IAM na era da IA: como a identidade simulada substitui o roubo de credenciais

A identidade não é mais apenas roubada — ela é simulada por IA. Casos como o golpe de US$ 25 milhões na Arup mostram que o modelo de confiança única precisa evoluir.

R

Ilustração de um rosto humano se desfazendo em pixels, representando identidade digital sendo simulada por IA
Ilustração de um rosto humano se desfazendo em pixels, representando identidade digital sendo simulada por IA

A identidade não é mais apenas roubada — ela é simulada por IA. Em 2024, um funcionário da engenharia Arup autorizou US$ 25 milhões após participar de uma chamada de vídeo onde todos os colegas eram deepfakes. Esse é o novo paradigma de segurança corporativa.

  • IA generativa permite criar deepfakes de voz e vídeo em tempo real, eliminando a necessidade de roubar credenciais.
  • Casos como Arup (US$ 25M), MGM (US$ 100M) e Air Canada mostram impacto financeiro e legal.
  • Treinar pessoas para detectar fraudes é insuficiente; é preciso redesenhar fluxos de autorização com verificação contínua e multissinal.
  • Quatro camadas de resiliência: sinais de identidade, verificação contínua, resiliência do sistema e governança de acesso.

O que mudou: de roubar a simular

Por décadas, a segurança corporativa confiou em sinais como a voz familiar, o rosto conhecido ou o e-mail corporativo. Esses sinais nunca foram perfeitos, mas bastavam para o dia a dia. Agora, a IA generativa permite recriar qualquer um desses sinais com fidelidade assustadora, a custo quase zero e em escala industrial.

Como explica Abhesh Kumar, CTO da Springline Advisory e autor do artigo original no Forbes Technology Council, a diferença fundamental é que antes o invasor precisava roubar algo real — senha, token, cookie. Isso deixava rastros e exigia acesso a sistemas. Hoje, ele pode simplesmente simular a identidade de uma pessoa legítima sem nunca invadir um sistema.

  • Roubo de credenciais: deixa rastros, exige acesso a sistemas, pode ser detectado.
  • Simulação de identidade: não requer invasão, usa IA para recriar sinais humanos, escala rapidamente.

Exemplos reais de impacto financeiro e operacional

Os casos a seguir ilustram como a simulação de identidade já está causando danos reais em empresas globais.

O problema estrutural: treinar pessoas é insuficiente

Diante desses incidentes, a reação instintiva é investir mais em treinamento. Mas treinar pessoas para detectar enganos gerados por IA é uma estratégia de retornos decrescentes. A qualidade dos deepfakes melhora mais rápido que a capacidade humana de identificá-los.

O verdadeiro desafio é de design: como reduzir o número de decisões críticas que dependem exclusivamente do julgamento de um indivíduo sob pressão de tempo?

  • Transações grandes → verificação fora de banda (out-of-band).
  • Redefinições de senha → cadeias de aprovação multicanal.
  • Ações de alto risco → separação de autoridade entre múltiplos sistemas/pessoas.

As quatro camadas de resiliência contra identidade simulada

Abhesh Kumar propõe quatro áreas para construir resiliência em camadas, em vez de depender de um único controle.

Impacto para o mercado de TI brasileiro

No Brasil, o cenário é igualmente preocupante. De acordo com o Relatório de Ameaças Cibernéticas 2024 da Fortinet, o país registrou um aumento de 35% nos ataques de engenharia social com uso de IA. Grandes empresas já relataram tentativas de clonagem de voz de executivos para autorizar transferências via PIX.

A regulação da LGPD impõe responsabilidade objetiva sobre o tratamento de dados, e a interpretação de tribunais brasileiros pode seguir o precedente da Air Canada.

Para profissionais de TI brasileiros, a recomendação é clara: revisar processos de aprovação para transações financeiras e alterações críticas, implementar verificação fora de banda e adotar soluções de IAM com verificação contínua de risco.

As quatro camadas de resiliência contra identidade simulada, segundo Abhesh Kumar.
CamadaAções
Sinais de IdentidadeVoz, aparência e estilo como contexto; verificação multissinal (dispositivo, criptografia, comportamento, rede).
Verificação ContínuaNão confiar após login; monitorar comportamento e acionar fricção em desvios.
Resiliência do SistemaAssumir comprometimento; segmentação, privilégio mínimo, raio de explosão controlado.
Governança de AcessoAcesso temporário e revogável; sensível ao contexto.

Arraste para o lado para ver toda a tabela.

Perguntas Frequentes (FAQ)

O que é identidade simulada?

É a criação de uma réplica digital convincente de uma pessoa real usando IA generativa — incluindo voz, vídeo e padrões de escrita — sem necessidade de roubar credenciais.

Como o phishing tradicional difere do phishing com IA?

O phishing tradicional dependia de textos genéricos e erros que denunciavam a fraude. O phishing com IA gera mensagens personalizadas, com tom e contexto específicos da vítima, tornando-as quase indistinguíveis de comunicações legítimas.

Quais tecnologias podem ajudar a mitigar esse risco?

Autenticação multifator adaptativa (com base em risco), verificação contínua de sessão, análise comportamental (UEBA), chaves de segurança FIDO2 e sistemas de detecção de deepfake em tempo real.

O que significa verificação fora de banda (out-of-band)?

É confirmar uma ação ou identidade usando um canal de comunicação diferente do original. Por exemplo, receber um pedido por e-mail e confirmar por um aplicativo autenticador ou ligação telefônica previamente cadastrada.

A LGPD brasileira se aplica a casos de identidade simulada?

Sim. A LGPD responsabiliza a empresa pelo tratamento de dados pessoais. Se um deepfake for usado para obter dados ou autorizar transações, a empresa pode ser responsabilizada civil e administrativamente.

R

Sobre o autor

Redação

Editor-chefe

Usuário técnico criado para escrever conteúdos da redação.

Perguntas frequentes

O que é identidade simulada? +

É a criação de uma réplica digital convincente de uma pessoa real usando IA generativa — incluindo voz, vídeo e padrões de escrita — sem necessidade de roubar credenciais.

Como o phishing tradicional difere do phishing com IA? +

O phishing tradicional dependia de textos genéricos e erros que denunciavam a fraude. O phishing com IA gera mensagens personalizadas, com tom e contexto específicos da vítima, tornando-as quase indistinguíveis de comunicações legítimas.

Quais tecnologias podem ajudar a mitigar esse risco? +

Autenticação multifator adaptativa (com base em risco), verificação contínua de sessão, análise comportamental (UEBA), chaves de segurança FIDO2 e sistemas de detecção de deepfake em tempo real.

O que significa verificação fora de banda (out-of-band)? +

É confirmar uma ação ou identidade usando um canal de comunicação diferente do original. Por exemplo, receber um pedido por e-mail e confirmar por um aplicativo autenticador ou ligação telefônica previamente cadastrada.

A LGPD brasileira se aplica a casos de identidade simulada? +

Sim. A LGPD responsabiliza a empresa pelo tratamento de dados pessoais. Se um deepfake for usado para obter dados ou autorizar transações, a empresa pode ser responsabilizada civil e administrativamente.

Mais em Cibersegurança

Newsletter

Receba os destaques no seu e-mail

Cadastre-se e acompanhe as novidades em primeira mão.