A Lacuna na Sala de Reunião: Por que os CISOs Lutam para Falar sobre Deepfakes — e Como Estruturá-lo

A cibersegurança está entrando em um momento crucial, impulsionado pela adoção generalizada de IA por empresas, governos e indivíduos. Com 82% das empresas nos EUA usando ou explorando o uso de IA em seus negócios, as organizações estão desbloqueando novas eficiências, mas também os atacantes. As mesmas ferramentas que impulsionam a inovação também estão habilitando os atores ameaçadores a gerar conteúdo sintético com uma facilidade e realismo alarmantes. Essa nova realidade introduziu desafios significativos, incluindo a capacidade de criar conteúdo sintético (imagens, áudio e vídeo) e deepfakes maliciosos (áudio, vídeo ou imagem manipulados usados para imitar uma pessoa real) a uma velocidade e sofisticação sem precedentes. Em apenas alguns cliques, qualquer pessoa com acesso a um computador e à internet pode manipular imagens, áudio e vídeos, introduzindo desconfiança e dúvida no ethos da informação. 

Em uma era em que as empresas, governos e organizações de mídia dependem da comunicação digital para seu sustento, não há espaço para erro ao subestimar os riscos que os deepfakes, a fraude de identidade sintética e os ataques de impersonação representam. Essas ameaças não são mais hipotéticas – as perdas financeiras decorrentes da fraude empresarial habilitada por deepfakes ultrapassaram $200 milhões no primeiro trimestre de 2025, destacando a escala e a urgência do problema. Um novo cenário de ameaças exige uma nova abordagem de cibersegurança, e os CISOs precisam agir rapidamente para garantir que sua empresa permaneça segura. No entanto, pedir novo capital e comunicar claramente a exposição à ameaça de deepfakes para uma diretoria executiva com diferentes níveis de conhecimento sobre a gravidade da ameaça pode ser desafiador. À medida que os ataques de deepfakes continuam a evoluir e se tornar mais sofisticados, todos os CISOs precisam estar à frente da conversa para trazê-la à sala de reunião. 

Abaixo está um quadro para que os CISOs e executivos facilitem as conversas com os stakeholders no nível da diretoria, organização e comunidade. 

Use Quadros Familiarizados: Deepfakes como Engenharia Social Avançada

As diretorias foram condicionadas a pensar sobre cibersegurança em termos familiares: e-mails de phishing, ataques de ransomware e a questão constante de se sua empresa será violada. Essa mentalidade molda como eles priorizam as ameaças e onde alocam os orçamentos de segurança. Mas quando se trata de conteúdo gerado por IA, especialmente deepfakes, não há um ponto de referência incorporado. Estruturar deepfakes como uma ameaça isolada e inovadora frequentemente leva à confusão, ceticismo ou inação.

Para combater isso, os CISOs devem ancorar a conversa em algo que as diretorias já entendem: engenharia social. Em sua essência, a ameaça de deepfakes não é completamente nova; é uma forma evoluída e mais perigosa de phishing que existe na indústria há anos e continua a ser o principal vetor de ataque da engenharia social. As diretorias já reconhecem o phishing como um risco credível e estão confortáveis aprovando recursos para se defender contra ele. Em muitos aspectos, os deepfakes representam uma forma mais convincente, mais escalável e mais capaz de engenharia social, visando tanto organizações quanto indivíduos com precisão devastadora. 

Estruturar deepfakes dessa forma permite que os CISOs usem a educação existente, linhas de orçamento e memória muscular institucional. Em vez de pedir novos recursos, eles podem reestruturar o pedido como uma evolução dos investimentos de segurança já aprovados. Quanto mais os CISOs se inclinarem para essa narrativa, mais provável será que sejam concedidos os recursos para abordar essa questão maior e mais imediata. 

Ancre o Risco no Realismo, Não no Sensacionalismo

Apontar para exemplos do mundo real é uma ótima maneira de aprofundar a compreensão da diretoria sobre os impactos que as ameaças de deepfakes podem ter nas organizações. No entanto, é importante considerar quais exemplos os CISOs colocam diante das diretorias, pois eles podem ter o efeito oposto. Histórias famosas, como o incidente de fraude de $25 milhões em Hong Kong, fazem manchetes incríveis, mas podem ter o efeito contrário na sala de reunião. Esses exemplos extremos frequentemente parecem remotos ou irreais, criando a sensação de que “algo tão catastrófico nunca poderia acontecer conosco”. O viés começa imediatamente e remove o senso de urgência para investir em proteção. 

Em vez disso, os CISOs devem usar cenários mais relacionáveis para mostrar como esse risco pode se desenrolar internamente, como a impersonação de executivos ou fraude de entrevista.

Em um caso, atores ameaçadores da Coreia do Norte criaram uma chamada de Zoom falsa com executivos gerados por IA para enganar um funcionário de criptomoedas para baixar malware e acessar informações confidenciais da empresa com a intenção de roubar criptomoedas. No final, os hackers não conseguiram acessar, mas a ameaça que esses ataques representam para a integridade de uma marca deve ser um despertar para as diretorias dentro da empresa. 

Outra tática em crescimento envolve candidatos falsos usando identidades e credenciais de deepfakes gerados por IA para infiltrar organizações empresariais. Esses indivíduos frequentemente atuam em nome de adversários dos EUA, como Rússia, Coreia do Norte ou China, buscando acesso a sistemas e dados sensíveis. Essa tendência drena recursos internos e expõe as organizações a riscos de segurança nacional e exploração financeira. 

Muitas vezes, essas ameaças passam despercebidas. Para cada exemplo noticiado, dezenas passam sem serem relatados, tornando difícil entender completamente a magnitude dessa ameaça. Quanto mais mundano o ataque, mais inquietante — e relacionável — ele se torna. Compartilhando exemplos como esses — realistas, relacionáveis e mais próximos de casa —, os CISOs podem fundamentar a conversa sobre deepfakes nas operações comerciais diárias e reforçar por que essa ameaça em evolução exige atenção séria no nível da diretoria.

Ligue a Defesa de Deepfakes a Métricas de Resiliência Existente

Os CISOs são continuamente questionados pelas suas diretorias: Qual é a probabilidade de sermos violados? Onde somos mais vulneráveis? Como reduzimos o risco? Embora phishing, ransomware e violações de dados continuem a existir, é importante mostrar a mudança fundamental que ocorreu dentro dessas vulnerabilidades e como elas agora se estendem muito além das superfícies de ataque tradicionais. 

Equipes de RH, finanças e compras — papéis não tradicionalmente vistos como defensores de linha de frente — agora são alvos frequentes de impersonação sintética, e a capacidade média humana de detectar essas ameaças é extremamente baixa. De fato, apenas 1 em cada 1.000 pessoas consegue detectar conteúdo gerado por IA com precisão. Os CISOs agora são responsáveis por atender à demanda por educação avançada de engenharia social e maior resiliência cibernética em toda a organização, pois todos na organização precisam ser treinados, testados e informados para ajudar na mitigação. 

A defesa de deepfakes precisa se tornar uma extensão da resiliência em toda a empresa e requer educação contínua da mesma forma que as equipes são treinadas por simulações de phishing, treinamento de conscientização e exercícios de equipe vermelha. Os CISOs devem utilizar métricas de treinamentos e simulações para ajudar a estruturar a questão em métricas que sua diretoria entende. Se uma diretoria já comprou a resiliência como uma prioridade estratégica para a organização, os deepfakes se tornam uma fronteira natural seguinte.

As ameaças geradas por IA não estão chegando. Elas já estão aqui. É hora de garantir que a sala de reunião esteja preparada para ouvir e liderar. Graças à adoção de IA, a escala e a frequência de ataques de deepfakes e baseados em identidade transformaram o cenário de ameaças em um imprevisível e em constante evolução. 

Mas as diretorias não precisam de um manual sobre deepfakes ou clonagem de voz. Elas precisam de um contexto comercial claro e de uma compreensão maior das ameaças que representam para suas organizações. Os CISOs devem fundamentar sua conversa em risco, custo e continuidade operacional. Aqueles que alinham sua narrativa de deepfakes com paradigmas familiares — phishing, engenharia social, resiliência — dão à sua diretoria um quadro e um contexto nos quais podem agir, não apenas reagir.