Ciberataques com IA: porque estão a ficar mais sofisticados?
Em 2019 uma empresa de energia no Reino Unido perdeu 220 mil euros porque alguém clonou a voz do seu seu diretor executivo por telefone. Na altura era caso raro, quase de filme. Em 2024 a Arup, gigante da engenharia sediada em Hong Kong, perdeu 25 milhões de dólares num único episódio: um funcionário participou numa videochamada com vários colegas seniores, incluindo o diretor financeiro, e todos eram falsos, gerados por IA em tempo real. A diferença entre os dois casos, cinco anos, resume tudo o que está a acontecer com a fraude assistida por IA.
Os números confirmam que não é excepção, é tendência. A Pindrop, que monitoriza mais de mil milhões de chamadas por ano em centros de contacto, registou um aumento de mais de 1300% na frequência de tentativas de fraude por deepfake em 2024. Os ataques de phishing por voz cresceram 442% no mesmo período, puxados por ferramentas de clonagem de voz que hoje precisam de apenas três segundos de áudio público para produzir uma imitação com 85% de precisão. Isto não exige conhecimento técnico avançado, exige apenas alguém disposto a usar a ferramenta errada para o fim errado.
O motivo desta aceleração está na economia do ataque, não só na tecnologia em si. Antes, escrever um email de phishing convincente em português correcto, sem erros que denunciassem o esquema, exigia tempo e alguma competência linguística. Hoje um modelo de linguagem escreve isso em segundos, adaptado ao tom exacto da vítima, incluindo referências pessoais recolhidas de redes sociais. A Ironscales relatou que quase 60% dos incidentes de phishing por email já envolvem algum tipo de conteúdo gerado por IA. O ataque deixou de ser genérico e passou a ser personalizado em escala, o que antes era impossível fazer com recursos limitados.
A fraude de voz e imagem sintéticas segue a mesma trajectória preocupante. Os deepfakes de voz cresceram 680% num único ano segundo a Pindrop, e as seguradoras viram um aumento de 475% em fraude de voz sintética em 2024. Um inquérito da Gartner com mais de 300 responsáveis de segurança encontrou que 62% das organizações já tinham sofrido um ataque com deepfake no ano anterior à pesquisa. E há um problema técnico incómodo por trás disto: as ferramentas de deteção actuais têm apenas cerca de 65% de sucesso contra os deepfakes mais avançados, e a taxa de deteção humana em vídeo de alta qualidade ronda os 24,5%. Ou seja, confiar no olho ou ouvido treinado já não chega.
Como é que empresas e pessoas se protegem disto na prática? A resposta mais eficaz não é tecnológica, é processual. A recomendação do FBI, num aviso público sobre fraude financeira facilitada por IA generativa, é simples: nunca confiar apenas na voz ou imagem numa chamada urgente, sobretudo se envolver dinheiro ou dados sensíveis, e confirmar sempre por um segundo canal já conhecido antes do contacto, como um número de telefone gravado previamente, não o que aparece no ecrã. Famílias começaram a adoptar frases-código privadas para confirmar identidade em situações de emergência, uma medida que parecia paranoia há dois anos e hoje é conselho oficial de agências de segurança.
Nas empresas, a autenticação por voz sozinha já não é considerada suficiente. Cerca de metade das grandes organizações espera adoptar defesas de autenticação por voz reforçada até ao final de 2026, mas a verificação em duas etapas com canal independente continua a ser a barreira mais eficaz contra ataques de vishing e videochamadas falsas. Há também uma mudança cultural necessária: treinar equipas para desconfiar da urgência artificial, que é quase sempre parte do ataque. Um pedido de transferência imediata, um problema que “tem de ser resolvido agora”, é o sinal clássico de manipulação, com ou sem IA envolvida.
O que muda com a IA não é o tipo de ataque, é a escala e a credibilidade. Os esquemas de sempre, o falso CEO, o falso familiar em apuros, o falso banco a pedir confirmação de dados, continuam a ser os mesmos esquemas. O que mudou é que agora soam exactamente como deviam soar, e isso obriga a substituir a confiança no que se ouve e vê pela confiança em processos de verificação que não dependem dos sentidos.







