Vivemos um ponto de inflexão silencioso, mas profundo: nossa própria percepção, a ferramenta mais básica que temos para interagir com o mundo, tornou-se o novo perímetro de segurança. Se antes a principal preocupação de uma empresa era proteger sua rede interna de ameaças externas, hoje a fronteira é muito mais fluida e traiçoeira. Ela reside […]
Vivemos um ponto de inflexão silencioso, mas profundo: nossa própria percepção, a ferramenta mais básica que temos para interagir com o mundo, tornou-se o novo perímetro de segurança. Se antes a principal preocupação de uma empresa era proteger sua rede interna de ameaças externas, hoje a fronteira é muito mais fluida e traiçoeira. Ela reside na capacidade de um funcionário discernir entre uma ordem legítima de seu CEO e uma simulação perfeita criada por inteligência artificial.
Imagine o cenário: um vídeo impecável do diretor financeiro surge em uma chamada de vídeo, com sua voz, seus gestos e até suas manias, solicitando uma transferência bancária urgente e confidencial. Ou um áudio com a voz de um fornecedor de longa data, enviado por WhatsApp, pedindo para que o pagamento de uma fatura seja feito em uma nova conta. Em ambos os casos, não há e-mail suspeito com links maliciosos ou erros de gramática. Há apenas a aparente realidade, fabricada em minutos por algoritmos de inteligência artificial generativa com uma qualidade assustadora.
Para entender a urgência do Zero Trust Sensorial, primeiro precisamos compreender seu conceito fundamental. De forma simples, o Zero Trust é um modelo de segurança que se baseia no princípio de “nunca confie, sempre verifique”.
Veja também: Do discurso à entrega: Brasil aposta R$ 23 bilhões para liderar a IA em português
Pense na segurança de um castelo medieval. O modelo antigo de segurança de redes era como ter um fosso e muralhas fortes: uma vez que alguém estivesse dentro, era considerado confiável e podia circular livremente. O Zero Trust, por outro lado, assume que invasores já podem estar dentro das muralhas. Portanto, ele exige uma verificação de identidade e permissão para cada pessoa que tenta entrar em qualquer cômodo do castelo, não importa quantas vezes ela já tenha sido vista ali antes.
De acordo com gigantes da tecnologia como a Microsoft e a Zscaler, os pilares do Zero Trust são:
O Zero Trust Sensorial pega essa lógica e a aplica não mais apenas a redes e dispositivos, mas à nossa cognição. Se a máquina não deve confiar em outra máquina sem verificação, o humano não deve confiar em uma imagem ou som sem um processo robusto de confirmação.
A ameaça que torna o Zero Trust Sensorial uma necessidade vem da popularização e do avanço de duas tecnologias de IA generativa: deepfakes e clonagem de voz.
Deepfakes são vídeos ou imagens falsificados criados com a ajuda de inteligência artificial. O nome vem da junção de deep learning (aprendizado profundo) com fake (falso). A tecnologia por trás da maioria dos deepfakes utiliza Redes Adversariais Generativas, conhecidas como GANs. Para entender de forma simples, imagine dois sistemas de inteligência artificial competindo entre si. Um deles, chamado de Gerador, tem a tarefa de criar imagens ou vídeos falsos, como o rosto de um CEO em outro corpo, e começa produzindo imagens confusas e cheias de falhas. O outro sistema, chamado de Discriminador, atua como um detetive, avaliando cada imagem para identificar se é real, vinda do banco de dados de treinamento, ou falsa, criada pelo Gerador. No início, o Gerador falha facilmente, sendo rapidamente descoberto. Mas, a cada erro, ele aprende e melhora suas criações. Ao mesmo tempo, o Discriminador também se aprimora, identificando com mais precisão as falsificações. Esse jogo de “pega-pega” entre os dois sistemas acontece milhões de vezes, até que os resultados se tornam tão realistas que se tornam quase impossíveis de serem distinguidos a olho nu, como explica a Amazon Web Services.
A clonagem de voz segue uma lógica parecida. A inteligência artificial é alimentada com amostras de áudio da voz de uma pessoa e, quanto mais material ela recebe, melhor consegue replicar. O sistema analisa os detalhes únicos daquela voz, como tom, ritmo, cadência, inflexões e até as pausas naturais de respiração. Com apenas alguns segundos de gravação, ferramentas como as da ElevenLabs conseguem criar uma cópia digital capaz de falar qualquer texto com a voz da pessoa original, tornando a detecção humana praticamente impossível.
Adotar uma postura de Zero Trust Sensorial não é apenas sobre tecnologia, mas sobre a criação de uma cultura de ceticismo saudável e processos robustos.
1. Validação Fora de Banda (Out-of-Band Verification): Este é o ponto mais importante: toda solicitação sensível, como pedidos de transferência de dinheiro ou alteração de dados de fornecedores, deve sempre ser confirmada por um canal diferente daquele pelo qual a solicitação chegou. E esse canal de confirmação precisa ser previamente acordado pela organização, para evitar brechas. Por exemplo, se o CEO envia um e-mail pedindo uma transferência urgente, o protocolo deve ser ligar diretamente para o número pessoal e já registrado do CEO para confirmar o pedido verbalmente. Se a equipe financeira recebe um áudio no WhatsApp de um fornecedor solicitando a mudança de uma conta bancária, o procedimento correto é entrar em contato com o gerente de contas daquele fornecedor por um telefone ou e-mail já cadastrado no sistema, sem utilizar os contatos informados na mensagem recebida. Esse cuidado simples, mas disciplinado, pode evitar fraudes que exploram justamente a confiança e a pressa nas decisões do dia a dia.
2. Autenticação Multifator (MFA) para Processos, Não Apenas para Logins: A autenticação multifator, que exige mais de uma prova de identidade para acessar sistemas — como uma senha, um token ou biometria —, precisa ir além do login e ser aplicada também nos processos de negócio. Isso significa que operações sensíveis não devem depender apenas da aprovação de uma única pessoa, mesmo que seja um diretor. Por exemplo, uma transferência acima de determinado valor deve passar por uma segunda aprovação digital de outro responsável autorizado e pode incluir ainda a inserção de um código gerado por um aplicativo autenticador. Essa prática adiciona camadas de segurança que reduzem o risco de fraudes, garantindo que decisões críticas sejam validadas de forma segura e transparente.
3. Treinamento e Conscientização Contínua: Os colaboradores continuam sendo a primeira e a última linha de defesa de uma organização, e o treinamento em segurança precisa avançar além da simples identificação de e-mails de phishing. É essencial preparar as equipes para reconhecer sinais de alerta em qualquer tipo de comunicação, especialmente aquelas que trazem pedidos urgentes, sigilosos ou que pressionam por decisões rápidas. Golpistas costumam criar cenários que forçam a vítima a agir sem consultar outros, explorando justamente a pressa e o medo de descumprir prazos.
Outro ponto importante é desenvolver a análise crítica em relação à mídia que chega até os colaboradores. Embora os deepfakes estejam cada vez mais sofisticados, ainda podem apresentar pequenos indícios de falsificação, como iluminação inconsistente, piscar de olhos estranho, sincronia labial imperfeita ou um áudio com qualidade diferente do vídeo. Existem plataformas, como o Blog do Banco do Brasil, que oferecem dicas práticas ao público para identificar essas falhas no dia a dia.
Além disso, assim como as empresas já realizam testes de phishing, é possível criar simulações seguras de ataques utilizando deepfakes de voz ou vídeo para treinar as equipes, permitindo que os colaboradores se acostumem a reconhecer sinais de fraude em um ambiente controlado e apliquem protocolos de checagem antes de tomar qualquer decisão que envolva riscos.
4. Utilização de Tecnologia de Detecção: O mercado de cibersegurança está desenvolvendo ferramentas para combater essa ameaça. Soluções que analisam o fluxo de pixels em um vídeo para detectar a circulação sanguínea artificial no rosto (como o FakeCatcher da Intel) ou que verificam a autenticidade de um arquivo de mídia já existem e devem ser consideradas para proteger processos críticos.
O Zero Trust Sensorial não é sobre paranoia, mas sobre responsabilidade. É sobre entender que a tecnologia democratizou a capacidade de fabricar a realidade. A confiança, antes um pilar das relações comerciais e interpessoais, tornou-se um vetor de ataque.
Líderes de negócio, diretores de segurança e gestores de equipe precisam se fazer uma pergunta fundamental: nossos processos e nossa cultura estão preparados para operar em um mundo onde não podemos mais acreditar no que vemos e ouvimos sem uma verificação rigorosa?
A agilidade dos negócios não pode mais ser uma desculpa para a negligência em segurança. Ignorar a necessidade de validar e confirmar é deixar a porta aberta para fraudes devastadoras. A construção de uma cultura de desconfiança saudável, apoiada por processos claros e tecnologia adequada, não é mais uma opção. É a única forma de navegar com segurança em uma realidade cada vez mais sintética. Se a resposta à pergunta acima for “não” ou “não tenho certeza”, o momento de agir é agora.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
