Uma norma internacional procura acabar com as fraudes através de telemóveis À medida que aumentam tanto as fraudes como os ciberataques, e que as palavras-passe tradicionais e os códigos enviados por SMS perdem eficácia para proteger a segurança digital, começam a impor-se alternativas mais fiáveis e dinâmicas. Entre elas destaca-se a identificação móvel, que é uma solução que valida a identidade do utilizador através dos dados da sua linha telefónica e da rede móvel da operadora. Desta forma, elimina-se a necessidade de lembrar senhas ou realizar verificações adicionais.
Esta camada de segurança tem a particularidade de funcionar de forma totalmente transparente para o utilizador, por isso é conhecida como «autenticação silenciosa», porque valida a identidade sem que a pessoa perceba que está a ser autenticada. Na verdade, todo o processo ocorre automaticamente em segundo plano, utilizando os dados das redes móveis. Para tornar esta solução possível, a associação global de operadores de telecomunicações (GSMA) lançou em fevereiro de 2023 a iniciativa Open Gateway. Trata-se de uma plataforma que padroniza APIs (interfaces de programação de aplicações) para que organizações de todos os setores possam aceder a serviços de verificação de identidade, controlo de fraudes e localização segura.
“Hoje, mais de 90% das conexões móveis na América Latina já são cobertas pelo Open Gateway. Isso permite que bancos, fintechs, comércios e seguradoras integrem camadas invisíveis de segurança que verificam em segundos se um número foi clonado, se o dispositivo é legítimo ou se a linha mudou de mãos. O utilizador não vê nada, mas está protegido”, explica Alejandro Adamowicz, Executivo de TIC da GSMA América Latina. O executivo acrescenta que na região, três grandes operadoras concentram 75% das conexões móveis, o que facilita a adoção e a padronização. “Estamos mais avançados do que outras regiões do mundo porque há menos fragmentação entre as operadoras”, esclarece.
O contexto: fraudes em alta sem precedentes
A necessidade desta tecnologia é compreendida ao analisar o panorama atual. Os golpes digitais crescem a um ritmo sem precedentes. “Registramos 6,3 milhões de tentativas de ataques diários de malware na América Latina nos últimos 12 meses, o que equivale a 12 ataques por minuto”, explica Fabio Assolini, diretor da equipe global de pesquisa e análise para as Américas da empresa de segurança informática Kaspersky, e ressalta que a América Latina é a região do mundo com o crescimento mais rápido de cibercriminosos, registrando uma taxa de crescimento anual de 25% entre 2014 e 2023.
Dentro desse universo digital, a fraude de identidade móvel representa uma das ameaças mais preocupantes. Nesses casos, os criminosos se passam por outros usuários, usando suas credenciais móveis como porta de entrada para suas contas digitais. Entre os ataques mais frequentes está o SIM Swap, uma modalidade em que os golpistas enganam as operadoras de telefonia móvel para transferir o número de telefone da vítima para um cartão SIM sob seu controle. Esse método permite que eles interceptem códigos de verificação e acessem contas bancárias e aplicativos. “Outro vetor de ataque tradicional que persiste é o roubo de senhas por meio de técnicas de phishing e engenharia social”, acrescenta Assolini.
As fraudes que a identificação móvel procura combater
Uma das ameaças em maior crescimento é a fraude no onboarding digital, ou seja, o processo de registo de novos clientes. «Este ataque visa diretamente o procedimento utilizado pelas instituições financeiras para verificar identidades. Hoje, os criminosos utilizam ferramentas de inteligência artificial para criar identidades falsas: geram vídeos sintéticos capazes de imitar gestos naturais como virar a cabeça, sorrir, piscar, que são exatamente os movimentos exigidos pelos sistemas de verificação durante o registo”, diz Assolini. O impacto dessa fraude é crítico, porque é possível abrir uma conta bancária com dados roubados de uma pessoa real, mas validados com imagens e vídeos criados por IA. Em seguida, essas contas se tornam veículos para crimes financeiros.
Outro problema é o SIM Swapping: “Fui vítima desse tipo de fraude em 2019”, conta o especialista da Kaspersky, e relata o fato: “Eu estava em viagem de trabalho no exterior. No primeiro dia, tudo funcionava normalmente, mas no dia seguinte o meu telemóvel ficou sem sinal. Reiniciei várias vezes e não consegui resolver o problema. Quando liguei para a minha operadora, informaram-me que o meu número tinha sido reportado como perdido e transferido para outro SIM, algo que eu nunca tinha solicitado. Felizmente, consegui recuperá-lo imediatamente”, recorda.
Como funciona a autenticação dinâmica
“Durante anos, bancos e outras empresas, como plataformas de redes sociais, confiaram no SMS como segunda camada de segurança, mas o Banco Central da República Argentina não o considera seguro porque pode ser interceptado”, explica Gabriel Chapt, CEO da Plusmo, uma empresa que integra soluções de identidade móvel que funcionam em segundo plano. Guillaume Bourcy, diretor de identidade da Global Telco Consult (GTC), coloca isso em perspetiva: “O SMS foi útil e universal durante muitos anos, mas hoje é caro e vulnerável. A identidade móvel permite aumentar a segurança e reduzir barreiras. Além disso, adapta-se ao contexto: não é a mesma coisa aprovar uma transferência milionária que um simples início de sessão. A autenticação invisível combina-se com biometria ou outros fatores, conforme o caso”.
A chave, diz Bourcy, está na orquestração dinâmica: diferentes fatores que se somam ou não, dependendo do risco. Assim, a experiência do utilizador é mais fluida e a fraude mais difícil de concretizar. Assolini concorda: “A ideia é que sejam automaticamente adicionados passos para autenticar o utilizador de acordo com o nível de suspeita, para não sobrecarregá-lo com tarefas, já que também se trata de melhorar a sua experiência de utilizador”. Por sua vez, Guillermo Pacheco, diretor de Novos Negócios para a América Latina na Incode, empresa especializada em verificação de identidade e prevenção de fraudes, reforça essa visão: “Falamos da necessidade de implementar múltiplas camadas de segurança, porque não existe uma solução mágica”. E acrescenta: “O objetivo é reduzir o risco sem comprometer a experiência do utilizador. É por isso que falamos de um ecossistema de prevenção de fraudes baseado em camadas complementares, como identificação móvel e soluções biométricas, entre outras”.
O que significa a identificação móvel para os utilizadores
À medida que as soluções de identificação móvel forem implementadas, os utilizadores deixarão de receber SMS com códigos e tokens. Também não precisarão de se lembrar de senhas e, se alguém roubar a chave, a rede poderá detectar se o SIM foi clonado ou se está a ser acedido a partir de um dispositivo suspeito. Além disso, supõe-se que os processos de registo e login serão mais rápidos, mesmo para abrir uma conta bancária ou validar uma compra online. “Graças a este sistema, as empresas podem consultar as informações das operadoras de telecomunicações por meio de APIs e saber a qual empresa pertence uma linha, se o chip foi portado e quando ocorreu essa portabilidade. Com esses dados, movimentos suspeitos são detectados e evita-se que um criminoso se aproprie da identidade móvel da vítima”, explica Chapt.
O invisível é realmente seguro?
A promessa dessa camada de segurança é tentadora: maior segurança, menos atrito e melhor experiência do utilizador. De qualquer forma, o especialista da Kaspersky lembra que “os sistemas invisíveis são um grande avanço, mas não são imunes porque os atacantes estão sempre a evoluir. Por isso, o desafio é sempre duplo: por um lado, fortalecer a tecnologia e, por outro, informar o utilizador para que ele entenda que, mesmo que note mudanças, está protegido”. Adamowicz, por sua vez, acredita que o utilizador deve ser informado sobre a camada invisível que o está a proteger. Por isso, ele recomenda que a comunicação faça parte do processo: explicar ao cliente que a validação existe, mesmo que ele não a note. Para além das vantagens desta «camada invisível», os especialistas concordam que, por enquanto, o ideal é que exista um ecossistema híbrido: identidade móvel como camada base, biometria como fator adicional dependendo do contexto; e outros elementos que se combinam para garantir a segurança.
