O recente incidente envolvendo o portal gov.br, em que contas foram acessadas indevidamente por cibercriminosos, acendeu um alerta importante sobre a fragilidade de algumas camadas de segurança digital utilizadas por órgãos públicos — e a urgência de se adotar mecanismos mais avançados, como o liveness ativo robusto, na autenticação de identidade.
Até onde sabemos, o ataque não decorreu de um vazamento interno da base de dados do governo, mas provavelmente de um aproveitamento criminoso de credenciais previamente expostas na dark web. Em outras palavras, os fraudadores podem ter utilizado dados de CPF, senhas e dados biométricos vazados em outras ocasiões para invadir as contas do gov.br — o que, em tese, demonstra que a autenticação baseada apenas em login e senha ou validação facial já não é suficiente.
Tudo indica que os cibercriminosos neste episódio usaram tecnologias elaboradas (possivelmente vídeos ou deepfakes). É justamente nesse ponto que entra a importância do liveness ativo, uma tecnologia que exige a comprovação de que o usuário é uma pessoa viva e presente no momento da autenticação, por meio de ações específicas (como piscar, mover o rosto ou falar palavras-chave).
Ao exigir essa comprovação de “vivacidade”, o sistema dificulta o uso de biometria falsa. O liveness ativo já é amplamente adotado por instituições financeiras, startups de tecnologia e empresas do setor de pagamentos — e deveria ser padrão para qualquer plataforma que centralize dados sensíveis da população. E, se o liveness ativo for combinado a outras tecnologias baseadas em Inteligência Artificial, a proteção aumenta, já que o sistema torna-se capaz de identificar se a imagem gerada é ou não um deepfake – ou seja, não basta mexer, precisa ser autêntico.
As lições que destaco desta história e os caminhos que vislumbro como seguros para o futuro revelam quatro pontos críticos:
1. A autenticação baseada em senhas está obsoleta. O uso de senhas frágeis ou repetidas é um vetor de ataque conhecido e evitável;
2. A biometria, por si só, já não basta. É preciso garantir que ela seja combinada a mecanismos ativos de verificação e inteligência antifraude;
3. O cidadão precisa ser educado para se proteger. Ou seja, as campanhas de conscientização digital precisam fazer parte de qualquer projeto governamental voltado ao acesso digital;
4. O governo precisa adotar o uso obrigatório de autenticação multifator (MFA). A exigência de múltiplos fatores de verificação — como token, biometria ativa e senha temporária — é essencial para impedir acessos não autorizados e reforçar a proteção de dados sensíveis.
Reforço que o poder público precisa olhar com mais atenção para o ciclo completo de segurança, que inclui desde o desenvolvimento seguro das aplicações até a forma como os dados são armazenados, protegidos e auditados.
O incidente no gov.br mostra como essa plataforma é atraente para os cibercriminosos, que não medirão esforços para invadir e se aproveitar de suas informações e também do acesso aos recursos financeiros atrelados. Isto posto, precisamos refletir sobre a necessidade de evolução do modelo utilizado até aqui. A transformação digital dos serviços públicos é bem-vinda e necessária, mas precisa de mais investimentos em segurança.
Incorporar tecnologias como o liveness ativo combinado a soluções de IA, tornar o MFA obrigatório e reforçar a educação digital da população são passos indispensáveis para garantir que a digitalização seja, acima de tudo, segura, confiável e inclusiva.
Carlos Alberto Costa, CEO da JC2Sec,
Fonte: TI INSIDE Online - Leia mais
