A identidade não é mais apenas roubada — ela é simulada por IA. Em 2024, um funcionário da engenharia Arup autorizou US$ 25 milhões após participar de uma chamada de vídeo onde todos os colegas eram deepfakes. Esse é o novo paradigma de segurança corporativa.
- IA generativa permite criar deepfakes de voz e vídeo em tempo real, eliminando a necessidade de roubar credenciais.
- Casos como Arup (US$ 25M), MGM (US$ 100M) e Air Canada mostram impacto financeiro e legal.
- Treinar pessoas para detectar fraudes é insuficiente; é preciso redesenhar fluxos de autorização com verificação contínua e multissinal.
- Quatro camadas de resiliência: sinais de identidade, verificação contínua, resiliência do sistema e governança de acesso.
O que mudou: de roubar a simular
Por décadas, a segurança corporativa confiou em sinais como a voz familiar, o rosto conhecido ou o e-mail corporativo. Esses sinais nunca foram perfeitos, mas bastavam para o dia a dia. Agora, a IA generativa permite recriar qualquer um desses sinais com fidelidade assustadora, a custo quase zero e em escala industrial.
Como explica Abhesh Kumar, CTO da Springline Advisory e autor do artigo original no Forbes Technology Council, a diferença fundamental é que antes o invasor precisava roubar algo real — senha, token, cookie. Isso deixava rastros e exigia acesso a sistemas. Hoje, ele pode simplesmente simular a identidade de uma pessoa legítima sem nunca invadir um sistema.
- Roubo de credenciais: deixa rastros, exige acesso a sistemas, pode ser detectado.
- Simulação de identidade: não requer invasão, usa IA para recriar sinais humanos, escala rapidamente.
Exemplos reais de impacto financeiro e operacional
Os casos a seguir ilustram como a simulação de identidade já está causando danos reais em empresas globais.
O problema estrutural: treinar pessoas é insuficiente
Diante desses incidentes, a reação instintiva é investir mais em treinamento. Mas treinar pessoas para detectar enganos gerados por IA é uma estratégia de retornos decrescentes. A qualidade dos deepfakes melhora mais rápido que a capacidade humana de identificá-los.
O verdadeiro desafio é de design: como reduzir o número de decisões críticas que dependem exclusivamente do julgamento de um indivíduo sob pressão de tempo?
- Transações grandes → verificação fora de banda (out-of-band).
- Redefinições de senha → cadeias de aprovação multicanal.
- Ações de alto risco → separação de autoridade entre múltiplos sistemas/pessoas.
As quatro camadas de resiliência contra identidade simulada
Abhesh Kumar propõe quatro áreas para construir resiliência em camadas, em vez de depender de um único controle.
Impacto para o mercado de TI brasileiro
No Brasil, o cenário é igualmente preocupante. De acordo com o Relatório de Ameaças Cibernéticas 2024 da Fortinet, o país registrou um aumento de 35% nos ataques de engenharia social com uso de IA. Grandes empresas já relataram tentativas de clonagem de voz de executivos para autorizar transferências via PIX.
A regulação da LGPD impõe responsabilidade objetiva sobre o tratamento de dados, e a interpretação de tribunais brasileiros pode seguir o precedente da Air Canada.
Para profissionais de TI brasileiros, a recomendação é clara: revisar processos de aprovação para transações financeiras e alterações críticas, implementar verificação fora de banda e adotar soluções de IAM com verificação contínua de risco.
| Camada | Ações |
|---|---|
| Sinais de Identidade | Voz, aparência e estilo como contexto; verificação multissinal (dispositivo, criptografia, comportamento, rede). |
| Verificação Contínua | Não confiar após login; monitorar comportamento e acionar fricção em desvios. |
| Resiliência do Sistema | Assumir comprometimento; segmentação, privilégio mínimo, raio de explosão controlado. |
| Governança de Acesso | Acesso temporário e revogável; sensível ao contexto. |
Arraste para o lado para ver toda a tabela.
Perguntas Frequentes (FAQ)
O que é identidade simulada?
É a criação de uma réplica digital convincente de uma pessoa real usando IA generativa — incluindo voz, vídeo e padrões de escrita — sem necessidade de roubar credenciais.
Como o phishing tradicional difere do phishing com IA?
O phishing tradicional dependia de textos genéricos e erros que denunciavam a fraude. O phishing com IA gera mensagens personalizadas, com tom e contexto específicos da vítima, tornando-as quase indistinguíveis de comunicações legítimas.
Quais tecnologias podem ajudar a mitigar esse risco?
Autenticação multifator adaptativa (com base em risco), verificação contínua de sessão, análise comportamental (UEBA), chaves de segurança FIDO2 e sistemas de detecção de deepfake em tempo real.
O que significa verificação fora de banda (out-of-band)?
É confirmar uma ação ou identidade usando um canal de comunicação diferente do original. Por exemplo, receber um pedido por e-mail e confirmar por um aplicativo autenticador ou ligação telefônica previamente cadastrada.
A LGPD brasileira se aplica a casos de identidade simulada?
Sim. A LGPD responsabiliza a empresa pelo tratamento de dados pessoais. Se um deepfake for usado para obter dados ou autorizar transações, a empresa pode ser responsabilizada civil e administrativamente.
Fontes e referencias
- Forbes Technology Council: Identity And Access Management In The Age Of AI: From Stolen To Simulated (www.forbes.com)
- Microsoft Digital Defense Report 2024 (www.microsoft.com)