecer real.

E confiar nos seres humanos como alternativa também não é solução. Apenas 0,1% das pessoas consegue identificar com segurança a mídia sintética. Quando 99,9% das pessoas não conseguem distinguir o real do falso, a revisão manual é uma vulnerabilidade, e não uma rede de segurança.

Pode perguntar-se: se as verificações de ponto único são o problema, isso não se aplica a qualquer fornecedor de biometria, incluindo a iProov? Aplicar-se-ia, se a iProov fosse uma verificação de ponto único. Mas não é. A distinção é arquitetónica, e é isso que explicaremos a seguir.

Como funciona realmente a segurança biométrica multicamadas

A resposta não é simplesmente adicionar mais camadas sem uma correlação inteligente, pois isso apenas cria ruído e atrito. O objetivo é a integração ideal, em que cada camada contribui com sinais distintos que, quando analisados em conjunto, criam uma imagem completa que nenhuma camada isolada poderia ver sozinha.

As imagens por si só também deixam o ambiente digital totalmente desprotegido. Um invasor pode usar um emulador ou injetar um deepfake pré-gravado diretamente no fluxo de vídeo – contornando completamente a câmara –, uma técnica que as verificações apenas por imagem não conseguem detectar. Sem a correlação de metadados (sinais de integridade do dispositivo, detecção de emuladores, verificação do ambiente), uma verificação de autenticidade opera às cegas em relação a toda a superfície de ataque.

Veja como a abordagem em várias camadas da iProov detecta e bloqueia ataques modernos na prática:

1: A camada de imagens: deteção avançada de presença humana

A primeira camada comprova que uma pessoa real está fisicamente presente, e não uma foto, vídeo, deepfake ou máscara. Isso vai muito além de verificar se um rosto parece convincente.

A tecnologia Dynamic Liveness utiliza tecnologia Flashmark™ – o ecrã ilumina-se com cores aleatórias enquanto o sistema analisa como a luz reflete num rosto genuíno em vários fotogramas. Isto cria um desafio único em desafio-resposta em tempo real que é praticamente impossível de falsificar, mesmo com deepfakes sofisticados, porque prova que a pessoa está presente no momento, e não um ataque de repetição.

2: A camada de metadados: perícia digital

Enquanto a deteção de vida verifica a pessoa, a camada de metadados verifica o ambiente digital. Isso inclui:

• Detetar dispositivos comprometidos (desbloqueados ou com acesso root)
• Detetar emuladores, frequentemente utilizados em operações de fraude em grande escala
• Identificar VPNs ou anonimizadores que ocultam a verdadeira origem de um dispositivo
• Verificação cruzada dos sinais técnicos em relação ao dispositivo reivindicado

Considere o último ponto: um invasor apresenta o que parece ser um iPhone, mas as dimensões da imagem no fluxo de dados não correspondem a nenhuma resolução que qualquer câmara de iPhone já tenha produzido. Esse sinal por si só não prova fraude. Combinado com uma VPN, uma origem IP incomum e dados de vivacidade que passaram de forma um pouco limpa demais, isso poderia levantar uma séria bandeira vermelha.

É o equivalente digital de um passaporte que parece real, mas contém o holograma do país errado. Os fraudadores modernos nem sempre são apanhados por um único sinal: verificações de GPS, análise de IP ou deteção de vida, por si só, têm pontos cegos. O segredo é garantir que cada camada contribua com informações exclusivas que fortaleçam a decisão geral.

3: A vantagem da monitorização contínua

Como se trata de uma corrida armamentista, a implantação não é o fim da história. Ferramentas de ataque que eram consideradas de elite no ano passado agora são vendidas como “Crime-as-a-Service» para qualquer pessoa com um cartão de pagamento.

Centro de Operações de Segurança da iProov (iSOC) (iSOC) da iProov analisa continuamente dados de ataques reais, atualizando métodos e algoritmos de detecção à medida que o panorama das ameaças evolui. Este não é um sistema que se configura e se esquece, mas sim uma defesa ativa e adaptável. Um sistema estático, por melhor que seja o seu design inicial, é um alvo fixo.

O iSOC e a monitorização ativa de ameaças são uma grande parte do motivo pelo qual a detecção da iProov acompanha a evolução dos ataques, em vez de persegui-los. A ameaça muda; a resposta também. Essa postura de segurança proativa é a única que faz sentido em um cenário de ameaças em constante mudança, e quando nenhuma verificação isolada pode ser considerada definitiva.

CPensamentos perdedores: a realidade

Hoje em dia, a fraude alimentada por IA é tão fácil quanto apontar e clicar. Kits de deepfake são vendidos como assinaturas de streaming. Quase ninguém consegue distinguir o real do falso.

Controlos pontuais – especialmente soluções de verificação de vida – são obsoletas contra esta ameaça.

Como afirma a Gartner:

«Os líderes de produto na área da verificação de identidade estão a ser levados a adotar uma abordagem mais holística que incorpora uma estratégia de defesa em várias camadas para se proteger contra deepfakes.»
Relatório sobre o impacto da IA e dos deepfakes na verificação de identidade.

Abordagens multifacetadas que combinam deteção avançada de atividade com análise de metadados e monitorização ativa de ameaças não são apenas melhores. Elas são necessárias. O monitoramento constante e o gerenciamento ativo de ameaças não são extras opcionais; eles são a base.

A questão não é se vale a pena investir em segurança multicamadas. A questão é se pode dar-se ao luxo de operar sem ela.

---

Interessado em saber mais sobre as soluções biométricas em camadas da iProov?

• O primeiro e único fornecedor a obter uma avaliação Iavaliação Genenium Nível 4 para deteção de ataques de injeção – um padrão que excede o nível mais alto da CEN TS 18099 (CEN High) tanto em escopo quanto em rigor. Em um teste independente de 40 dias, nenhuma via de ataque por injeção pôde ser estabelecida: rostos sintéticos e vídeos deepfake não tiveram para onde ir. Taxa de rejeição de usuários legítimos: apenas 1,3%, bem abaixo do limite de 15% exigido pelo padrão.
• Recentemente, o primeiro e único fornecedor a atender aos requisitos de verificação biométrica incluídos na nova Publicação Especial 800-63-4 do NIST, Diretrizes de Identidade Digital
• Marque hoje mesmo a sua demonstração consultiva.