18 de dezembro de 2023

Este ano, o volume de ataques à identidade gerados por IA aumentou de tal forma que se tornou um tópico de consideração para consumidores, organizações e até líderes mundiais. A biometria representa uma força transformadora na reformulação da forma como os indivíduos interagem com os sistemas digitais e como as organizações salvaguardam informações sensíveis. À medida que 2024 se aproxima, o cenário da identidade digital está pronto para avanços significativos, com inovações definidas para redefinir a verificação, elevar os padrões de segurança e melhorar as experiências do utilizador.

Junte-se a nós enquanto mergulhamos no futuro iminente da biometria, onde a fusão da ciência e da segurança promete uma mudança de paradigma na forma como autenticamos, identificamos e protegemos no domínio digital.

1. A biometria tornar-se-á a pedra angular da infraestrutura de segurança do mercado de serviços financeiros dos EUA

No último ano, muitas organizações de serviços financeiros expandiram o acesso digital remoto para satisfazer a procura dos utilizadores. No entanto, este facto alargou a superfície de ataque digital e criou oportunidades para os autores de fraudes. O sector dos serviços financeiros dos EUA tem sido mais lento a adotar tecnologias de identidade digital do que outras regiões, o que pode ser atribuído aos desafios que enfrenta em termos de regulamentação da interoperabilidade e do intercâmbio de dados. No entanto, com a fraude de identidade sintética deverá gerar pelo menos 23 mil milhões de dólares em perdas até 2030a pressão está a aumentar de todos os ângulos. Os consumidores esperam abrir contas e aceder a serviços à distância com rapidez e facilidade, enquanto os autores de fraudes minam a segurança através de canais em linha e desviam dinheiro. Ao mesmo tempo, existe a séria ameaça de incumprimento das normas Know Your Customer (KYC) e Anti Money Laundering (AML). As sanções por este facto incluem multas avultadas e, potencialmente, até processos penais. Além disso, existe um risco acrescido de contornar as sanções e financiar os adversários do Estado. Em resposta, muitas instituições financeiras estão a ser levadas a tomar medidas. Isto envolveu a substituição de processos de integração complicados e a substituição de métodos de autenticação desactualizados, como palavras-passe e códigos de acesso, por tecnologias avançadas para integrar e autenticar remotamente os clientes de serviços bancários em linha existentes.

Uma das tecnologias mais avançadas é a tecnologia de verificação biométrica facial, que proporciona uma comodidade e acessibilidade inigualáveis aos clientes, ao mesmo tempo que coloca desafios de segurança inigualáveis aos adversários. Mais instituições financeiras reconhecerão a forma como a verificação biométrica irá remodelar e redefinir o impacto positivo que a tecnologia pode ter no equilíbrio entre a segurança e a experiência do cliente e farão a mudança.

2. Haverá um rápido aumento no número de países em desenvolvimento que estão a criar programas de identidade digital baseados em identidade descentralizada

Estima-se que 850 milhões de pessoas em todo o mundo não possuem uma forma legal de identificaçãoe sem identidade, as pessoas têm dificuldade em abrir uma conta bancária, arranjar emprego e aceder a cuidados de saúde, o que as deixa financeiramente excluídas. Os programas de identidade digital melhoram o acesso a serviços e oportunidades digitais. Permitem que as pessoas afirmem a sua identidade, acedam a plataformas em linha e participem em iniciativas governamentais digitais. Apoiados pelo investimento de fundos do Banco Mundial, os programas de identidade digital podem ajudar as economias menos avançadas a prevenir o roubo e a fraude de identidade, bem como fornecer uma forma alternativa de provar as suas identidades e aceder a serviços essenciais, como benefícios, cuidados de saúde e educação. Com base numa identidade descentralizada, estes programas permitirão aos utilizadores armazenar e trocar digitalmente documentos de identidade, como uma carta de condução, e credenciais, como diplomas, e autenticar-se sem uma autoridade central. Uma identidade descentralizada coloca o utilizador no controlo, permitindo-lhe gerir a sua identidade numa abordagem distribuída. Oferecerá a conveniência que os utilizadores finais exigem atualmente e abrirá caminhos essenciais para que indivíduos anteriormente desfavorecidos ou marginalizados tenham acesso a serviços financeiros e de assistência social.

3. Serão proibidas as videochamadas à distância para verificação da identidade

A verificação por videochamada envolve uma videochamada individual entre o utilizador e um operador treinado. Pede-se ao utilizador que mostre um documento de identidade e o operador compara-o com o seu rosto. No entanto, está provado que a verificação por videochamada oferece poucas garantias de que o utilizador final é uma pessoa "viva" e não imagens artificiais produzidas por IA, convincentemente sobrepostas ao rosto do agente da ameaça.

Por exemplo, iem 2022, investigadores do Chaos Computer Club conseguiram contornar a tecnologia de verificação de videochamadas utilizando IA generativa e uma identificação falsa. O caso mostrou como esta tecnologia, e os operadores humanos em que se baseia, são altamente susceptíveis a ataques de imagens sintéticas. Desde então, o Gabinete Federal Alemão para a Segurança da Informação advertiu contra a verificação de videochamadas devido à sua vulnerabilidade a estes ataques.

Se os programas de identidade digital não conseguirem defender-se contra a ameaça de falsificações profundas na integração e autenticação, serão explorados para fins criminosos, como fraude de pagamentos, branqueamento de capitais e financiamento do terrorismo. Como tal, assistiremos a iniciativas por parte dos reguladores dos serviços financeiros no sentido de proibir os métodos de verificação por videochamada com uma diretiva para escolher métodos mais fiáveis baseados em híbridos que combinem a correspondência automatizada de IA e a deteção de vivacidade com a supervisão humana do processo de aprendizagem automática.

4. As organizações introduzirão a autenticação mútua entre funcionários para comunicações de alto risco e integração remota de novos funcionários 

Como as organizações dependem cada vez mais de meios digitais para comunicações confidenciais, a necessidade de medidas robustas de cibersegurança é fundamental para mitigar o risco. A introdução da autenticação mútua para comunicações e transacções de alto risco é uma medida de segurança crucial que acrescenta uma camada extra de proteção contra o acesso não autorizado e potenciais ameaças. Além disso, em certos sectores, a conformidade regulamentar exige a implementação de medidas de segurança robustas. A autenticação mútua ajuda as organizações a cumprir estes requisitos de conformidade, demonstrando o seu empenho em garantir canais de comunicação seguros e em proteger informações sensíveis.

5. As violações de dados empresariais triplicarão devido a ataques bem sucedidos gerados por IA

Durante alguns anos, as organizações e os indivíduos confiaram na deteção de mensagens electrónicas de phishing através de erros ortográficos e gramaticais. Esse tempo já passou. A qualidade do Chat GPT é tal que os agentes de ameaças podem agora usá-lo para gerar ataques de phishing de alta qualidade em comunicações muito convincentes, sem pistas suspeitas. Consequentemente, em 2024 assistiremos a um aumento acentuado da qualidade e do volume dos ataques de phishing gerados por IA. A formação de sensibilização para a segurança tornar-se-á uma ferramenta redundante e as organizações serão forçadas a procurar métodos alternativos e mais fiáveis para autenticar de forma fiável os utilizadores internos e externos das suas plataformas.

6. Os kits de sínteses de voz e vídeo do crime como serviço vão ultrapassar a barreira dos 100 dólares 

O crime como serviço e a disponibilidade de ferramentas em linha aceleram a evolução do cenário de ameaças, permitindo aos criminosos lançar ataques avançados mais rapidamente e em maior escala. Se os ataques forem bem sucedidos, aumentam rapidamente em volume e frequência, ampliando o risco de danos graves.

Os malfeitores estão a utilizar uma sofisticada tecnologia de IA generativa para criar e lançar ataques que exploram os sistemas de segurança das organizações e defraudam os indivíduos. O iProov tem testemunhado indícios semelhantes de criminosos pouco qualificados que estão a adquirir a capacidade de criar e lançar ataques avançados de imagens sintéticas. No nosso mais recente relatório de inteligência sobre ameaças biométricasvimos o surgimento e o rápido crescimento de novas trocas de rosto por vídeo. As trocas de rostos são uma forma de imagens sintéticas em que o agente da ameaça transforma mais do que um rosto para criar uma nova saída de vídeo 3D falsa.

O custo dos recursos necessários para lançar ataques está a diminuir e esperamos que os kits de Crime-as-a-Service desçam abaixo dos 100 dólares.

7. O potencial da IA para difundir desinformação política fará com que a autenticação da autoria de imagens e conteúdos escritos seja uma ferramenta legalmente exigida 

À medida que nos aproximamos das eleições, haverá uma pletora de vídeos deepfake gerados por IA que serão utilizados para persuadir os eleitores. Para contrariar este fenómeno, as empresas tecnológicas vão tomar medidas para que as pessoas possam verificar a autenticidade das imagens que carregam. Por exemplo, soluções que permitam às pessoas colocar marcas de água nas imagens e assiná-las quando são criadas ou modificadas.

É provável que em 2024 haja muitas tentativas neste domínio, uma vez que a utilização de deepfakes está muito generalizada. Será um pré-requisito que qualquer conteúdo que utilize imagens ofereça uma forma de garantir a sua genuinidade e, se tal não acontecer, essas imagens serão desvalorizadas.

8. Uma chamada Zoom gerada por IA conduzirá à primeira fraude de um CEO no valor de mil milhões de dólares 

A fraude dos directores executivos está a atingir pelo menos 400 empresas por dia e representa uma ameaça significativa para as organizações em todo o mundo. Neste tipo de crime, os atacantes fazem-se passar por executivos de topo da empresa e tentam enganar os empregados para que transfiram fundos, divulguem informações sensíveis ou iniciem outras actividades fraudulentas. Envolvem frequentemente ataques sofisticados de engenharia social, o que torna difícil a sua deteção. As ferramentas de IA generativa estão agora a ser amplamente utilizadas pelos autores de fraudes para criar deepfakes que imitam uma pessoa. Os malfeitores podem agora criar áudio e imagens convincentes gerados por IA e implantá-los em plataformas como o Zoom, o Microsoft Teams e o Slack. Sem ferramentas sofisticadas de monitorização e deteção, é quase impossível detetar este tipo de imagens sintéticas. Como tal, esperamos ver uma chamada Zoom gerada por IA levar à primeira fraude de um CEO no valor de mil milhões de dólares em 2024.