Além do Vídeo: Implementando Defesa Contra Deepfakes em Liveness Checks

O cenário de fraude em 2026 deixou de ser uma questão de "se" e tornou-se uma questão de "quando" o seu banco será alvo de um ataque de injeção de vídeo ou ataque de apresentação (presentation attack). No ano passado, acompanhei um caso em um neobank de médio porte onde fraudadores utilizaram deepfakes em tempo real, gerados a partir de fotos vazadas em redes sociais, para abrir contas e solicitar empréstimos com CPFs sintéticos. O prejuízo? Quase R$ 2 milhões em menos de 48 horas. O liveness passivo padrão, que focava apenas na 3D face mapping, foi contornado facilmente porque não analisava a "alma" do pixel.

Para parar esse tipo de golpe, precisamos ir além da simples detecção de face. A implementação robusta de defesa contra deepfakes exige uma análise cirúrgica de inconsistências de pixels e anomalias comportamentais que redes generativas ainda não replicam com perfeição. Abaixo, detalho o processo técnico que implemento para blindar o onboarding.

1. Estruture a captura para exigir profundidade e texto de superfície

O primeiro erro que vejo em times de produto é confiar cegamente no fluxo de câmera padrão do navegador ou do app nativo. Para detectar deepfakes, você precisa de dados brutos que a maioria dos filtros de "beautification" (suavização de pele) destroem. Se o usuário tiver o "Modo Beleza" do Instagram ou do iOS ativado, a textura necessária para a análise antisspoofing sumiu.

Configure o SDK de captura para bloquear processamento de imagem de terceiros. Se você estiver desenvolvendo em Android, instrua o time a usar a Camera2API diretamente, garantindo acesso às streams YUV_420_888, que preservam o ruído do sensor. O ruído de padrão fixo (Fixed Pattern Noise) é único de cada sensor de câmera e impossível de replicar fielmente em um vídeo gerado por GPU. O deepfake tende a criar uma superfície "plástica" demais, uniforme onde deveria haver granulação natural da pele.

Aqui entra o primeiro passo prático: implemente um verificador de saturação e nitidez antes mesmo de iniciar o liveness. Se a imagem estiver com ISO muito alto (grão excessivo) ou muito suavizada, force uma nova captura ou solicite que o usuário desligue filtros. Ferramentas como o TensorFlow Lite podem rodar um modelo leve de estimativa de nitidez (sharpness estimation) localmente, menos de 100ms, para rejeitar capturas de baixa qualidade que seriam o calcanhar de Aquiles da sua detecção de textura.

2. Analise inconsistências espectrais e de frequência

Deepfakes gerados por GANs (Generative Adversarial Networks) e difusão operam no domínio espacial, tentando imitar a aparência visual. Entretanto, eles falham consistentemente no domínio da frequência. Ao analisar a imagem através de uma Transformada Discreta de Cosseno (DCT) ou uma Wavelet, padrões de compressão e "ghosting" ficam evidentes.

Sua implementação deve extrair o mapa de frequência da região do rosto. Um rosto humano real apresenta decaimento de energia de alta frequência previsível. Sintéticos frequentemente mantêm altas frequências onde deveriam ser lisas ou introduzem artefatos de "ringing" nas bordas de alto contraste, como a linha entre o cabelo e a testa, ou entre a orelha e o fundo.

O passo concreto aqui é configurar um limiar de entropia local. Em Python (no backend de validação), você pode calcular a entropia de blocos de 8x8 pixels. Se a variação de entropia entre a bochecha e a testa for menor que 0.3 bits em uma escala normalizada, acenda um sinal de alerta para fraude sintética. Isso filtra injeções de vídeo onde o compressor do atacante suavizou demais a região da pele para mascarar as falhas da IA geradora.

3. Integre a leitura de rPPG (frequência cardíaca remota)

Este é o passo que separa os provedores de liveness medíocres dos de classe mundial. Pela primeira vez, em 2026, conseguimos usar a câmera frontal comum para medir a frequência cardíaca através de variações microscópicas de cor na pele (remote Photoplethysmography). O sangue absorve a luz verde; quando o coração bate, a cor da pele muda imperceptivelmente. Uma tela de notebook ou um vídeo de alta resolução não exibe essa variação fisiológica.

O processo exige o isolamento do canal de cor verde (que tem a melhor relação sinal-ruído para rPPG) e a aplicação de um filtro passa-banda (0.7 Hz a 3.0 Hz, equivalente a 42 a 180 bpm).

Você deve implementar essa verificação como um "silent check". Enquanto o usuário realiza a ação de posicionar o rosto, extraia o sinal por 4 a 6 segundos. Se o sinal cardíaco estiver fora do espectro humano fisiológico ou simplesmente ausente (um sinal "flat line" de ruído branco), rejeite a sessão imediatamente. Eu vi casos de attackers tentando sobrepor um vídeo de alguém vivo, mas a taxa de quadros da câmera do atacante (geralmente 30fps) vs a da tela do celular (60Hz ou 120Hz) cria um aliasing no sinal de pulso que é estatisticamente impossível para um ser humano.

4. Desafie o comportamento com liveness ativo preditivo

O liveness passivo (onde o usuário apenas olha para a câmera) é ótimo para conversão, mas fraco contra ataques sofisticados de injeção de pacotes. O ataque "MegaCam", que surgiu com força no último trimestre, emula uma câmera virtual diretamente no driver do Android, enviando frames pré-renderizados. Para pegar isso, você precisa desafiar a temporalidade da cena.

Não peça para o usuário sorrir ou piscar — deepfakes atuais fazem isso muito bem. Em vez disso, use desafios baseados em fones de ouvido. Peça que o usuário gire a cabeça para a direita. Se o movimento for rotacional puro (sem deslocamento lateral), o parallax no fundo da imagem deve ser nulo se for uma foto, mas presente se for 3D. No entanto, o pulo do gato em 2026 é pedir para o usuário cobrir um ouvido e depois o outro.

A IA generativa tem muita dificuldade em lidar com oclusão e reconstituição de geometria parcial em tempo real. Quando a mão do usuário cobre a orelha, o algoritmo de deepfake frequentemente "alucina" a continuidade do cabelo ou da pele atrás da mão, ou falha em alinhar a iluminação da mão (que vem de baixo, segurando o celular) com a iluminação do rosto (que vem de cima ou da frente). O sistema deve pontuar negativamente se as bordas da mão se fundirem com o rosto de forma pixelada ou se a iluminação for fisicamente inconsistente.

5. Calibre o limiar de risco para não explodir seu CAC

Tudo o que foi dito até agora gera falsos positivos. Um sensor sujo, iluminação de backstage muito forte ou apenas um usuário muito moreno pode confundir o detector de rPPG ou o analisador de textura se o modelo não tiver sido treinado com diversidade étnica suficiente (o que, infelizmente, ainda é um problema em muitos modelos americanos importados sem fine-tuning para o Brasil).

O passo final de implementação não é técnico, é de negócio. Você não deve bloquear automaticamente em 100% dos casos de suspeita. Defina uma pontuação de confiança de 0 a 1000. Usuários que caírem na faixa de suspeita média (digamos, entre 400 e 600) devem ser desafiados com um segundo fator de autenticação ou direcionados para uma fila de análise manual human-in-the-loop.

Cada falso positivo que vira "reprovação automática" pode custar ao seu banco algo entre R$ 25 e R$ 50 em custo de aquisição (CAC) jogado no lixo, sem contar o dano à marca. Eu recomendo começar com o sistema em "monitor-only mode (somente observação)" por duas semanas. Deixe a IA rodar, marque os fraudes, mas não bloqueie os usuários. Compare o que a IA marcou como fraude com as chargebacks que chegam 30 dias depois. Ajuste os pesos dos modelos (pixel vs comportamento) até que a taxa de falsos positivos caia abaixo de 0,5% antes de colocar o botão de "bloqueio" automático. Se precisar entender mais sobre o equilíbrio entre automação e regras duras, leitura essencial sobre por que a abordagem híbrida ainda é o padrão ouro.

Conclusão

Implementar detecção de deepfake em 2026 é, essencialmente, uma guerra de atrito. Você não vai criar um sistema invulnerável; o objetivo é aumentar o custo e o esforço técnico do fraudador a ponto de que o ROI dele seja negativo. Se você obrigar o criminoso a quebrar criptografia de driver, simular pulso cardíaco e gerar textura de pele em tempo real, ele vai preferir atacar o banco do concorrente que ainda pede apenas uma "selfie segurando o documento". A segurança no seu KYC não é o software que você compra, é a especificidade com que você tortura os dados de entrada para encontrar onde a mentira falha.

Aviso Legal: As técnicas de análise de pixels e biometria comportamental descritas baseiam-se em estados atuais da tecnologia de segurança cibernética (2026). Nenhum sistema antifraude oferece 100% de garantia contra ataques de engenharia social ou IA avançada. Algoritmos históricos não garantem desempenho futuro contra novos vetores de ataque sintético. Consulte sempre seu DPO e jurídico antes de coletar dados biométricos sensíveis.