Artigo
Antifraude
O Lado Sombrio da Biometria: Como as Fraudes Acontecem e Como se Proteger
A transformação digital ampliou o uso da biometria em serviços públicos e privados, consolidando-a como um importante mecanismo de autenticação na economia digital. Ao mesmo tempo em que traz mais conveniência, agilidade e segurança, esse avanço também aumenta a sofisticação das fraudes, exigindo das organizações uma atuação cada vez mais técnica, preventiva e integrada para proteger identidades digitais e preservar a confiança nas transações eletrônicas.
Nesse contexto, o Serpro, como empresa pública de tecnologia do Estado brasileiro, atua de forma estratégica no fortalecimento da segurança digital e no combate à fraude cibernética. Com a criação da Superintendência de Proteção de Dados Pessoais e Antifraude Cibernética, a empresa reforça sua atuação na prevenção, detecção e resposta a ameaças que impactam a identidade digital e os serviços públicos, alinhando tecnologia, inteligência e inovação à construção de ecossistemas mais confiáveis e resilientes.
A biometria se consolidou como um fator de autenticação baseado em características físicas e comportamentais do indivíduo, sendo amplamente utilizada na validação de identidade e no acesso a serviços. No entanto, o avanço de técnicas como presentation attacks, deepfakes e clonagem de voz demonstra que a biometria não é infalível e precisa estar inserida em uma estratégia mais ampla de segurança e antifraude.
Compreender como a fraude biométrica acontece é essencial para fortalecer mecanismos de prevenção, aprimorar controles e garantir que a inovação digital continue sendo acompanhada de segurança, confiança e integridade.
Fraude biométrica ocorre quando alguém tenta enganar um sistema de autenticação biométrica por meio de uma característica falsa, manipulada ou artificial. O objetivo é se passar por um usuário legítimo para obter acesso a serviços, autorizar transações ou evitar identificação.
Diferentemente do roubo de senhas, esse tipo de fraude desafia justamente a premissa de que a biometria seria “única” e, portanto, mais difícil de ser comprometida. Isso torna sua detecção mais complexa e exige evolução contínua dos mecanismos de segurança.
Tipos de Biometria e Vulnerabilidades
Os principais tipos de biometria se dividem em duas categorias: biometria física (baseada em características físicas) e biometria comportamental (baseada em padrões de comportamento).
Exemplos de biometria física:
- Impressão Digital: um dos sistemas biométricos mais antigos e estudados. O ataque envolve a criação de “dedos falsos” utilizando materiais como gelatina, silicone, látex, argila ou cera. Esses moldes podem ser obtidos a partir de impressões deixadas em objetos (como, por exemplo, copos ou celulares), de fotos de alta resolução ou até mesmo diretamente do dedo da vítima. Em versões mais sofisticadas, as impressoras 3D podem ser usadas para criar réplicas detalhadas.
Vulnerabilidade: sensores que não verificam características como condutividade elétrica, temperatura ou pulsação podem acabar aceitando materiais artificiais como se fossem dedos reais. - Reconhecimento Facial: os ataques podem ser realizados de diferentes formas: com fotos em alta resolução (impressas ou digitais), vídeos (gravados ou transmitidos ao vivo), máscaras 3D (desde versões bem simples feitas com cartolina até réplicas extremamente realistas feitas com silicone ou impressões 3D com texturas e cores fiéis) e deepfakes (utilização de Inteligência Artificial para criar imagens ou vídeos de alta qualidade capazes de manipular expressões ou substituir rostos).
Vulnerabilidade: sistemas que não contam com detecção de vivacidade (liveness detection), ou seja, que deixam de analisar sinais como movimentos oculares, profundidade, textura da pele e até mesmo microexpressões, tornam-se mais suscetíveis a esse tipo de fraude. - Reconhecimento de Íris e Retina: embora sejam considerados mais seguros, ainda podem sofrer ataques. Esses ataques podem ocorrer com a utilização de imagens impressas ou digitais em alta resolução da íris ou retina, lentes de contato especiais com padrões impressos que imitam íris e olhos artificiais ou cadavéricos em situações extremas.
Vulnerabilidades: sistemas que analisam apenas o padrão visual, sem verificar respostas à luz, movimento ocular ou fluxo sanguíneo, podem ser facilmente enganados. - Reconhecimento de Padrão de Veias: sistema biométrico menos comum, mas também sujeito a ataques. Pode envolver a criação de mãos ou dedos artificiais com padrões de veias impressos ou gravados, capazes de simular a absorção de luz infravermelha. A coleta desses padrões, no entanto, é mais complexa e difícil de realizar.
Vulnerabilidade: sensores que não conseguem distinguir o fluxo sanguíneo real ou a temperatura corporal de uma imitação estática tornam-se vulneráveis a esse tipo de fraude.
Exemplos de biometria comportamental:
- Reconhecimento de voz: os ataques podem ocorrer de duas formas principais: pela reprodução de gravações da voz do usuário legítimo ou pela síntese de voz (voice cloning / deep voice), uso de algoritmos de Inteligência Artificial para gerar fala sintética capaz de imitar o timbre e a entonação do alvo a partir de amostras de áudio.
Vulnerabilidade: sistemas que se limitam a interpretar apenas o conteúdo verbal, ou seja, o que está sendo dito, sem avaliar elementos como espectro acústico, ruídos de fundo ou a naturalidade da fala, tornam-se mais propensos a esse tipo de fraude. - Assinatura Dinâmica: os ataques podem ocorrer por meio da emulação de características como pressão, velocidade, ritmo e sequência dos traços de uma assinatura eletrônica. Robôs ou softwares avançados conseguem tentar replicar esses padrões de forma convincente.
Vulnerabilidade: sistemas que se limitam a comparar apenas a imagem final da assinatura, sem levar em conta os dados coletados durante o processo de escrita, ficam mais vulneráveis a falsificações. - Dinâmica de Digitação: os ataques podem ocorrer pela tentativa de replicar o ritmo e a pressão usados por um usuário ao digitar, seja por meio de softwares específicos ou até mesmo por treinamento manual.
Vulnerabilidade: sistemas que não contam com algoritmos robustos para identificar pequenas variações no intervalo entre as teclas ou na duração da pressão ficam mais expostos a imitações.
Impactos da Fraude Biométrica
A fraude biométrica pode gerar consequências sérias, afetando tanto indivíduos quanto organizações nos seguintes aspectos:
- Financeiros: transações não autorizadas, transações fraudulentas e acesso não autorizado a contas bancárias ou carteiras digitais;
- Roubo de identidade: o fraudador pode se passar pela vítima em várias plataformas e serviços, prejudicando sua reputação e histórico de crédito;
- Perda de confiança: usuários e organizações começam a desconfiar da eficácia dos sistemas biométricos, reduzindo sua adoção;
- Danos à reputação corporativa: empresas que sofrem esse tipo de violação podem ter sua imagem comprometida perante clientes e parceiros;
- Implicações legais: há dificuldade em atribuir responsabilidades e provar fraudes. Ao realizar a biometria em uma transação, ela se torna uma prova aparentemente incontestável de identidade. Assim, se um fraudador conseguir utilizá-la indevidamente, a vítima enfrenta grande dificuldade para provar que não foi responsável pela transação, já que o sistema considera a autenticação legítima.
Como se defender?
Entre as medidas que podem ser tomadas para proteção contra fraudes biométricas e integração de novas tecnologias e melhores práticas:
- Detecção de vivacidade: tem por finalidade verificar se o usuário é realmente uma pessoa viva. Podem ser usados métodos ativos, que exigem interação direta (como piscar, sorrir, mover a cabeça ou repetir frases), ou métodos passivos, que analisam sinais vitais do corpo, como textura da pele, fluxo sanguíneo, temperatura, micromovimentos dos olhos ou características espectrais da voz. É importante ressaltar que, nesse método, o uso de Inteligência Artificial e Aprendizado de Máquina desempenha papel fundamental para diferenciar um sinal genuíno de um artefato fraudulento;
- Autenticação Multifator (MFA): união da biometria com outros fatores, como senhas, PINs, tokens ou códigos de uso único, de modo que, mesmo se a biometria for comprometida, o segundo fator protege o acesso;
- Fusão multibiométrica: combinação de duas ou mais modalidades biométricas, por exemplo, rosto + voz ou impressão digital + íris, tornando o ataque mais difícil de ser realizado;
- Sensores e algoritmos avançados: utilização de sensores 3D, capazes de capturar profundidade e volume, tornando ineficazes ataques com fotos ou vídeos planos; sensores multiespectrais, que coletam dados além da luz visível (como infravermelho), diferenciando sinais vitais de materiais artificiais; e algoritmos treinados em grandes bases de dados, capazes de identificar padrões indicativos de fraude;
- Armazenamento seguro dos templates biométricos: os templates biométricos devem ser armazenados de forma segura, preferencialmente utilizando criptografia e hashing, nunca a imagem bruta, sendo essencial que possam ser cancelados e substituídos;
- Padronização e certificação: seguir normas internacionais, como a ISO/IEC 30107, e buscar certificações que garantam que os sistemas foram avaliados contra ameaças conhecidas;
- Conscientização: orientar usuários sobre os riscos de compartilhar conteúdos sensíveis, como fotos em alta resolução, impressões digitais e gravações de voz, que podem ser utilizados de forma indevida.
A biometria representa um avanço importante para a segurança digital, mas não é, por si só, infalível. À medida que os sistemas evoluem, os fraudadores também refinam suas técnicas, o que torna indispensável uma abordagem contínua de prevenção, monitoramento e aperfeiçoamento tecnológico.
Nesse cenário, o enfrentamento à fraude biométrica exige não apenas tecnologia, mas também governança, inteligência analítica, proteção de dados e conscientização. Para o Serpro, esse é um tema estratégico para o fortalecimento dos serviços públicos digitais. Investir em mecanismos de combate, prevenção e detecção de fraude é, portanto, investir também na integridade das identidades digitais e na segurança da relação entre Estado e cidadão.
Sobre o Autor
Rodolfo Blaauw é analista da área de Combate à Fraude Cibernética do Serpro. Formado em Ciência da Computação, possui MBA em Administração da Tecnologia da Informação pela Unisinos. É pós-graduado em Gestão de Riscos e Cibersegurança e pós-graduando em Defensive Cyber Security pela FIAP. Possui certificações Microsoft e atua há mais de 18 anos no Serpro, com foco em segurança digital e prevenção a fraudes.
Referências
ISO/IEC. ISO/IEC 30107-1:2016. Information technology — Biometric presentation attack detection — Part 1: Framework. Geneva: International Organization for Standardization, 2016.
JAIN, A. K.; ROSS, A. A.; NANDANUMAR, K. Introduction to Biometrics. New York: Springer, 2011.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Digital Identity Guidelines. Gaithersburg, MD: NIST, 2023.