Fabio Ferreira
“Deepfakes não são perigosos porque eles vão mudar o mundo. Eles são perigosos porque o mundo já mudou, e não estamos bem preparados para lidar com essa distorção de realidade.” Quem escreveu isso foi Alex Hern, editor de tecnologia do jornal britânico The Guardian. E, apesar da dose de alarmismo, ele tem razão.
Para quem não está familiarizado com o termo, deepfake é o nome dado a arquivos de vídeo ou áudio adulterados por meio da tecnologia GAN (sigla em inglês para redes adversárias generativas), um desdobramento de deep learning de inteligência artificial. É apontado pela VMWare, uma das referências em cyber security, como a mais crescente ameaça à segurança da informação. Afinal, com essa manipulação, é possível produzir peças audiovisuais capazes de causar danos à reputação de executivos e da própria companhia, bem como induzir funcionários a agir de forma maliciosa ou até mesmo servir de base para chantagens.
É necessário ter um montante significativo de áudio ou vídeo para produzir um deepfake. Por isso, empresas cujos executivos se expõem pública ou politicamente estão muito mais propensas a serem vítimas de golpes com essa tecnologia do que aquelas que mantêm seus altos escalões mais resguardados.
Ainda assim, os riscos de dano à imagem não podem ser menosprezados, especialmente em nosso país, onde três em cada cinco pessoas não sabe o que é deepfake, tampouco consegue perceber se um arquivo audiovisual foi adulterado ou não.
Fraudes também são uma ameaça significativa. O primeiro caso do tipo foi registrado há três anos, com o CEO de uma empresa britânica de energia transferindo 220 mil libras para a conta de um suposto fornecedor, que na verdade pertencia a criminosos. O que o levou a cometer tamanha imprudência? Uma ligação telefônica em que a voz do outro lado da linha era um áudio adulterado por essa tecnologia então emergente.
No mesmo ano, um caso ainda mais impressionante aconteceu com um banco de Hong Kong: um de seus gerentes autorizou transferências que somaram 35 milhões de dólares, “orientado” por áudios criados pela tecnologia GAN.
Evidentemente, casos desse tipo acenderam um alerta. Mas também vale notar que ambos são eventos que poderiam ter sido evitados com uma boa governança. Parece inacreditável que grandes empresas ainda tenham operações de grandes valores que possam ser autorizadas com um simples telefonema. Mas isso ainda acontece em ambientes que subestimam a importância da segurança da informação.
Mesmo diante dessa realidade, é cedo para incluir deepfakes na pauta prioritária dos CIOs e CSOs. O ransomware ainda é a ameaça maior, por ser um crime mais fácil de ser cometido, ainda mais no cenário corporativo brasileiro, que só recentemente começou a avançar de forma significativa na segurança da informação.
O que não quer dizer que o assunto deva ficar fora do radar. O primeiro passo preventivo é reforçar controles de acesso, implementando mais camadas de segurança. O segundo envolve a colaboração das áreas de assessoria de imprensa e relações públicas, para repensar a exposição de figuras-chave da companhia, como o CEO. E, por fim, o mais desafiador de todos: uma conscientização eficiente.
Esse é o ponto de maior atenção, já que o elemento humano é sempre a variável mais imprevisível e vulnerável nos fatores de proteção à segurança da informação. O assunto é complexo, e merece ser explorado em outro artigo, mas já cabe dizer aqui que a empresa precisa achar o método certo de falar com seu público.
Todo programa de conscientização deve partir do seguinte ponto de vista: como o usuário será impactado? Se alguém se passar por ele por meio de um áudio forjado, ou se ele tomar uma atitude a partir de um áudio ou vídeo falso, como ele irá reagir? Quais serão as implicações? Compreender a extensão do risco não é uma garantia de que esse usuário não será enganado, mas certamente tem um potencial inibidor maior que outras abordagens.
Essa conscientização é imprescindível entre os cargos mais altos, mas obviamente ela deve ser estendida a todos os colaboradores. Eles precisam se questionar sempre que um e-mail, uma mensagem de áudio ou um vídeo parecer incomum. A desconfiança vale também para notícias que parecem boas demais (ou ruins demais) para ser verdade.
Se a empresa tem lideranças politicamente expostas, cabe também investir em tecnologias que confirmam a autenticidade de mídia, como criptografia de vídeo, selos de confiabilidade, verificação baseada em blockchain e semelhantes. Se o presidente de uma empresa pode falar algo que vai gerar um impacto na bolsa de valores, a organização não pode prescindir desse tipo de controle.
Apesar de a tecnologia de produção de deepfakes estar avançando a passos largos, ele é uma ameaça ainda contornável. Não há razão para pânico, mas, conforme atestam os parágrafos anteriores, há motivos reais para se preocupar. Cabe aos líderes de TI tratarem o tema com a atenção e o equilíbrio que ele merece.
Leia mais:
Os ataques aos órgãos públicos e o que eles nos ensinam
As empresas precisam se proteger contra a engenharia social – e não podem esperar para fazê-lo