Cibercriminosos usam IA para criar deepfakes de executivos e aplicar golpes sofisticados
Até pouco tempo atrás, imitar com precisão a voz ou o rosto de alguém exigia equipamentos caros, profissionais especializados e longas horas de edição. Esse cenário mudou radicalmente com a popularização de ferramentas de inteligência artificial. Hoje, bastam alguns minutos de áudio ou vídeo disponíveis na internet para que um criminoso consiga criar um deepfake convincente de praticamente qualquer pessoa – especialmente de executivos com forte exposição pública.
CEOs, CFOs, diretores e porta-vozes corporativos tornaram-se alvos perfeitos. Entrevistas a veículos de imprensa, palestras em eventos, vídeos institucionais e participações em podcasts oferecem exatamente o insumo que as IAs generativas precisam para aprender timbre, entonação e expressões faciais. A partir desse material, golpistas produzem clones digitais capazes de enganar não apenas desconhecidos, mas também colegas de trabalho que convivem há anos com esses líderes.
Com um “executivo digital” em mãos – voz, imagem ou ambos – o cibercriminoso passa a operar com uma arma de engenharia social extremamente poderosa. Em vez de um e-mail suspeito com erros de português ou remetente estranho, o colaborador passa a receber uma ligação ou mensagem em vídeo que parece vir diretamente do CEO. Essa mudança eleva o nível de credibilidade do golpe a um patamar até pouco tempo inimaginável.
O modelo de ataque mais frequente envolve chamadas de voz sintetizadas. O fraudador liga para alguém da área financeira, de tesouraria ou de compras, se passando pelo principal executivo da empresa, e solicita uma transferência urgente, o pagamento de uma fatura “confidencial” ou o envio de dados sensíveis de acesso a sistemas. A combinação entre senso de urgência, pressão psicológica e reconhecimento imediato da voz faz com que o funcionário execute o pedido sem questionar.
A hierarquia corporativa é o ponto mais explorado nesses cenários. Em muitas culturas organizacionais, contrariar ou questionar um pedido direto da alta liderança é visto como falta de alinhamento ou de comprometimento. Sabendo disso, os golpistas estruturam narrativas plausíveis: mencionam projetos reais, citam nomes de outros executivos, alegam situações de crise ou oportunidades únicas que “não podem vazar”. Esse contexto social cuidadosamente construído torna a fraude ainda mais convincente.
Em empresas onde o fluxo de aprovação financeira ainda depende fortemente de validações por telefone ou de simples reconhecimento de voz, o risco é enorme. Se a confirmação de um pagamento de alto valor se resume a “ligar para o diretor e ouvir um sim”, a organização está operando com um ponto cego crítico. Em um mundo onde identidades podem ser falsificadas por IA em escala, confiar em canais não autenticados equivale a deixar a porta do cofre semiaberta.
Da mesma forma, processos que utilizam videoconferência como única forma de “garantir” que a pessoa do outro lado é realmente quem diz ser também estão ameaçados. Deepfakes de imagem, combinados a filtros em tempo real, já permitem replicar expressões faciais, movimentos de cabeça e até gestos característicos de uma pessoa. Em uma reunião rápida, com conexão ruim ou baixa resolução, a chance de alguém perceber o truque é mínima.
O resultado é que deepfakes de executivos deixaram de ser um experimento curioso de laboratório e se consolidaram como um vetor ativo de fraude corporativa. O que antes era visto como um risco futuro agora compõe, de fato, o arsenal cotidiano de grupos criminosos organizados. Empresas que continuam tratando o tema como algo distante tendem a descobrir, da pior forma possível, o impacto financeiro e reputacional de um ataque bem-sucedido.
Nesse contexto, confiar apenas em elementos biométricos superficiais – como voz em uma ligação ou rosto em uma videochamada – já não é suficiente para estabelecer identidade. A inteligência artificial reduziu a barreira técnica para manipulação de áudio e vídeo a tal ponto que até mesmo profissionais de segurança podem ter dificuldade em diferenciar, a olho nu, um conteúdo legítimo de um deepfake bem produzido.
Ao mesmo tempo, os criminosos não se limitam ao uso de deepfakes isolados. Eles combinam essas técnicas com campanhas avançadas de phishing geradas por IA. Textos de e-mail, mensagens instantâneas e até documentos anexos são escritos com alto grau de correção linguística, personalização e coerência com o contexto do negócio. A IA é capaz de adaptar o tom de voz, simular o estilo de comunicação interno da empresa e incorporar termos técnicos comuns na organização, tornando as mensagens praticamente indistinguíveis das oficiais.
Outro fator preocupante é a possibilidade de ataques altamente segmentados. Com ajuda de IA, golpistas conseguem analisar perfis de redes profissionais, histórico de notícias, comunicados internos vazados e outras informações disponíveis para construir abordagens específicas para cada colaborador-chave. Assim, a ligação deepfake do “CEO” pode fazer referência a uma reunião recente, a um projeto em andamento ou a um problema real da companhia, o que amplia ainda mais o poder de persuasão.
Por outro lado, a própria inteligência artificial também passou a ser uma aliada fundamental na defesa. Ferramentas modernas de monitoramento de ameaças conseguem analisar grandes volumes de dados de comunicação – e-mails, logs de sistemas, padrões de acesso – para identificar comportamentos fora do padrão que podem indicar um ataque em curso. Algoritmos de machine learning detectam, por exemplo, tentativas atípicas de movimentação financeira, logins em horários estranhos ou interações incomuns entre contas internas.
Além disso, já existem soluções voltadas à detecção de deepfakes, baseadas em análise de microdetalhes de áudio e vídeo que costumam escapar ao ouvido e ao olhar humano. Essas ferramentas buscam inconsistências em padrões de respiração, ruído de fundo, movimento labial, iluminação, taxa de quadros e outros elementos sutis que, em conjunto, podem apontar para conteúdo sintético. Embora não sejam infalíveis, elas elevam significativamente a capacidade de identificação de fraudes.
A IA também tem encurtado a distância entre a detecção de incidentes e a resposta efetiva. Plataformas de segurança integradas conseguem correlacionar múltiplos sinais de alerta em tempo real e disparar ações automáticas, como bloqueio temporário de contas, suspensão de pagamentos suspeitos ou exigência de autenticação adicional antes de concluir uma transação. Isso reduz a janela de oportunidade para o criminoso e limita o potencial de dano.
No entanto, tecnologia sozinha não resolve o problema. A camada humana segue sendo decisiva. É essencial revisar políticas internas para que nenhuma operação de alto impacto – como grandes transferências, alteração de dados bancários de fornecedores ou acesso a sistemas críticos – dependa de um único canal de validação. O chamado princípio da verificação em múltiplos fatores precisa ir além das senhas e autenticações digitais e alcançar também os processos de comunicação entre pessoas.
Algumas medidas práticas incluem: estabelecer regras claras para pedidos financeiros fora do padrão; exigir validação por um segundo executivo em transações relevantes; padronizar canais oficiais para solicitações sensíveis; e proibir explicitamente o uso de mensagens de texto ou ligações não autenticadas como única base para autorizar pagamentos. Quanto mais previsíveis forem os procedimentos, mais difícil será para o criminoso improvisar uma narrativa convincente.
Treinamento contínuo é outro pilar indispensável. Colaboradores, especialmente aqueles em funções sensíveis, precisam ser orientados a desconfiar até mesmo de contatos aparentemente legítimos vindos da alta liderança. A cultura organizacional deve deixar explícito que é aceitável – e esperado – questionar pedidos urgentes de transferências, mesmo quando pareçam vir do próprio CEO. Normalizar o “pare e verifique” é uma das formas mais eficazes de conter golpes baseados em deepfake.
É igualmente importante que os executivos compreendam seu novo papel como alvos prioritários. Quanto maior a visibilidade pública de um líder, maior o volume de material disponível para criação de clones de voz e imagem. Isso não significa que executivos devam se esconder, mas sim que a empresa deve considerar essa exposição ao desenhar sua estratégia de segurança: desde orientações sobre o que é publicado até mecanismos de monitoramento de uso indevido da imagem e da voz em ambientes digitais.
Outro aspecto muitas vezes negligenciado é o impacto reputacional de um ataque bem-sucedido. Mesmo que a empresa consiga recuperar os valores desviados ou mitigar o dano financeiro, a notícia de que criminosos usaram a imagem do seu CEO para enganar funcionários tende a minar a confiança de clientes, parceiros e investidores. Trabalhar preventivamente em protocolos de resposta a incidentes – inclusive comunicacionais – é essencial para reduzir esse tipo de dano secundário.
No horizonte próximo, a tendência é de intensificação dessa disputa. À medida que as ferramentas de IA gerativa se tornam mais acessíveis, a qualidade dos deepfakes melhora e os custos caem, o número de tentativas de golpe deve aumentar. Em contrapartida, soluções defensivas mais robustas também estão surgindo, baseadas na mesma tecnologia. Organizações que souberem equilibrar investimento em ferramentas, revisão de processos e educação de pessoas estarão em melhor posição para enfrentar esse novo cenário.
Em última instância, o recado é direto: voz e imagem deixaram de ser provas confiáveis de identidade. Em um mundo em que qualquer persona pode ser replicada com alto grau de fidelidade por inteligência artificial, a segurança corporativa precisa ser redesenhada para partir do princípio de que tudo o que pode ser visto ou ouvido à distância é potencialmente falsificável. Quem se antecipar a essa realidade e ajustar seus processos desde já terá muito mais chances de manter suas finanças, sua marca e suas relações de confiança protegidas.