Posted in

Repensando a segurança de identidade na era da IA

Posted inArtigo
Foto: Freepik

*Por Sérgio Muniz

As proteções de identidade tradicionais nunca foram projetadas para a era da inteligência artificial. Elas não conseguem deter ataques ultra rápidos e altamente convincentes facilitados pela IA. Há uma razão pela qual quase 60% das empresas afirmam que credenciais comprometidas são a principal causa de violações de segurança.

Ao celebrar o 21º aniversário do Mês da Conscientização sobre Cibersegurança, as organizações precisam repensar a segurança de identidade. Devem evoluir de proteções estáticas para defesas adaptativas e resistentes à IA, capazes de manter invasores fora e usuários seguros.

Phishing e comprometimento de e-mails corporativos

O phishing continua sendo uma das ameaças cibernéticas mais comuns e bem-sucedidas. Antes, era possível identificar e-mails falsos por erros de ortografia, tom suspeito ou formato estranho. Agora, os modelos de linguagem de larga escala (LLMs) podem gerar mensagens impecáveis, imitando até o estilo e o tom de um CEO. O resultado: e-mails praticamente indistinguíveis das comunicações reais da empresa, tornando o Business Email Compromise (BEC) ainda mais difícil de detectar. Senhas fortes, sozinhas, não ajudam — se um funcionário for enganado a fornecer suas credenciais, o invasor já está dentro.


Rastreamento de credenciais impulsionado por IA

O uso de credenciais falsas, uso de logins e senhas roubados em vários sites — não é novo. O que mudou foi a escala e a sofisticação trazidas pela IA. Hoje, bots aprimorados por IA conseguem:

  • Realizar milhões de tentativas de login por hora.
  • Alternar endereços IP, imitar escrita humana e aleatorizar ações para evitar detecção.
  • Superar captchas, explorar falhas de API e adaptar-se instantaneamente a novas regras.

Senhas fortes e autenticação multifator (MFA) ajudam, mas já não bastam sozinhas.

Ataques de fadiga de MFA

A autenticação multifator foi projetado para deter os atacantes em seu caminho. Mas o ” bombardeio push ” melhorado A IA transformou isso em uma arma contra os próprios usuários.

Veja como funciona: depois de roubar credenciais, os invasores ativam infinitas notificações push de MFA. A princípio, os usuários as rejeitam. Mas a frustração aumenta. A confusão se instala. Finalmente, alguém clica em “Aprovar” e elas param de aparecer. A IA torna esses ataques ainda mais perigosos com:

  • Scripts que agendam notificações para causar o máximo de incômodo.
  • Mensagens ou chamadas de TI falsas para enganar usuários.
  • Ataques a contas de alto valor para obter maior lucro.

O tradicional MFA “Aprovado/Rejeitado” não consegue suportar essa pressão.

Automação e identidades sintéticas

A IA não está apenas tornando os invasores tradicionais mais inteligentes, mas também criando novos. Ferramentas como o FraudGPT industrializam golpes com modelos de phishing prontos, scripts de malware e táticas de evasão.

Ao mesmo tempo, a IA pode gerar personas completamente falsas : identidades sintéticas com fotos, vozes e históricos online criados por IA. Esses “indivíduos” podem passar por verificações de segurança, abrir contas bancárias e interagir com as vítimas como pessoas reais.

E, ao contrário do phishing ou do credential stuffing, as senhas nem entram em jogo aqui: os invasores simplesmente criam novas contas que parecem legítimas. Pior ainda: verificações de segurança convencionais não os deterão; se a integração depender de documentos estáticos ou validações superficiais, essas identidades criadas por IA podem escapar da rede .

Adaptando a segurança de identidade para enfrentar a IA

À medida que as ameaças evoluem, as organizações precisam repensar a proteção de identidade. Mas adotar novas tecnologias não significa descartar as existentes. Práticas recomendadas de longa data continuam essenciais.

Acabe com as senhas – O futuro da autenticação

As senhas têm sido, há muito tempo, o elo mais fraco da segurança. Mesmo com combinações e gerenciadores de senhas fortes e exclusivos, os usuários ainda estão vulneráveis a phishing, preenchimento de credenciais e violações de dados.

É por isso que cada vez mais organizações estão adotando a autenticação sem senha. Ao substituir senhas por métodos como biometria, chaves de segurança de hardware FIDO2 ou chaves criptográficas, as empresas eliminam os riscos associados a credenciais roubadas ou reutilizadas.

A autenticação sem senha não só reforça a segurança como também melhora a experiência do usuário: chega a lembrar senhas complexas ou lidar com redefinições constantes de senha. É uma situação vantajosa para todos: melhor proteção e um login mais tranquilo.

MFA adaptativa e contextual

A MFA tradicional é vulnerável à fadiga causada por IA — mas a MFA adaptativa não. Ela:

  • Bloqueia logins suspeitos antes de chegar à etapa de notificação.
  • Usa métodos resistentes a phishing em situações de alto risco.
  • Detecta e bloqueia notificações excessivas, impedindo ataques de push bombing.

Monitoramento contínuo: acesso adaptativo e prevenção de fraudes

Mas senhas e MFA são apenas parte da equação. Para impedir ataques baseados em IA, as organizações também precisam de defesas que monitorem o que acontece após o login, tanto no nível da conta quanto nas transações.

Controles de acesso adaptativos baseados em comportamento criam uma linha de base de atividade normal para cada usuário, dispositivo e aplicativo. Quando algo se desvia dessa linha de base — como um gerente financeiro que faz login às 3 da manhã de um IP estrangeiro e tenta exportar dados em massa — o sistema pode:

  • Sinalize e verifique a atividade antes que ela cause danos.
  • Aumente a autenticação com fatores mais fortes e exija a aprovação do gerente.
  • Bloqueie a sessão diretamente se o comportamento violar claramente a política.

Gestão de fraudes e riscos: Mesmo que os invasores superem as defesas da conta, as ferramentas de prevenção de fraudes os detectam no nível da transação. Elas monitoram continuamente atividades suspeitas por meio de:

Biometria comportamental: detecção de diferenças sutis no ritmo de digitação, movimento do mouse e navegação.

Monitoramento baseado em aprendizado de máquina: detecção de anomalias, como transferências de alto valor, após meses de inatividade.

Verificação robusta de identidade

Muitos ataques não envolvem invasão de contas, mas a criação de novas contas com identidades falsas. As soluções de verificação digital da Thales garantem que os usuários sejam quem dizem ser no momento da inscrição, combinando:

  • Controles biométricos.
  • Verificação documental com escaneamento infravermelho/UV.
  • Reconhecimento facial com detecção de vivacidade.
  • Autenticação passiva.

Esses processos impedem que criminosos usem deepfakes para criar contas com credenciais falsas. Ao confirmar identidades digitais genuínas, apenas pessoas reais conseguem se registrar ou autenticar.

Rumo a uma proteção de identidade contextualizada

O phishing com IA, o roubo de credenciais, a fadiga de MFA e as identidades sintéticas deixam claro: senhas fortes já não são suficientes. As organizações precisam de defesas contextuais e comportamentais que se adaptem em tempo real — fechando brechas antes que invasores as explorem.

É exatamente isso que as soluções de Gestão de Identidade e Acesso (IAM) da Thales oferecem. Porque, à medida que os atacantes evoluem, as defesas precisam evoluir mais rápido — e a Thales está comprometida em liderar essa evolução. 

*Sérgio Muniz é Vice-Presidente de Vendas, Identity & Access Management da Thales na América Latina.

facebookShare on Facebook
FollowFollow us

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

error

Enjoy this blog? Please spread the word :)