Comportamento: A Nova Fronteira na Identificação do Usuário e a Cibersegurança na Era da IA
O artigo explora a ascensão da biometria comportamental como um novo método de autenticação, impulsionado pelos avanços da IA e do malware. Ele detalha como a análise de padrões de comportamento, como gestos e digitação, está se tornando crucial para combater fraudes e ataques cibernéticos, oferecendo uma autenticação contínua e melhorando a experiência do usuário.
MundiX News·11 de maio de 2026·10 min de leitura·👁 5 views
Vivemos em uma era de mudança de paradigma na interação humana com sistemas de rede, uma transformação na forma como as pessoas provam ser quem dizem ser. As principais perguntas que sempre foram feitas aos usuários eram: "O que você sabe?" (senha, PIN, sobrenome de solteira da mãe) ou "Como você se parece?" (Face ID, impressões digitais). Agora, a questão que vem à tona é: "Como você se comporta?".
Atualmente, o desenvolvimento de IA generativa e o progresso no desenvolvimento de malware, como RATs (Remote Access Trojans), permitiram que cibercriminosos conduzissem ataques em larga escala e até mesmo contornassem mecanismos de segurança como Face ID ou MFA (Multi-Factor Authentication), que antes eram considerados "à prova de balas".
Hoje em dia, a análise de biometria comportamental está se tornando uma abordagem padrão para garantir a segurança em bancos responsáveis por cobrir perdas de crimes cibernéticos. Essa abordagem é usada em casos em que as medidas de segurança implementadas pelos bancos não conseguem garantir proteção contra problemas inerentes a novos esquemas de fraude.
Teoria do Controle Motor Computacional
A análise de padrões de rolagem de conteúdo do trabalho "Touchalytics" - uma evidência do poder da biometria comportamental. Aqui estão os gestos correspondentes a nove usuários diferentes. Fonte: trabalho "Touchalytics" da Universidade da Califórnia, Berkeley.
Quando alguém, trabalhando com um telefone, rola elementos de um menu suspenso ou arrasta algum controle deslizante, sem pensar muito nisso, seu cérebro envolve um complexo loop de feedback, corrigindo pequenas imperfeições na trajetória que surgem a cada milímetro, a cada milissegundo do gesto.
As primeiras pesquisas no campo da biometria comportamental visavam distinguir o comportamento humano do comportamento de um robô. Mas os cientistas perceberam muito rapidamente que, com a mesma tecnologia, é possível distinguir o comportamento de uma pessoa do comportamento de outras pessoas.
A teoria do controle motor computacional (Computational motor control theory) é um campo de conhecimento interdisciplinar que combina neurobiologia, biomecânica e ciência da computação. Essa teoria fornece aos pesquisadores uma base para entender os sinais discriminatórios do comportamento humano, aos quais não foi dada a devida atenção anteriormente.
Estudos mostram que o que é considerado comportamento "mecânico", as mesmas correções inconscientes de ações realizadas pelo cérebro, é precisamente o que torna incrivelmente difícil recriar o perfil comportamental de uma pessoa. Em 2012, a Universidade da Califórnia, Berkeley, conduziu um estudo, cujos resultados foram publicados no trabalho "Touchalytics: On the Applicability of Touchscreen Input as a Behavioral Biometric for Continuous Authentication". Durante o experimento, foram estudados os padrões de rolagem de conteúdo em 41 participantes do estudo que visualizaram textos e imagens em seus smartphones. Foi comprovado que, mesmo após 11 gestos de rolagem de conteúdo, os modelos comportamentais são capazes de reconhecer um usuário específico sem erros.
"Impressões Digitais" Digitais
No estudo mencionado, foram identificadas 30 características comportamentais exclusivas do comportamento habitual de cada usuário ao rolar materiais. Isso inclui o comprimento do movimento, trajetória, velocidade, direção, curvatura, tempo entre os movimentos e até mesmo a área do dedo de cada participante do estudo que toca a tela. Por exemplo, alguns usuários param completamente antes de tirar o dedo da tela após um gesto de rolagem. E outros tiram o dedo em movimento. Os cientistas chamaram isso de rolagem "balística".
Características geométricas do gesto. Fonte: trabalho "Touchalytics" da Universidade da Califórnia, Berkeley.
Deve-se notar que as capacidades de análise do comportamento do usuário vão muito além do estudo das características da rolagem de conteúdo. O ritmo de digitação, a movimentação pelos campos, até mesmo as características quase imperceptíveis de como o usuário segura o telefone distinguem as pessoas umas das outras.
A Corrida Armamentista em IA
Certos sinais comportamentais, tomados isoladamente, podem ajudar os bancos a identificar episódios óbvios de fraude. Por exemplo, se o telefone estiver de cabeça para baixo durante uma transação, esse é um sinal muito alarmante. A velocidade de digitação, que apenas um super-humano é capaz de alcançar, movimentos de cursor impossivelmente suaves, ou uma transação iniciada por um dispositivo cuja tela está bloqueada - qualquer um desses eventos pode parecer muito suspeito.
No entanto, os complexos de biometria comportamental são mais do que sistemas baseados em regras. Aqui, os modelos de IA, usando álgebra linear e estatística, são capazes de combinar as menores nuances de interação entre humanos e máquinas para criar modelos personalizados. Esses modelos são capazes de fornecer autenticação contínua do usuário, realizada mesmo depois que o sistema o reconheceu durante a passagem por uma verificação "limiar", como inserir um login e senha ou usar o Face ID.
Eu trabalho na AppGate como engenheiro de aprendizado de máquina. Treinamos modelos comportamentais personalizados com dados de sensores de telefones celulares. Esses modelos permitem a análise interativa de se os movimentos que o dispositivo executa foram iniciados pelo usuário ou por qualquer outro dispositivo do qual sua conta bancária foi acessada.
Nossos modelos personalizados, focados na detecção de anomalias, combinados com sinais globais, cujo processamento é realizado de acordo com regras predefinidas, ajudam os bancos a se proteger contra ataques do tipo "Account Takeover" (ATO) e "Device Takeover" (DTO). Em muitos casos, os modelos comportamentais oferecem proteção de nível superior do que os marcadores biométricos tradicionais, como impressões digitais, ou mecanismos de reconhecimento facial do usuário.
A Cadeia Logística do Crime Cibernético
Na maioria das vezes, as vítimas de ataques que visam assumir contas ou roubar dados pessoais são pessoas idosas. Um ataque tradicional geralmente se parece com uma operação de várias etapas que envolve muitos atores. Muitas vezes, o ataque começa com uma URL de phishing ou um episódio de engenharia social (uma manipulação telefônica cuidadosamente calibrada do ponto de vista psicológico). Nesta fase, os criminosos coletam as credenciais da vítima e as vendem para várias organizações criminosas em grandes mercados da dark web, como o infame site Genesis Market. Este é um fórum da darknet, que continha mais de 80 milhões de registros com credenciais roubadas de mais de 2 milhões de pessoas.
Captura de tela da página inicial do Genesis Market da internet comum, feita depois que o FBI apreendeu o site em 2023. Fonte: Wikipédia.
Essas "impressões digitais" digitais são comercializadas como mercadorias comuns. Muitas vezes, elas passam por várias mãos antes de chegar ao invasor ou bot que tentará hackear a conta. Uma "cadeia logística" tão complexa e confusa dificulta significativamente que as autoridades encontrem o culpado ou os culpados pelos crimes.
Durante a implementação de um esquema comum de tomada de conta, o invasor contorna a autenticação normal (faz login) de um dispositivo geralmente desconhecido pelo banco, que não pertence ao proprietário da conta. No entanto, as medidas de segurança cibernética padrão usadas pela maioria dos bancos são capazes de evitar tais ataques. Essas medidas envolvem o uso de várias formas de análise de dispositivos, o uso de senhas de uso único, autenticação multifator ou outras formas de verificação de dispositivos. Mas, recentemente, novas tendências muito alarmantes têm aparecido, indicando que os criminosos são capazes de contornar até mesmo esses métodos de proteção.
O Desenvolvimento de Novas Abordagens para Ataques Cibernéticos
Atualmente, existem programas maliciosos capazes de interceptar dados inseridos em formulários online, registrar remotamente as teclas pressionadas. Eles podem até mesmo "invadir" telefones para interceptar dados de autenticação multifator, realizando ataques do tipo DTO, que podem ser chamados de parentes assustadores dos ataques ATO. E, considerando o desenvolvimento da IA generativa, as preocupações de que os cibercriminosos ainda não começaram de verdade são bastante reais.
Por exemplo, a ferramenta deepfake usada por cibercriminosos, chamada ProKYC, permite que hackers contornem a autenticação de dois fatores, o reconhecimento facial e até mesmo o processo de verificação de identidade em tempo real. Tudo isso é feito com a ajuda de vídeos deepfake. Ou aqui está outro exemplo - o notório RAT BingoMod. Este trojan é distribuído por meio de um esquema de smishing (via URLs de phishing enviados por SMS) e se disfarça de um antivírus confiável em telefones Android. BingoMod usa permissões no dispositivo que permitem que um invasor remoto roube secretamente informações importantes, como credenciais de usuário e suas mensagens. Isso permite, por exemplo, realizar transferências de dinheiro iniciadas diretamente no dispositivo infectado.
Depois que o dispositivo é comprometido, todas as formas tradicionais de autenticação do usuário usadas pelos bancos estão sob controle total do invasor. Do ponto de vista do banco, a impressão digital digital do dispositivo parece correta, seu endereço IP também, os códigos de autenticação multifator e os dados obtidos de programas de autenticação correspondem ao esperado. E, graças ao florescimento da engenharia social, mesmo as respostas corretas às perguntas de segurança, como o sobrenome de solteira da mãe, também não são uma forma particularmente confiável de proteção contra fraudadores.
Tudo isso sugere que a única salvação do crime cibernético é verificar o comportamento do usuário.
Autenticação Contínua e Redução do Número de Fatores que Interferem no Trabalho dos Usuários
A crescente sofisticação dos ataques cibernéticos e, por sua vez, a complexidade dos meios de segurança cibernética, levaram a um efeito positivo que afetou os clientes de bancos online. Estamos falando da melhoria da experiência do usuário.
Como os modelos comportamentais são capazes de fornecer autenticação contínua do usuário, a necessidade de usar frequentemente meios de autenticação multifator ou senhas de uso único é reduzida. Como resultado, os usuários se sentem mais confortáveis trabalhando com aplicativos bancários, realizando ações com consequências financeiras.
Os sistemas de biometria comportamental permitem interromper menos a interação entre o aplicativo e o usuário, garantindo um nível mais alto de segurança. Fonte: Marlene Rodriguez
O produto em que estou trabalhando agora é chamado 360 Risk Control. Ele combina sinais de sistemas de detecção de bots, meios de identificação de dispositivos, modelos de biometria comportamental "desktop" e soluções móveis. Tudo isso forma um único sistema de análise contínua de riscos. A análise é realizada durante toda a sessão bancária. O sistema continua funcionando mesmo depois que o usuário insere um nome de usuário e senha tradicionais ou usa o Face ID.
Quando o sistema vê sinais que indicam um alto nível de risco, ele pode aumentar o nível de verificação do usuário, solicitar uma confirmação de identidade adicional ou até mesmo cancelar completamente a transação. Mas quando o comportamento do usuário corresponde ao que está registrado em seu perfil, a sessão de interação com o aplicativo corre como um relógio.
Resultados
A aplicação da biometria comportamental marca uma profunda transformação no campo da segurança cibernética. Esta é a transição de meios de segurança ativos (o usuário precisa realizar alguma ação com essa abordagem) para passivos (o comportamento natural do usuário atua como um dos critérios para sua identificação). Esta é a transição de verificações únicas para esquemas de autenticação contínua, a transição de uma experiência de usuário fragmentada para um trabalho natural e seguro com aplicativos importantes.
Materiais Adicionais
Touchalytics
ProKYC
BingoMod
FBI Internet Crime Report
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Vivemos em uma era de mudança de paradigma na interação humana com sistemas de rede, uma transformação na forma como as pessoas provam ser quem dizem ser. As principais perguntas que sempre foram feitas aos usuários eram: "O que você sabe?" (senha, PIN, sobrenome de solteira da mãe) ou "Como você se parece?" (Face ID, impressões digitais). Agora, a questão que vem à tona é: "Como você se comporta?".
Atualmente, o desenvolvimento de IA generativa e o progresso no desenvolvimento de malware, como RATs (Remote Access Trojans), permitiram que cibercriminosos conduzissem ataques em larga escala e até mesmo contornassem mecanismos de segurança como Face ID ou MFA (Multi-Factor Authentication), que antes eram considerados "à prova de balas".
Hoje em dia, a análise de biometria comportamental está se tornando uma abordagem padrão para garantir a segurança em bancos responsáveis por cobrir perdas de crimes cibernéticos. Essa abordagem é usada em casos em que as medidas de segurança implementadas pelos bancos não conseguem garantir proteção contra problemas inerentes a novos esquemas de fraude.
Teoria do Controle Motor Computacional
A análise de padrões de rolagem de conteúdo do trabalho "Touchalytics" - uma evidência do poder da biometria comportamental. Aqui estão os gestos correspondentes a nove usuários diferentes. Fonte: trabalho "Touchalytics" da Universidade da Califórnia, Berkeley.
Quando alguém, trabalhando com um telefone, rola elementos de um menu suspenso ou arrasta algum controle deslizante, sem pensar muito nisso, seu cérebro envolve um complexo loop de feedback, corrigindo pequenas imperfeições na trajetória que surgem a cada milímetro, a cada milissegundo do gesto.
As primeiras pesquisas no campo da biometria comportamental visavam distinguir o comportamento humano do comportamento de um robô. Mas os cientistas perceberam muito rapidamente que, com a mesma tecnologia, é possível distinguir o comportamento de uma pessoa do comportamento de outras pessoas.
A teoria do controle motor computacional (Computational motor control theory) é um campo de conhecimento interdisciplinar que combina neurobiologia, biomecânica e ciência da computação. Essa teoria fornece aos pesquisadores uma base para entender os sinais discriminatórios do comportamento humano, aos quais não foi dada a devida atenção anteriormente.
Estudos mostram que o que é considerado comportamento "mecânico", as mesmas correções inconscientes de ações realizadas pelo cérebro, é precisamente o que torna incrivelmente difícil recriar o perfil comportamental de uma pessoa. Em 2012, a Universidade da Califórnia, Berkeley, conduziu um estudo, cujos resultados foram publicados no trabalho "Touchalytics: On the Applicability of Touchscreen Input as a Behavioral Biometric for Continuous Authentication". Durante o experimento, foram estudados os padrões de rolagem de conteúdo em 41 participantes do estudo que visualizaram textos e imagens em seus smartphones. Foi comprovado que, mesmo após 11 gestos de rolagem de conteúdo, os modelos comportamentais são capazes de reconhecer um usuário específico sem erros.
"Impressões Digitais" Digitais
No estudo mencionado, foram identificadas 30 características comportamentais exclusivas do comportamento habitual de cada usuário ao rolar materiais. Isso inclui o comprimento do movimento, trajetória, velocidade, direção, curvatura, tempo entre os movimentos e até mesmo a área do dedo de cada participante do estudo que toca a tela. Por exemplo, alguns usuários param completamente antes de tirar o dedo da tela após um gesto de rolagem. E outros tiram o dedo em movimento. Os cientistas chamaram isso de rolagem "balística".
Características geométricas do gesto. Fonte: trabalho "Touchalytics" da Universidade da Califórnia, Berkeley.
Deve-se notar que as capacidades de análise do comportamento do usuário vão muito além do estudo das características da rolagem de conteúdo. O ritmo de digitação, a movimentação pelos campos, até mesmo as características quase imperceptíveis de como o usuário segura o telefone distinguem as pessoas umas das outras.
A Corrida Armamentista em IA
Certos sinais comportamentais, tomados isoladamente, podem ajudar os bancos a identificar episódios óbvios de fraude. Por exemplo, se o telefone estiver de cabeça para baixo durante uma transação, esse é um sinal muito alarmante. A velocidade de digitação, que apenas um super-humano é capaz de alcançar, movimentos de cursor impossivelmente suaves, ou uma transação iniciada por um dispositivo cuja tela está bloqueada - qualquer um desses eventos pode parecer muito suspeito.
No entanto, os complexos de biometria comportamental são mais do que sistemas baseados em regras. Aqui, os modelos de IA, usando álgebra linear e estatística, são capazes de combinar as menores nuances de interação entre humanos e máquinas para criar modelos personalizados. Esses modelos são capazes de fornecer autenticação contínua do usuário, realizada mesmo depois que o sistema o reconheceu durante a passagem por uma verificação "limiar", como inserir um login e senha ou usar o Face ID.
Eu trabalho na AppGate como engenheiro de aprendizado de máquina. Treinamos modelos comportamentais personalizados com dados de sensores de telefones celulares. Esses modelos permitem a análise interativa de se os movimentos que o dispositivo executa foram iniciados pelo usuário ou por qualquer outro dispositivo do qual sua conta bancária foi acessada.
Nossos modelos personalizados, focados na detecção de anomalias, combinados com sinais globais, cujo processamento é realizado de acordo com regras predefinidas, ajudam os bancos a se proteger contra ataques do tipo "Account Takeover" (ATO) e "Device Takeover" (DTO). Em muitos casos, os modelos comportamentais oferecem proteção de nível superior do que os marcadores biométricos tradicionais, como impressões digitais, ou mecanismos de reconhecimento facial do usuário.
A Cadeia Logística do Crime Cibernético
Na maioria das vezes, as vítimas de ataques que visam assumir contas ou roubar dados pessoais são pessoas idosas. Um ataque tradicional geralmente se parece com uma operação de várias etapas que envolve muitos atores. Muitas vezes, o ataque começa com uma URL de phishing ou um episódio de engenharia social (uma manipulação telefônica cuidadosamente calibrada do ponto de vista psicológico). Nesta fase, os criminosos coletam as credenciais da vítima e as vendem para várias organizações criminosas em grandes mercados da dark web, como o infame site Genesis Market. Este é um fórum da darknet, que continha mais de 80 milhões de registros com credenciais roubadas de mais de 2 milhões de pessoas.
Captura de tela da página inicial do Genesis Market da internet comum, feita depois que o FBI apreendeu o site em 2023. Fonte: Wikipédia.
Essas "impressões digitais" digitais são comercializadas como mercadorias comuns. Muitas vezes, elas passam por várias mãos antes de chegar ao invasor ou bot que tentará hackear a conta. Uma "cadeia logística" tão complexa e confusa dificulta significativamente que as autoridades encontrem o culpado ou os culpados pelos crimes.
Durante a implementação de um esquema comum de tomada de conta, o invasor contorna a autenticação normal (faz login) de um dispositivo geralmente desconhecido pelo banco, que não pertence ao proprietário da conta. No entanto, as medidas de segurança cibernética padrão usadas pela maioria dos bancos são capazes de evitar tais ataques. Essas medidas envolvem o uso de várias formas de análise de dispositivos, o uso de senhas de uso único, autenticação multifator ou outras formas de verificação de dispositivos. Mas, recentemente, novas tendências muito alarmantes têm aparecido, indicando que os criminosos são capazes de contornar até mesmo esses métodos de proteção.
O Desenvolvimento de Novas Abordagens para Ataques Cibernéticos
Atualmente, existem programas maliciosos capazes de interceptar dados inseridos em formulários online, registrar remotamente as teclas pressionadas. Eles podem até mesmo "invadir" telefones para interceptar dados de autenticação multifator, realizando ataques do tipo DTO, que podem ser chamados de parentes assustadores dos ataques ATO. E, considerando o desenvolvimento da IA generativa, as preocupações de que os cibercriminosos ainda não começaram de verdade são bastante reais.
Por exemplo, a ferramenta deepfake usada por cibercriminosos, chamada ProKYC, permite que hackers contornem a autenticação de dois fatores, o reconhecimento facial e até mesmo o processo de verificação de identidade em tempo real. Tudo isso é feito com a ajuda de vídeos deepfake. Ou aqui está outro exemplo - o notório RAT BingoMod. Este trojan é distribuído por meio de um esquema de smishing (via URLs de phishing enviados por SMS) e se disfarça de um antivírus confiável em telefones Android. BingoMod usa permissões no dispositivo que permitem que um invasor remoto roube secretamente informações importantes, como credenciais de usuário e suas mensagens. Isso permite, por exemplo, realizar transferências de dinheiro iniciadas diretamente no dispositivo infectado.
Depois que o dispositivo é comprometido, todas as formas tradicionais de autenticação do usuário usadas pelos bancos estão sob controle total do invasor. Do ponto de vista do banco, a impressão digital digital do dispositivo parece correta, seu endereço IP também, os códigos de autenticação multifator e os dados obtidos de programas de autenticação correspondem ao esperado. E, graças ao florescimento da engenharia social, mesmo as respostas corretas às perguntas de segurança, como o sobrenome de solteira da mãe, também não são uma forma particularmente confiável de proteção contra fraudadores.
Tudo isso sugere que a única salvação do crime cibernético é verificar o comportamento do usuário.
Autenticação Contínua e Redução do Número de Fatores que Interferem no Trabalho dos Usuários
A crescente sofisticação dos ataques cibernéticos e, por sua vez, a complexidade dos meios de segurança cibernética, levaram a um efeito positivo que afetou os clientes de bancos online. Estamos falando da melhoria da experiência do usuário.
Como os modelos comportamentais são capazes de fornecer autenticação contínua do usuário, a necessidade de usar frequentemente meios de autenticação multifator ou senhas de uso único é reduzida. Como resultado, os usuários se sentem mais confortáveis trabalhando com aplicativos bancários, realizando ações com consequências financeiras.
Os sistemas de biometria comportamental permitem interromper menos a interação entre o aplicativo e o usuário, garantindo um nível mais alto de segurança. Fonte: Marlene Rodriguez
O produto em que estou trabalhando agora é chamado 360 Risk Control. Ele combina sinais de sistemas de detecção de bots, meios de identificação de dispositivos, modelos de biometria comportamental "desktop" e soluções móveis. Tudo isso forma um único sistema de análise contínua de riscos. A análise é realizada durante toda a sessão bancária. O sistema continua funcionando mesmo depois que o usuário insere um nome de usuário e senha tradicionais ou usa o Face ID.
Quando o sistema vê sinais que indicam um alto nível de risco, ele pode aumentar o nível de verificação do usuário, solicitar uma confirmação de identidade adicional ou até mesmo cancelar completamente a transação. Mas quando o comportamento do usuário corresponde ao que está registrado em seu perfil, a sessão de interação com o aplicativo corre como um relógio.
Resultados
A aplicação da biometria comportamental marca uma profunda transformação no campo da segurança cibernética. Esta é a transição de meios de segurança ativos (o usuário precisa realizar alguma ação com essa abordagem) para passivos (o comportamento natural do usuário atua como um dos critérios para sua identificação). Esta é a transição de verificações únicas para esquemas de autenticação contínua, a transição de uma experiência de usuário fragmentada para um trabalho natural e seguro com aplicativos importantes.
Materiais Adicionais
Touchalytics
ProKYC
BingoMod
FBI Internet Crime Report
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
