Por Gabriel Lobitsky, general manager da One Identity na América Latina
Não faz muito tempo, um diretor financeiro de uma multinacional em Cingapura participou do que parecia ser uma videoconferência rotineira com seus superiores. O CFO estava presente. Outros líderes também. Todos os rostos e vozes eram familiares. Mas nada ali era real. Em poucos minutos, o executivo autorizou a transferência de quase meio milhão de dólares – seguindo instruções de um grupo de impostores criados por inteligência artificial.
O caso tornou-se um dos exemplos mais contundentes de uma ameaça que evolui mais rápido do que a capacidade de muitas organizações de compreendê-la. A tecnologia de deepfake, antes vista como truque digital de baixa qualidade, amadureceu a ponto de se tornar uma arma criminosa capaz de enganar em larga escala. Esta não é apenas uma história sobre fraude – é uma história sobre identidade. Deepfakes redefiniram o que significa confiar em quem está do outro lado da tela.
A vulnerabilidade que não se corrige com firewall
O impacto dos deepfakes é devastador porque expõe uma fragilidade que nenhum firewall ou treinamento resolve: a suposição de que a presença humana equivale à verdade. A IA generativa reduziu drasticamente a barreira para criar falsificações audiovisuais convincentes, permitindo que criminosos escalem ataques de impersonificação por chamadas, mensagens e fluxos inteiros de trabalho.
Os sinais que antes confirmavam autenticidade – conversas ao vivo, vozes conhecidas, rostos reconhecíveis – agora são os mais fáceis de forjar. Se ver e ouvir já não garantem mais nada, onde isso deixa as organizações?
De autenticidade para garantia
O debate sobre deepfakes geralmente se concentra na autenticidade do que vemos e ouvimos. Antes, era simples identificar se uma imagem ou vídeo era legítimo, ou se uma gravação havia sido manipulada. Isso ficou mais difícil – mas o verdadeiro desafio é mais profundo.
Todo caso de impersonificação sintética é, no fundo, um problema de identidade. Quando um fraudador usa IA para reproduzir a aparência, a voz ou a escrita de alguém, ele não está falsificando conteúdo; está falsificando uma pessoa. Surge, assim, um novo tipo de roubo de identidade que não depende de senhas vazadas ou violação de dados, mas da capacidade de replicar a própria confiança.
Não há treinamento anti-phishing capaz de barrar um impostor que entra em uma conversa parecendo e soando exatamente como um colega. Por isso, as empresas precisam rever a forma como validam identidades em interações digitais. Em outras palavras: é hora de parar de verificar o meio e começar a verificar a entidade por trás dele.
Com a facilidade de replicar sinais visuais e vocais, a autenticação passa a depender da validação contínua do contexto, como integridade do dispositivo, localização e padrões de comportamento, transformando a segurança de identidade de um checkpoint estático em um processo dinâmico que confirma, em tempo real, a legitimidade de cada interação.
Redefinindo confiança em um mundo sintético
Os deepfakes obrigaram as equipes de segurança a repensar o conceito tradicional de confiança, baseado em credenciais fixas como senhas, tokens e biometria. Com a IA capaz de replicar esses sinais, checagens estáticas de identidade tornam-se frágeis, oferecendo apenas uma verificação momentânea e facilmente burlável. Nesse contexto pós-IA, a autenticação precisa evoluir para modelos mais dinâmicos e difíceis de falsificar.
A resposta tem sido a adoção de uma garantia de identidade contínua, apoiada em sinais comportamentais, contextuais e ambientais. Plataformas modernas analisam reputação de dispositivos, padrões de sessão e histórico de comportamento para definir o que é normal e detectar anomalias, acionando verificações adicionais quando necessário. Assim, a confiança deixa de ser um ponto fixo e passa a ser validada de forma adaptativa, acompanhando a evolução constante dos riscos.
Identidade é a nova linha de frente
Identidade tornou-se a camada unificadora de controle da resiliência cibernética. Cada interação, transação e solicitação de acesso passa pelo mesmo canal de confiança — convertendo-se no ponto lógico para detectar e conter tentativas de impersonificação antes que causem danos.
A fronteira entre fraude, cibersegurança e compliance está se desfazendo. Organizações já começam a tratar a defesa contra deepfakes como responsabilidade compartilhada, não como função isolada pontual. Com isso, o verdadeiro indicador de segurança passa a ser a capacidade de provar quem – ou o quê – está operando dentro do ambiente corporativo.
Isso exige uma governança baseada em evidências, na qual empresas substituem atestações estáticas por validação contínua, demonstrando conformidade por meio de trilhas de auditoria em tempo real que registram acessos, contexto e duração, ao mesmo tempo em que estendem os princípios de zero trust a identidades não humanas — como agentes de IA, ferramentas de automação e bots —, que passam a ser autenticados, autorizados e monitorados sob o princípio de privilégio mínimo e verificação contínua.
Em um cenário onde a realidade pode ser sintetizada, identidade deixa de ser mero componente técnico. Ela passa a ser a camada de verdade das empresas – o ponto onde ataques são interrompidos e a confiança é preservada.
