O cofundador e CTO da Sumsub, Vyacheslav Zholudev, conduziu um teste para verificar se o Veo3, a nova ferramenta de criação de vídeos com IA generativa do Google, consegue enganar sistemas de verificação biométrica e descobriu que, embora seu sistema tenha resistido à tentativa de fraude, a evolução dessas tecnologias é uma ameaça crescente para a segurança digital. O executivo utilizou fotos próprias para gerar vídeos ultrarrealistas que simulavam processos de verificação de identidade tradicional, com iluminação natural, contato visual direto e movimentos sutis.

• Falha no Windows Hello permite login com rosto de outra pessoa
• 10 deepfakes mais impressionantes que confundiram a internet

A chegada do Veo3 em dezembro e sua ampla disponibilização recentemente já rendeu milhares de conteúdos virais nas redes sociais. De cenas ultrarrealistas do Titanic a propagandas de prefeituras e programas de TV inteiros, a ferramenta já mais do que demonstrou seu potencial para criar conteúdo indistinguível da realidade.

Tamanho avanço coincide com o crescimento explosivo de fraudes baseadas em deepfake no Brasil, que aumentaram 700% no último ano, segundo dados da Sumsub obtidos pelo Canaltech. O país registra incidentes cinco vezes mais frequentes que os Estados Unidos e dez vezes superiores aos da Alemanha, se consolidando como epicentro mundial desse tipo de crime digital. Paralelamente, as falsificações tradicionais de documentos, como reimpressões e edições no Photoshop, caíram 64%, indicando que os criminosos estão adotando métodos cada vez mais sofisticados.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Sistema da Sumsub resiste, mas acende alerta

Durante o experimento, Zholudev utilizou fotografias próprias para treinar o Veo3 na criação de vídeos que simulavam processos de verificação de identidade por biometria facial. O sistema automatizado da Sumsub conseguiu identificar sinais que indicavam se tratar de conteúdo sintético, negando a autorização ao usuário “artificial”. No entanto, o executivo alertou que essa capacidade de detecção pode não ser permanente.

“Embora a maioria das soluções de verificação mais sofisticadas, incluindo a da Sumsub, identifique imagens e vídeos gerados por IA de próxima geração, como o Veo3, como fraudulentos, isso pode não ser sempre o caso”, explica Zholudev em publicação no LinkedIn. O CTO ainda ressalta que a detecção de deepfakes está se tornando progressivamente mais desafiadora, exigindo abordagens sistemáticas e de ponta a ponta para enfrentar esses riscos.

O teste conduzido pela Sumsub focou exclusivamente em seu próprio sistema de verificação, sem avaliar mecanismos mais populares, como o Windows Hello, o Apple Face ID ou o Google Face Detection. Essa limitação deixa em aberto questões importantes sobre a vulnerabilidade de sistemas de autenticação biométrica que protegem dispositivos pessoais e corporativos ao redor do mundo.

Ameaça crescente para sistemas biométricos

A possibilidade de deepfakes gerados pelo Veo3 comprometerem sistemas de reconhecimento facial é um risco gigantesco para a segurança digital. Dispositivos protegidos por biometria facial, desde smartphones até computadores corporativos, podem se tornar vulneráveis a acessos não autorizados se criminosos conseguirem criar vídeos convincentes o suficiente para enganar os algoritmos de verificação.

O perigo é amplificado pela natureza do próprio processo de autenticação biométrica. Diferentemente de senhas que podem ser alteradas, as características faciais são permanentes e, uma vez comprometidas por deepfakes convincentes, podem ser reutilizadas indefinidamente. Isso é preocupante, sobretudo em ambientes corporativos, onde o acesso não autorizado a sistemas pode resultar em vazamento de dados sensíveis, espionagem industrial ou comprometimento de infraestruturas críticas.

Para indivíduos, a capacidade de falsificar verificações biométricas pode permitir que criminosos acessem contas bancárias, dispositivos pessoais e serviços online protegidos por reconhecimento facial. A crescente integração de sistemas biométricos em processos de pagamento digital e verificação de identidade torna essa vulnerabilidade ainda mais crítica.

Corrida entre proteção e sofisticação

O Google implementou marcas d’água invisíveis SynthID nos vídeos gerados pelo Veo3 para facilitar a detecção de conteúdo sintético e promover o uso ético da tecnologia. Contudo, Zholudev alerta que a medida pode não ser suficiente a longo prazo: “Sem sistemas eficazes, multicamadas e de verificação de ponta a ponta, as empresas correm o risco de depender de medidas de segurança e governança de uma indústria que, até agora, fez pouco para minimizar a desinformação gerada por IA”.

A preocupação só aumenta conforme vemos o avanço de modelos open-source que podem não incluir essas proteções. Enquanto o Google mantém controle sobre o uso do Veo3, versões de código aberto em desenvolvimento podem deixar de lado as marcas d’água ou outros mecanismos de detecção, facilitando o uso malicioso da tecnologia.

Os dados da Sumsub revelam que as fraudes por identidade sintética já representam o método mais utilizado e crescente para burlar sistemas de verificação no Brasil, com aumento de 140% na proporção de tentativas. O setor de apostas esportivas lidera as estatísticas com crescimento de 231% nas taxas de fraude, seguido por aplicativos de encontros e redes sociais (169%) e fintechs (143%).

Necessidade de verificação multicamadas

É justamente por conta desse aumento alarmante que Zholudev insiste na importância de implementar sistemas de verificação multicamadas que não dependam exclusivamente de análises visuais. Verificações simples de prova de vida, comuns em processos de KYC (Know Your Customer) tradicionais, podem não detectar informações visuais falsas tão realistas quanto as produzidas pelo Veo3.

“No futuro, essas marcas-d’água podem não estar presentes e verificações simples de prova de vida, como parte dos processos de verificação e prevenção de fraudes, podem não detectar informações visuais falsas tão realistas”, reforça Zholudev. O executivo destaca que isso é extremamente importante para empresas que focam apenas nas verificações iniciais de KYC, sem análise contínua e aprimorada por IA das atividades e transações.

Diante desse cenário preocupante, a evolução dos deepfakes desponta como um ponto de inflexão na segurança digital, exigindo que organizações repensem suas estratégias de proteção. Afinal, embora os sistemas atuais ainda consigam detectar deepfakes gerados pelo Veo3, a janela de oportunidade para fortalecer as defesas está cada vez menor.

Leia mais no Canaltech

• Fim das senhas no Microsoft Authenticator: 5 apps para guardar suas credenciais
• Hackers usam anúncios online para atacar sites WordPress
• Falha de segurança em memória GDDR6 expõe GPUs da Nvidia a ataques

Leia a matéria no Canaltech.