O Gartner prevê que até 2026 os ataques que utilizam Deepfakes geradas por Inteligência Artificial (IA) para criar falsas biometrias faciais farão com que 30% das empresas deixem de considerar essas soluções de verificação e autenticação de identidade como confiáveis quando usadas isoladamente.
“Na última década, ocorreram vários pontos de interferência nos domínios da Inteligência Artificial que permitem a criação de imagens sintéticas. A Deepfake é um tipo de tecnologia que pode ser usada para criar vídeos falsos, geralmente com o objetivo de enganar as pessoas. Estas imagens geradas artificialmente de rostos de pessoas reais podem ser utilizadas por indivíduos mal-intencionados para minar a autenticação biométrica ou torná-la ineficiente”, afirma Akif Khan, Vice-Presidente e Analista do Gartner.
“Como resultado, as empresas podem começar a questionar a confiança das soluções de verificação e autenticação de identidade, uma vez que não poderão dizer se o rosto que está sendo verificado é de uma pessoa real ou não.”
Os processos de verificação e autenticação de identidade usando biometria facial hoje dependem da detecção de ataques de apresentação (PAD) para avaliar a vivacidade do usuário. “Os padrões e processos de teste atuais para definir e avaliar mecanismos PAD não cobrem ataques de injeção digital usando Deepfakes geradas por IA que atualmente podem ser criadas”, disse Khan.
Segundo pesquisa do Gartner, os ataques de apresentação são o vetor mais comum, mas os ataques de injeção aumentaram 200% em 2023. Prevenir tais ataques exigirá uma combinação de PAD, detecção de ataques de injeção (IAD) e inspeção de imagens.
Combinação contra Deepfakes
Para ajudar as empresas a se protegerem contra as falsificações geradas com Inteligência Artificial para além da biometria facial, os CISOs e líderes de gestão de riscos devem escolher fornecedores que possam demonstrar suas capacidades e um plano que vai além das normas atuais, assim como comprovar que estão monitorando, classificando e quantificando esses novos tipos de ataques.
“As empresas devem começar a definir uma linha de base mínima de controles, trabalhando com fornecedores que investiram especificamente na atenuação das mais recentes ameaças baseadas em Deepfake, utilizando a detecção de ataques de injeção em conjunto com a inspeção de imagens”, afirma Khan.
Uma vez definida a estratégia e estabelecida a linha de base, os CISOs e os líderes de gestão de riscos devem incluir sinais adicionais de reconhecimento, como a identificação de dispositivos e a análise comportamental, para aumentar a detecção de eventuais ataques e riscos aos processos de verificação de identidade.
Acima de tudo, os líderes de segurança e de gestão de riscos responsáveis pela administração de identidades e acessos devem tomar medidas para mitigar os riscos de ataques de Deepfake orientadas por Inteligência Artificial, selecionando tecnologias que possam provar a presença humana genuína e implementando medidas adicionais para evitar a apropriação de contas.
