Deepfakes geradas por IA colocam em xeque a biometria facial, diz Gartner

Até 2026, ataques usando deepfakes geradas por IA na biometria facial significarão que 30% das empresas não considerarão mais essas soluções de verificação e autenticação de identidade como confiáveis isoladamente, de acordo com o Gartner. “Na última década, ocorreram vários pontos de inflexão em campos de IA que permitem a criação de imagens sintéticas. Essas imagens geradas artificialmente de rostos de pessoas reais, conhecidas como deepfakes, podem ser usadas por agentes mal-intencionados para minar a autenticação biométrica ou torná-la ineficiente”, disse Akif Khan, analista do Gartner. “Como resultado, as organizações podem começar a questionar a confiabilidade das soluções de verificação e autenticação de identidade, pois não serão capazes de dizer se o rosto da pessoa que está sendo verificada é uma pessoa viva ou uma deepfake”, afirmou.

Os processos de verificação e autenticação de identidade usando biometria facial hoje dependem da detecção de ataque de apresentação (PAD) para avaliar a vida do usuário. “Os padrões atuais e os processos de teste para definir e avaliar os mecanismos de PAD não cobrem ataques de injeção digital usando as deepfakes gerados por IA que podem ser criados hoje”, disse Khan.

Uma pesquisa do Gartner disse que os ataques de apresentação são o vetor de ataque mais comum, mas os ataques de injeção aumentaram 200% em 2023. A prevenção de tais ataques exigirá uma combinação de PAD, detecção de ataque de injeção (IAD) e inspeção de imagem.

Combine IAD e ferramentas de inspeção de imagem 

Para ajudar as organizações a se protegerem contra deepfakes gerados por IA além da biometria facial, os diretores de segurança da informação (CISOs) e os líderes de gerenciamento de risco devem escolher fornecedores que possam demonstrar que têm os recursos e um plano que vai além dos padrões atuais e estão monitorando, classificando e quantificando esses novos tipos de ataques.

“As organizações devem começar a definir uma linha de base mínima de controles trabalhando com fornecedores que investiram especificamente na mitigação das mais recentes ameaças baseadas em deepfake usando IAD juntamente com inspeção de imagem”, disse Khan.

Uma vez que a estratégia é definida e a linha de base é definida, os CISOs e líderes de gerenciamento de risco devem incluir sinais adicionais de risco e reconhecimento, como identificação de dispositivos e análise comportamental, para aumentar as chances de detectar ataques em seus processos de verificação de identidade.

Acima de tudo, os líderes de segurança e gerenciamento de risco responsáveis pelo gerenciamento de identidade e acesso devem tomar medidas para mitigar os riscos de ataques deepfake impulsionados por IA, selecionando tecnologia que possa provar a presença humana genuína e implementando medidas adicionais para evitar a tomada de conta.

Serviço
www.gartner.com