L'adopció de la biometria ha experimentat un esclat al Brasil en els darrers anys: el 82% dels brasilers ja utilitzen algun tipus de tecnologia biomètrica per a l'autenticació, impulsats per la comoditat i la recerca d'una major seguretat en els serveis digitals. Tant si accedeix als bancs mitjançant el reconeixement facial com si utilitza empremtes dactilars per autoritzar pagaments, la biometria s'ha convertit en el "nou CPF" (document d'identitat del contribuent brasiler) pel que fa a la identificació personal, fent que els processos siguin més ràpids i intuïtius.
Tanmateix, una onada creixent de frau ha posat de manifest les limitacions d'aquesta solució: només al gener del 2025 es van registrar 1,24 milions d'intents de frau al Brasil, un augment del 41,6% en comparació amb l'any anterior, equivalent a un intent d'estafa cada 2,2 segons. Una gran part d'aquests atacs tenen com a objectiu específic els sistemes d'autenticació digital. Les dades de Serasa Experian mostren que el 2024, els intents de frau contra bancs i targetes de crèdit van créixer un 10,4% en comparació amb el 2023, cosa que representa el 53,4% de tots els fraus registrats aquell any.
Si no s'haguessin evitat aquests fraus, podrien haver causat unes pèrdues estimades de 51.600 milions de reals. Aquest augment reflecteix un panorama canviant: els estafadors estan desenvolupant les seves tàctiques més ràpidament que mai. Segons una enquesta de Serasa, la meitat dels brasilers (50,7%) van ser víctimes de frau digital el 2024, un augment de 9 punts percentuals respecte a l'any anterior, i el 54,2% d'aquestes víctimes van patir pèrdues econòmiques directes.
Una altra anàlisi apunta a un augment del 45% dels delictes digitals al país el 2024, i la meitat de les víctimes van ser enganyades per les estafes. Davant d'aquestes xifres, la comunitat de seguretat es pregunta: si la biometria prometia protegir els usuaris i les institucions, per què els estafadors sempre semblen anar un pas per davant?
Les estafes eludeixen el reconeixement facial i d'empremtes dactilars.
Part de la resposta rau en la creativitat amb què les bandes digitals eludeixen els mecanismes biomètrics. En els darrers mesos, han sorgit casos emblemàtics. A Santa Catarina, un grup fraudulent va defraudar almenys 50 persones obtenint clandestinament dades biomètriques facials dels clients: un empleat de telecomunicacions va simular vendes de línies telefòniques per capturar selfies i documents dels clients, i posteriorment va utilitzar aquestes dades per obrir comptes bancaris i obtenir préstecs a nom de les víctimes.
A Minas Gerais, els delinqüents van anar més enllà: es van fer passar per carters per recollir empremtes dactilars i fotos dels residents, amb l'objectiu exprés d'eludir la seguretat bancària. En altres paraules, els estafadors no només ataquen la tecnologia en si, sinó que també exploten l'enginyeria social, induint la gent a lliurar les seves pròpies dades biomètriques sense adonar-se'n. Els experts alerten que fins i tot els sistemes considerats robustos poden ser enganyats.
El problema és que la popularització de la biometria ha creat una falsa sensació de seguretat: els usuaris assumeixen que, com que és biomètrica, l'autenticació és infal·lible.
En institucions amb mesures de seguretat menys estrictes, els estafadors aconsegueixen utilitzar mètodes relativament senzills, com ara fotos o motlles per imitar les característiques físiques. L'anomenada "estafa del dit de silicona", per exemple, s'ha fet coneguda: els delinqüents enganxen pel·lícules transparents als lectors d'empremtes dactilars dels caixers automàtics per robar l'empremta dactilar del client i després creen un dit de silicona fals amb aquesta empremta dactilar, fent retirades i transferències no autoritzades. Els bancs afirmen que ja utilitzen contramesures: sensors capaços de detectar la calor, el pols i altres característiques d'un dit viu, cosa que inutilitza els motlles artificials.
Tot i això, casos aïllats d'aquesta estafa demostren que cap barrera biomètrica està completament a salvo dels intents d'eludir-la. Un altre factor preocupant és l'ús de trucs d'enginyeria social per obtenir selfies o exploracions facials dels propis clients. La Federació Brasilera de Bancs (Febraban) ha donat l'alarma sobre un nou tipus de frau en què els estafadors sol·liciten "selfies de confirmació" a les víctimes amb falsos pretextos. Per exemple, fent-se passar per empleats del banc o de l'INSS (Institut Brasiler de la Seguretat Social), demanen una foto de la cara "per actualitzar el registre" o alliberar un benefici inexistent; en realitat, utilitzen aquest selfie per suplantar el client en sistemes de verificació facial.
Un simple descuit, com ara fer una foto a petició d'un suposat repartidor o treballador sanitari, pot proporcionar als delinqüents la "clau" biomètrica per accedir als comptes d'altres persones.
Deepfakes i IA: la nova frontera de les estafes
Si bé enganyar la gent ja és una estratègia àmpliament utilitzada, ara els delinqüents més sofisticats també enganyen màquines. Aquí és on entren en joc les amenaces del deepfake (manipulació avançada de la veu i la imatge per part de la intel·ligència artificial) i altres tècniques de falsificació digital, tècniques que han experimentat un salt de sofisticació del 2023 al 2025.
El maig passat, per exemple, la Policia Federal va llançar l'Operació "Face Off" després d'identificar un esquema que va defraudar aproximadament 3.000 comptes al portal Gov.br utilitzant dades biomètriques facials falses. El grup criminal va emprar tècniques altament sofisticades per suplantar usuaris legítims a la gov.br , que centralitza l'accés a milers de serveis públics digitals.
Els investigadors van revelar que els estafadors utilitzaven una combinació de vídeos manipulats, imatges alterades per IA i fins i tot màscares 3D hiperrealistes per enganyar el mecanisme de reconeixement facial. En altres paraules, simulaven els trets facials de tercers, incloses persones mortes, per assumir identitats i accedir a beneficis financers vinculats a aquests comptes. Amb moviments artificials perfectament sincronitzats de parpellejar, somriure o girar el cap, fins i tot van aconseguir eludir la funcionalitat de detecció de presència, que es va desenvolupar precisament per detectar si hi ha una persona real davant de la càmera.
El resultat va ser l'accés no autoritzat a fons que només havien de ser bescanviats pels beneficiaris legítims, així com l'aprovació il·lícita de préstecs de nòmina a l'aplicació Meu INSS utilitzant aquestes identitats falses. Aquest cas va demostrar amb contundència que sí, és possible eludir la biometria facial, fins i tot en sistemes grans i teòricament segurs, quan es disposen de les eines adequades.
En el sector privat, la situació no és diferent. L'octubre de 2024, la Policia Civil del Districte Federal va dur a terme l'Operació "IA Degenerativa", desmantellant una banda especialitzada en piratejar comptes bancaris digitals mitjançant aplicacions d'intel·ligència artificial. Els delinqüents van fer més de 550 intents de piratejar els comptes bancaris dels clients, utilitzant dades personals filtrades i tècniques de deepfake per reproduir les imatges dels titulars dels comptes i així validar els procediments per obrir nous comptes a nom de les víctimes i activar els dispositius mòbils com si fossin seus.
Es calcula que el grup va aconseguir moure uns 110 milions de reals a través de comptes pertanyents a persones físiques i jurídiques, blanquejant diners de diverses fonts, abans que la major part del frau fos aturat per auditories bancàries internes.
Més enllà de la biometria
Per al sector bancari brasiler, l'escalada d'aquestes estafes d'alta tecnologia fa aixecar la bandera vermella. Els bancs han invertit molt en l'última dècada per migrar els clients a canals digitals segurs, adoptant la biometria facial i d'empremtes dactilars com a barreres contra el frau.
Tanmateix, la recent onada d'estafes suggereix que confiar únicament en la biometria pot no ser suficient. Els estafadors exploten l'error humà i les llacunes tecnològiques per suplantar els consumidors, i això exigeix que la seguretat es dissenyi amb múltiples nivells i factors d'autenticació, en lloc de dependre d'un únic factor "màgic".
Davant d'aquest escenari complex, els experts coincideixen en una recomanació: adoptar l'autenticació multifactor i els enfocaments de seguretat multicapa. Això significa combinar diferents tecnologies i mètodes de verificació de manera que si un factor falla o es veu compromès, els altres evitin el frau. La biometria en si mateixa continua sent un element important; al cap i a la fi, quan s'implementa bé amb la verificació de la vida i el xifratge, dificulta enormement els atacs oportunistes.
Tanmateix, ha de funcionar conjuntament amb altres controls: contrasenyes o PIN d'un sol ús enviats al telèfon mòbil, anàlisi del comportament de l'usuari (l'anomenada biometria comportamental, que identifica patrons d'escriptura, ús del dispositiu i pot fer sonar una alarma quan detecta que un client "actua de manera diferent de la normalitat") i monitorització intel·ligent de transaccions.
Les eines d'IA també s'utilitzen per ajudar els bancs, identificant signes subtils de deepfake en vídeos o veus; per exemple, analitzant les freqüències d'àudio per detectar veus sintètiques o buscant distorsions visuals en selfies.
En definitiva, el missatge per als gerents de bancs i els professionals de la seguretat de la informació és clar: no hi ha cap solució milagrosa. La biometria ha aportat un nivell de seguretat superior en comparació amb les contrasenyes tradicionals, fins al punt que les estafes s'han desplaçat en gran mesura cap a l'engany a la gent, en lloc de trencar algoritmes.
No obstant això, els estafadors exploten totes les escletxes, ja siguin humanes o tecnològiques, per frustrar els sistemes biomètrics. La resposta adequada implica una tecnologia d'avantguarda constantment actualitzada i una monitorització proactiva. Només aquells que puguin evolucionar les seves defenses a la mateixa velocitat que sorgeixen noves estafes podran protegir completament els seus clients a l'era de la intel·ligència artificial maliciosa.
A càrrec de Sylvio Sobreira Vieira, CEO i Cap de Consultoria de SVX Consultoria.
