A inteligência artificial alcançou um ponto de inflexão crítico para a cibersegurança global. Com o lançamento do Sora 2 pela OpenAI em setembro de 2025 e do Veo 3.1 pela Google em outubro de 2025, entramos numa era onde qualquer pessoa pode criar vídeos hiper-realistas com apenas algumas linhas de texto. Estas ferramentas representam avanços tecnológicos extraordinários, mas também abrem portas perigosas para cibercriminosos e ameaças à segurança organizacional.
O Salto Tecnológico que Redefine o Possível
O Sora 2 marca o que a OpenAI descreve como o “momento GPT-3.5 para vídeo”. Lançado oficialmente em 30 de setembro de 2025, este modelo de segunda geração domina a física realista, conseguindo simular dinâmicas complexas como rotinas de ginástica olímpica, saltos em pranchas que modelam corretamente flutuabilidade e rigidez, e interações que mantêm consistência ao longo de toda a cena.
Nesse artigo do blog Dolutech, vamos explorar como mais impressionante ainda é a capacidade de gerar áudio sincronizado contextualmente, incluindo diálogos, efeitos sonoros e ruído ambiente, com precisão de sincronia labial que torna a experiência quase indistinguível da realidade. O aplicativo foi baixado mais de um milhão de vezes nos primeiros cinco dias após o lançamento, demonstrando o alcance massivo desta tecnologia.
Veo 3.1: A Resposta do Google
O Veo 3.1, lançado pela Google em 15 de outubro de 2025, não fica atrás. Esta atualização evolutiva fortalece a integração de áudio nativo, estende a duração das cenas para até um minuto e oferece controlo granular através de imagens de referência, permitindo manter a identidade e aparência de personagens em todos os frames. Com resolução de 1080p a 24 FPS e capacidade de criar personagens falantes com expressões faciais realistas, o Veo 3.1 democratiza a criação de conteúdo cinematográfico profissional.
Desde o seu lançamento através da plataforma Flow, mais de 275 milhões de vídeos já foram gerados, evidenciando a escala de adoção desta tecnologia.
As Ameaças Concretas à Cibersegurança
Criação de Deepfakes Convincentes em Escala
Um estudo alarmante da NewsGuard revelou que o Sora 2 produziu vídeos realistas com alegações falsas em 80% dos casos testados. De 20 prompts, 16 resultaram com sucesso em desinformação, sendo 11 na primeira tentativa e geralmente em menos de cinco minutos. A ferramenta criou sem dificuldades cenas falsas mostrando um suposto oficial moldavo destruindo cédulas pró-russas, agentes de imigração dos EUA detendo uma criança pequena, e um representante da Coca-Cola afirmando que a empresa não patrocinaria o Super Bowl, nenhum destes eventos ocorreu.
A Dolutech alerta que o Veo 3.1 apresenta vulnerabilidades semelhantes. Quando testado pela Al Jazeera, a ferramenta gerou facilmente vídeos de ataques fictícios com mísseis em Teerão e Tel Aviv usando prompts simples, sem qualquer bloqueio ou aviso do sistema.
Fraude Empresarial e Impersonação de Executivos
Segundo o relatório Top Cybersecurity Predictions for 2024-2025 do Gartner, estima-se que em 2025, 50% dos ataques de phishing utilizarão deepfakes ou vozes sintéticas. As estatísticas são alarmantes: 179 incidentes de deepfake no primeiro trimestre de 2025 já superaram todo o ano de 2024.
Os deepfakes agora representam 6,5% de todas as fraudes, com perdas nos Estados Unidos previstas para aumentar significativamente. Um caso notório de 2024 envolveu um trabalhador financeiro em Hong Kong que transferiu 25 milhões de dólares para burlões após participar numa videoconferência com alguém que acreditava ser o CEO da empresa — na realidade, era um deepfake sofisticado.
Com ferramentas de clonagem de voz AI que requerem apenas segundos de áudio de treino, os atacantes podem agora impersonar CEOs, diretores financeiros ou qualquer executivo sénior com precisão assustadora.
Desinformação e Manipulação Política
A capacidade de criar vídeos convincentes de figuras públicas dizendo ou fazendo coisas que nunca aconteceram representa uma ameaça existencial à integridade da informação. Durante períodos eleitorais, estas ferramentas podem ser usadas para criar propaganda falsa, incitar violência comunitária ou destruir reputações instantaneamente.
Em Portugal, especialistas da iniciativa CpC (Cidadãos pela Cibersegurança) alertam para a urgência legislativa na prevenção de deepfakes, especialmente em contextos eleitorais. A facilidade de criação de conteúdo manipulado exige uma resposta regulatória mais rápida que a tradicional lentidão legislativa.
A Fragilidade das Proteções Atuais
Facilidade de Remoção de Marcas d’Água
Embora tanto o Sora 2 quanto o Veo 3.1 implementem marcas d’água (visíveis e invisíveis através da tecnologia SynthID e C2PA), estas proteções são facilmente contornáveis. A NewsGuard demonstrou que ferramentas online gratuitas podem remover a marca d’água do Sora 2 em menos de quatro minutos.
Técnicas simples como gravação de tela física, espelhamento do vídeo, compressão de baixa resolução ou ajustes de cor podem tornar a detecção impossível. A marca d’água visível do Veo 3.1 é tão pequena que pode ser facilmente cortada com software de edição de vídeo básico.
Estratégias de Defesa: Como Proteger-se Eficazmente
Educação e Literacia Digital
A literacia digital é a primeira linha de defesa. Estudos demonstram que intervenções de literacia digital podem aumentar a capacidade de discernir deepfakes em até 13 pontos percentuais. Os programas de formação eficazes devem incluir:
Exposição a exemplos reais: Os colaboradores precisam ver e ouvir deepfakes convincentes para desenvolver consciência do que é possível. Simulações personalizadas que utilizam dados OSINT reais criam experiências de aprendizagem mais eficazes.
Reconhecimento de sinais de alerta: Ensinar a identificar inconsistências visuais e auditivas, como sincronização labial imperfeita, movimentos faciais não naturais, iluminação que não corresponde ao ambiente, ou artefatos visuais.
Cultura de ceticismo saudável: Promover uma mentalidade onde verificar é mais importante do que agir rapidamente, especialmente para solicitações urgentes ou incomuns.
Protocolos de Verificação Multi-Canal
Implementar processos de verificação rigorosos é fundamental para prevenir fraudes por deepfake:
Autenticação fora de banda: Para ações de alto risco (transferências bancárias, partilha de credenciais, mudanças de acesso ao sistema), exigir confirmação através de pelo menos dois canais de comunicação independentes.
Protocolos de palavra-código: Estabelecer uma palavra-código verbal ou frase que deve ser usada em solicitações sensíveis. Isto cria uma camada de autenticação que deepfakes não conseguem replicar sem conhecimento prévio.
Atrasos temporais em processos de alto risco: Períodos de espera obrigatórios de 15-30 minutos permitem que colaboradores verifiquem pedidos incomuns sem a pressão de ação imediata.
Autenticação multifator (MFA) robusta: Implementar MFA em todos os sistemas, combinando algo que o utilizador sabe (senha), algo que possui (dispositivo móvel, token de hardware) e algo que é (biometria). A MFA pode prevenir até 99,9% dos ataques de compromisso de contas.
Soluções Tecnológicas de Deteção
Embora nenhuma tecnologia seja 100% eficaz, ferramentas avançadas podem adicionar camadas importantes de proteção:
Plataformas de deteção de deepfake AI: Soluções como Sensity AI (95-98% de precisão, tendo detetado mais de 35.000 deepfakes maliciosos), Reality Defender (deteção multimodal em tempo real), e Pindrop (análise de características vocais únicas) oferecem monitorização contínua.
Deteção de vivacidade (liveness detection): Tecnologias baseadas em ciência que diferenciam entre dados biométricos reais e representações sintéticas, verificando sinais vitais de vida.
Blockchain para Autenticação de Conteúdo
A tecnologia blockchain oferece uma abordagem complementar robusta através da sua natureza imutável, transparente e descentralizada:
Registo imutável: O blockchain garante que uma vez registado conteúdo digital (imagens, vídeos, áudio), torna-se extremamente difícil para atores maliciosos alterar ou manipular os dados.
Timestamping criptográfico: O registo temporal preciso estabelece ordem cronológica de criação ou publicação, permitindo determinar a fonte original e o momento de criação do conteúdo.
Verificação descentralizada: Múltiplos nós na rede podem validar independentemente a legitimidade de conteúdo, reduzindo o risco de falsos positivos ou negativos.
Cenário Regulatório em Evolução
Nós acompanhamos o cenário regulatório que está a evoluir rapidamente. Nos Estados Unidos, a Lei TAKE IT DOWN de maio de 2025 tornou-se a primeira lei federal a restringir diretamente deepfakes prejudiciais, focando-se em imagens íntimas não consensuais e impersonações, com penalidades de até três anos de prisão.
A União Europeia implementou diretrizes sobre sistemas de IA transparentes, visando reduzir riscos de engano, impersonação e desinformação. A Índia propôs em outubro de 2025 regras exigindo que pelo menos 10% da área de exibição visual sejam dedicados a isenções de responsabilidade sobre conteúdo gerado por IA.
O Contexto Português
Em Portugal, segundo dados do Centro Nacional de Cibersegurança (CNCS), registou-se um aumento de 26% no número de incidentes de cibersegurança em 2021 comparando com 2020. Embora a Polícia Judiciária não tenha registo oficial de crimes envolvendo deepfakes em território nacional, especialistas alertam que isto pode refletir mais a dificuldade de deteção do que a ausência real de casos.
O relatório “O Futuro da Cibersegurança em 2025” da WeSecure destaca que os cibercriminosos continuarão a inovar, com aumento esperado no uso de deepfakes e tecnologias de IA para realizar fraudes mais sofisticadas.
Perspetiva Futura: A Corrida Armamentista Digital
Estamos numa corrida armamentista tecnológica entre criadores de desinformação e defensores. À medida que plataformas e reguladores impõem novas restrições, atores maliciosos desenvolvem ferramentas de IA mais avançadas e evasivas.
Contudo, a mesma tecnologia AI que alimenta deepfakes também está a revolucionar as defesas de cibersegurança. Sistemas defensivos de IA podem analisar vastas quantidades de dados em tempo real, identificando anomalias e violações potenciais antes de escalarem.
Conclusão: A Preparação é Essencial
A pergunta não é se a sua organização enfrentará ataques de deepfake, mas se estará preparada quando chegarem. O Sora 2 e o Veo 3.1 representam avanços tecnológicos impressionantes, mas também democratizam capacidades que antes estavam restritas a operações sofisticadas de Estado.
A defesa eficaz exige uma abordagem integrada que combine formação contínua e realista, protocolos de verificação rigorosos com autenticação multi-canal obrigatória, tecnologias de deteção avançadas integradas em infraestruturas existentes, gestão proativa de risco através de avaliações de pegada digital e uma cultura organizacional de ceticismo saudável e verificação antes da ação.
Numa era onde ver já não é acreditar, a vigilância, educação e verificação são as nossas armas mais poderosas. O momento de agir é agora, antes que os deepfakes evoluam ainda mais e as consequências se tornem irreversíveis.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
