A recente operação da Polícia Federal que prendeu suspeitos de burlar um sistema de biometria facial para ar contas de usuários na plataforma gov.br ligou um sinal de alerta sobre a segurança dessa tecnologia. De acordo com as investigações, os criminosos usavam técnicas avançadas de alteração facial para burlar sistemas de autenticação e ar valores a receber do Banco Central, além de autorizar consignações no aplicativo “Meu INSS” das vítimas. A estimativa é que ao menos três mil contas tenham sido adas.
Utilizada atualmente para funções que vão desde o desbloqueio do celular e o a conta de banco até a entrada em prédios e estádios, a biometria facial usa características do rosto de cada pessoa para criar uma espécie de ‘senha’ personalizada.
“A biometria facial funciona através da identificação e armazenamento de pontos na face em uma função matemática, que são comparados posteriormente. A comparação não é feita entre fotos, mas sim entre templates biométricos extraídos das imagens, o que permite que a identificação persista mesmo com mudanças como barba ou pequenas alterações estéticas”, explica Carlos Tatara, diretor de Tecnologia da Bry Tecnologia, empresa de Santa Catarina especializada em identificação e formalização digital.
Tatara comenta, no entanto, que os níveis de segurança variam de acordo com a tecnologia utilizada. Segundo ele, este é um dos pontos-chave para prevenir golpes e ataques. “Aumentar as barreiras de segurança na autenticação biométrica eleva os custos do processo. Embora a identificação facial simples seja barata, recursos como a verificação de vivacidade e proteção contra deep fakes encarecem cada autenticação”, destaca.
Outra medida importante é garantir que haja a responsabilização das empresas que adotam processos de autenticação frágeis, visto que a legislação brasileira, especialmente o Marco Civil da Internet e a LGPD, prevê sanções para o uso inadequado de dados pessoais, em especial os dados biométricos. “Se uma empresa fornece uma tecnologia de autenticação vulnerável a fraudes, e essa vulnerabilidade acaba resultando em prejuízos para os usuários, ela precisa ser responsabilizada por isso”, diz.
Adoção de múltiplos fatores e certificação
Ainda de acordo com Carlos Tatara, fortalecer a segurança em processos que utilizam biometria também envolve a adoção de múltiplos fatores de autenticação. “Existem três tipos clássicos de fatores: algo que você tem (como um token ou celular), algo que você sabe (como uma senha) e algo que você é (biometria). A biometria é o único que não pode ser alterado caso vaze. Por isso, nunca deve ser usada sozinha em os sensíveis”, alerta. O ideal, segundo ele, é combinar ao menos dois desses fatores, como biometria e senha ou biometria e token, criando barreiras adicionais para criminosos.
Outra camada poderosa de proteção, especialmente em transações de alto valor ou com dados sensíveis, é o uso do certificado digital, que combina dois fatores de autenticação: um item que o usuário possui (o próprio certificado armazenado de forma segura) e uma informação que ele sabe (uma senha de o), sendo considerado uma das soluções mais robustas do mercado. “A tecnologia do certificado digital já é madura, auditável e confiável. Integrá-lo a processos de autenticação digital pode ser um diferencial importante para quem busca níveis elevados de segurança e validade jurídica”, afirma Tatara.
Medidas de prevenção para usuários
Além das medidas tecnológicas, Tatara reforça que a segurança digital depende ainda de comportamentos preventivos por parte dos usuários. Ele alerta para os riscos da engenharia social, prática usada por golpistas para enganar pessoas e obter informações sensíveis, incluindo dados biométricos.
Entre os cuidados recomendados estão: nunca fornecer documentos pessoais sem necessidade, principalmente quando acompanhados de fotos, desconfiar de solicitações inesperadas por e-mail, telefone ou redes sociais, evitar ser fotografado ou gravado em situações suspeitas e ter cautela com chamadas de vídeo de desconhecidos, que podem ser usadas para capturar imagens do rosto e tentar fraudar sistemas de reconhecimento facial.
