
Um CFO Deepfake Roubou US$ 25 Milhões em uma Chamada do Zoom. Veja Por Que a Sua Empresa Pode Ser a Próxima.
Eu estava em uma ligação com um cliente em potencial — um CFO de uma empresa de manufatura de médio porte — quando ele disse algo que me deixou paralisado.
"Nós já verificamos identidade em videochamadas. Conseguimos ver o rosto uns dos outros."
Perguntei se ele tinha ouvido falar do que aconteceu com a Arup. Não tinha. Então eu contei: em fevereiro de 2024, um funcionário da área financeira da Arup — a empresa global de engenharia por trás da Ópera de Sydney — entrou em uma videoconferência com seu CFO e vários executivos seniores. Eles discutiram uma transação confidencial. O CFO o instruiu a transferir fundos. Ele fez 15 transferências, totalizando US$ 25,6 milhões distribuídos em cinco contas bancárias. Todos os rostos naquela chamada eram falsos. Todas as vozes eram sintéticas. O CFO era um deepfake gerado por IA. Os outros executivos também. O funcionário era o único ser humano real na sala.
A linha ficou em silêncio por cerca de dez segundos. Então ele disse: "Isso não pode ser real."
É, sim. E é a razão pela qual passei os últimos meses repensando tudo o que construímos na Veriprajna — porque a violação da Arup não expôs apenas uma lacuna de cibersegurança. Ela expôs um problema de arquitetura de confiança que a maioria das empresas sequer começou a enfrentar.
A noite em que percebi que "ver para crer" morreu
Li a análise forense da violação da Arup pela primeira vez tarde da noite, sentado no meu escritório em casa, com uma xícara de chai que esfriou antes de eu terminar a segunda página. O que me impressionou não foi o valor em dólares — embora US$ 25,6 milhões sejam algo estarrecedor. Foi a elegância do ataque. Não houve malware. Nenhum roubo de credenciais. Nenhum acesso não autorizado a banco de dados. A infraestrutura digital da Arup nunca chegou a ser violada.
Os invasores não hackearam o sistema. Eles hackearam o ser humano.
Quando o rosto e a voz do CFO podem ser perfeitamente fabricados, os sinais tradicionais de confiança estão quebrados. Não enfraquecidos — quebrados.
Eles passaram meses coletando vídeos publicamente disponíveis de executivos da Arup no YouTube, palestras em conferências e gravações corporativas. Treinaram Redes Adversariais Generativas — duas redes neurais que competem entre si, uma gerando conteúdo falso, a outra tentando detectá-lo, iterando milhões de vezes até que as falsificações fiquem indistinguíveis da realidade — para criar o que os peritos forenses chamam de "gêmeos sintéticos de alta fidelidade". Não apenas rostos. Padrões de fala. Entonações. A forma como alguém faz uma pausa antes de responder a uma pergunta.
Então enviaram um e-mail de spear-phishing do "CFO" pedindo ajuda com uma transação confidencial. O funcionário ficou desconfiado. Bons instintos. Mas os invasores tinham uma segunda jogada: convidaram-no para uma videochamada ao vivo, na qual vários rostos conhecidos confirmaram o pedido em tempo real.
O ceticismo dele se dissolveu. É claro que se dissolveu. Que pessoa racional duvida da evidência dos próprios olhos quando quatro colegas estão olhando de volta para ela na tela?
Como se faz um deepfake de uma sala de reuniões inteira?

Essa é a pergunta à qual minha equipe voltava sem parar. Já tínhamos visto deepfakes de uma única pessoa — uma voz clonada aqui, um vídeo com troca de rosto ali. Mas uma videoconferência ao vivo com vários participantes? Isso parecia um salto.
Acontece que as barreiras técnicas ruíram mais rápido do que a maioria das equipes de segurança imagina.
Os invasores usaram uma técnica chamada injeção de vídeo, em vez de um "ataque de apresentação" mais simples (em que alguém segura uma tela na frente de uma câmera). Os ataques de injeção inserem vídeo sintético diretamente no fluxo de dados do software de conferência usando software de câmera virtual. Zoom, Teams — o aplicativo trata o feed gerado por IA como se viesse de uma webcam física. Não há borda de tela para detectar, nem anomalia de profundidade para sinalizar. Pesquisas mostram que os ataques de injeção contra provedores de verificação de identidade aumentaram 255% em 2023, enquanto os ataques de troca de rosto cresceram 704%.
Lembro de estar em uma reunião de equipe em que um dos nossos engenheiros demonstrou uma troca de rosto em tempo real usando ferramentas de código aberto. Ele levou cerca de quarenta minutos para configurar. O resultado não era perfeito — havia uma leve oscilação ao redor da linha do maxilar —, mas em um feed comprimido do Zoom? Você não notaria. E isso com software gratuito e sem dados de treinamento. Os invasores da Arup tiveram meses de preparação e, presumivelmente, recursos.
Meu CTO olhou para mim do outro lado da mesa e disse: "Precisamos parar de pensar nisso como um problema de cibersegurança. Isso é um problema de epistemologia. Como alguém sabe o que é real?"
Ele estava certo. E essa constatação remodelou a forma como penso sobre tudo o que construímos.
Por que a sua "estratégia de IA" piora isso?
Eis a parte que a maior parte da cobertura sobre a violação da Arup ignora por completo: a forma como a maioria das empresas adotou a IA na verdade aumenta a vulnerabilidade delas a esse tipo de ataque.
Estou falando do "wrapper de LLM" — a arquitetura de IA corporativa dominante hoje. Você pega uma API pública da OpenAI ou da Anthropic, envolve-a com uma fina camada de software, conecta-a a alguns processos de negócio e chama isso de sua estratégia de IA. É rápido de implantar. É barato. E é fundamentalmente inadequado para qualquer coisa que importe.
Três razões.
Primeiro, a saída de dados. Em uma implantação baseada em wrapper, seus dados mais sensíveis — planilhas financeiras, memorandos internos, comunicações de executivos — saem do perímetro corporativo para serem processados por uma nuvem de terceiros. Mesmo que o provedor prometa não treinar com eles, os dados existem em um ambiente externo sujeito ao CLOUD Act dos EUA, a relações opacas com subprocessadores e a uma potencial exfiltração via modelo. Você está enviando exatamente o tipo de informação de que um invasor precisaria para construir deepfakes convincentes dos seus executivos fora das suas paredes.
Segundo, a lacuna de confiabilidade. Os LLMs são probabilísticos. Eles preveem a próxima palavra mais provável com base em padrões estatísticos, não em uma compreensão fundamentada da sua realidade corporativa. Quando um agente de IA informa um preço, aprova um desconto ou interpreta uma política, ele está gerando uma resposta plausível — não recuperando um fato verificado. Em ambientes de alto risco, é nessa lacuna entre "plausível" e "verdadeiro" que a fraude vive.
Terceiro — e este me assombra — o problema do "consultor sem corpo". Para empresas de engenharia como a Arup, um wrapper de LLM baseado em texto gera recomendações sem quaisquer ciclos de feedback integrados para verificar a segurança física ou biológica. Na engenharia estrutural ou na química, uma pequena alteração em um cálculo pode levar a um resultado catastroficamente diferente. Um wrapper que opera com base em distância semântica, e não nas leis da física, não consegue identificar esses desvios críticos. Ele não sabe o que não sabe.
Escrevi em profundidade sobre essa vulnerabilidade arquitetural na versão interativa da nossa pesquisa — o argumento central é que os wrappers criam uma ilusão de inteligência enquanto deixam a organização estruturalmente exposta.
O que realmente teria impedido o ataque à Arup?

Essa é a pergunta que eu não parava de me fazer. Não "o que a Arup deveria ter feito de diferente" — isso é análise depois do jogo terminado. Mas: qual arquitetura faria esse tipo de ataque fracassar?
A resposta não é uma única tecnologia. É uma pilha. E começa por abandonar a ideia de que confirmação visual equivale a verificação de identidade.
O batimento cardíaco que você não consegue falsificar
Uma das abordagens de detecção mais fascinantes que já encontrei analisa algo chamado de mudanças na cor facial "induzidas pelo batimento cardíaco". Tecnologias como o FakeCatcher, da Intel, monitoram microvariações no tom de pele — invisíveis ao olho humano — que correspondem à atividade cardiovascular. Um rosto humano vivo muda sutilmente de cor a cada batimento cardíaco. Um deepfake não. Ou, se muda, o sincronismo está errado.
Quando soube disso pela primeira vez, achei que soava como ficção científica. Depois assisti a uma demonstração em que o sistema identificou corretamente um deepfake de alta qualidade que havia enganado todas as pessoas da sala. O rosto sintético tinha textura de pele perfeita, sincronia labial perfeita, movimento ocular perfeito. Mas nenhum pulso.
Um deepfake consegue replicar seu rosto, sua voz e seus maneirismos. Não consegue replicar seu batimento cardíaco.
A forma como você digita é a sua assinatura
A biometria comportamental é a camada que mais me entusiasma, porque é quase impossível de forjar. Sua dinâmica de digitação — a velocidade, o ritmo e a pressão com que você digita — cria um padrão reconhecível e exclusivamente seu. O mesmo vale para os movimentos do seu mouse, a velocidade do seu deslizar no celular, até mesmo a forma como você navega entre aplicativos.
Imagine construir uma linha de base comportamental para cada executivo sênior. Durante uma videochamada, o sistema monitora continuamente se o "CFO" que digita no chat se comporta como o CFO real. Se a cadência de digitação desviar do perfil histórico enquanto um pedido financeiro incomum está sendo feito, o sistema o sinaliza automaticamente. Nenhum julgamento humano é necessário.
É isso que significa autenticação contínua — não uma senha única no login, mas uma verificação constante e invisível de que a pessoa com quem você está falando é quem afirma ser.
Prova criptográfica de que o vídeo é real
Em vez de apenas tentar detectar falsificações, precisamos começar a verificar a autenticidade na origem. O padrão C2PA — Coalition for Content Provenance and Authenticity — incorpora metadados criptográficos no momento da captura do vídeo: o dispositivo, o horário, a localização e uma cadeia de custódia que evidencia qualquer adulteração. Se um feed de vídeo em uma chamada do Teams ou do Zoom não tiver essas credenciais, ele deve ser tratado com a mesma suspeita que um pacote de software não assinado.
Isso é uma mudança de mentalidade. Passamos anos perguntando "isso é falso?". A pergunta melhor é: "isso consegue provar que é real?"
A arquitetura que estamos de fato construindo

Na Veriprajna, temos chamado nossa abordagem de Deep AI — não porque seja um termo de marketing, mas porque descreve uma relação fundamentalmente diferente entre uma organização e sua infraestrutura de IA. Em vez de "IA como serviço" por meio de APIs públicas, construímos "IA como infraestrutura" dentro do próprio ambiente seguro da organização.
Três pilares.
O primeiro é a propriedade da infraestrutura. Implantamos pilhas de inferência completas — LLMs Corporativos Privados — diretamente na Virtual Private Cloud do cliente ou em clusters Kubernetes on-premises. Dados sensíveis nunca deixam o perímetro. Isso não é apenas uma medida de segurança; cria ativos de modelo sob medida que pertencem ao cliente. A inteligência deles permanece soberana.
O segundo é o que chamamos de Private RAG 2.0 — Retrieval-Augmented Generation nativamente integrada à segurança interna. Se um funcionário não tem permissão para visualizar um documento no SharePoint, a IA não o recuperará para responder à pergunta dele. Isso parece óbvio, mas a maioria das implementações de RAG trata a base de conhecimento como um pool plano. A nossa respeita os mesmos controles de acesso que governam o resto da organização.
O terceiro — e aquele do qual mais me orgulho — é o Sanduíche Neuro-Simbólico. Envolvemos a rede neural (o LLM, com suas capacidades criativas de linguagem) entre duas camadas de lógica simbólica determinística. A camada inferior higieniza as entradas para impedir a injeção de prompt antes que cheguem ao modelo. A camada superior intercepta a saída do modelo e a executa por meio de funções rígidas e predefinidas — consultando um banco de dados SQL, checando um sistema ERP, recuperando um preço verificado. Quando a IA informa um número, ela está buscando um fato, não prevendo um.
O Sanduíche Neuro-Simbólico garante que, quando a IA informa um preço ou um status de autorização, ela está recuperando um valor determinístico de um banco de dados — não prevendo um com base em probabilidade de tokens.
Já me disseram que isso é superengenharia. "É só usar o GPT com bons prompts", um investidor me disse certa vez, com a confiança de quem nunca foi responsável por uma transferência bancária. Penso no funcionário da Arup — um profissional competente que fez tudo o que parecia razoável — e sei que prompts "bons o suficiente" não são bons o suficiente quando o que está em jogo é medido em milhões.
Para o detalhamento técnico completo dessa arquitetura, incluindo os padrões de projeto neuro-simbólicos e a recuperação com reconhecimento de RBAC, veja nosso artigo de pesquisa detalhado.
O que acontece quando o CIO se torna pessoalmente responsável?
Há uma dimensão jurídica na violação da Arup que a maioria dos tecnólogos não está acompanhando, e ela deveria aterrorizar todo CIO e CTO que estiver lendo isto.
Os tribunais adotam cada vez mais a "Regra do Impostor" para fraudes em transferências bancárias: as perdas devem ser arcadas pela parte que estava na melhor posição para ter evitado a fraude. No caso da Arup, embora o funcionário tenha sido enganado, a falha da empresa em implementar verificação multicanal para transações de alto valor poderia ser vista como o principal ponto de falha.
CIOs e CTOs são executivos corporativos com deveres fiduciários. À medida que a fraude viabilizada por deepfakes se torna um risco conhecido e documentado — e, depois da Arup, ele é definitivamente conhecido —, a falha em implementar controles cientes de deepfakes pode resultar em responsabilidade pessoal caso a empresa seja processada por acionistas por negligência. Isso não é hipotético. A California Consumer Privacy Act, o EU AI Act e frameworks como o AI Risk Management Framework do NIST estão todos convergindo para a expectativa de que as organizações tenham defesas específicas e documentadas contra ataques de mídia sintética.
Comecei a fazer aos CIOs uma pergunta simples em toda reunião: "Se amanhã um invasor fizesse um deepfake do seu CEO em uma videochamada e alguém transferisse US$ 10 milhões, você conseguiria demonstrar a um tribunal que tinha salvaguardas razoáveis em vigor?"
O silêncio que se segue me diz tudo.
Não dá só para treinar as pessoas a identificar deepfakes?
As pessoas me perguntam isso constantemente, e eu entendo o instinto. É a solução mais barata. Basta ensinar a todos o que procurar — a linha do maxilar que oscila, a orelha estranha, a iluminação levemente errada.
Eis o problema: a detecção a olho nu é uma corrida armamentista que você já perdeu. Os artefatos que eram detectáveis nos deepfakes de 2023 estão em grande parte ausentes nos deepfakes de 2025. A tecnologia melhora mais rápido do que a percepção humana se adapta. E em uma videochamada comprimida, com iluminação medíocre e largura de banda intermitente — o que descreve a maioria das chamadas corporativas no Zoom —, até os deepfakes da geração atual são funcionalmente invisíveis.
Treinamento ajuda, mas não da forma que a maioria das pessoas pensa. O objetivo não é transformar funcionários em detectores de deepfakes. É construir o que chamo de cultura de ceticismo empoderado — recompensar as pessoas que questionam pedidos suspeitos, mesmo quando esses pedidos parecem vir do CEO. O instinto inicial do funcionário da Arup foi desconfiar do e-mail de phishing. Esse instinto estava correto. Ele foi anulado pela prova social de uma videochamada com rostos conhecidos.
A correção é procedimental, não perceptual. Transações de alto valor exigem verificação fora de banda: uma ligação direta para um número de telefone previamente verificado, um código de autenticação previamente combinado e compartilhado por um canal separado, ou dupla autorização de alguém que não estava na chamada original. A videoconferência não pode mais ser o padrão-ouro para autenticação de identidade em transações financeiras. Ponto final.
A planta baixa de US$ 25 milhões
Eu volto sempre a algo que me incomoda na forma como a história da Arup costuma ser contada. Ela é enquadrada como um alerta — "veja como os bandidos estão ficando sofisticados". E isso é verdade, mas é incompleto.
A lição mais profunda é arquitetural. Os sistemas digitais da Arup estavam bem. Os firewalls resistiram. A criptografia funcionou. O ataque teve sucesso porque a arquitetura de confiança da organização — o conjunto de premissas sobre como a identidade é verificada e as decisões são autorizadas — não havia evoluído para dar conta de um mundo em que a mídia sintética é barata, convincente e em tempo real.
A maioria das organizações com que converso está na mesma posição. Elas investiram pesado em defesa de perímetro, deixando a camada humana — a camada que de fato autoriza as transferências bancárias, aprova os contratos, dá o aval às especificações de engenharia — protegida por nada mais do que a premissa de que rostos e vozes são difíceis de falsificar.
Essa premissa morreu em uma sala de reuniões em Hong Kong, em fevereiro de 2024. A questão é se a sua organização vai atualizar sua arquitetura de confiança antes ou depois de pagar US$ 25 milhões pela lição.
A violação da Arup não foi uma falha de cibersegurança. Foi uma falha de arquitetura de confiança — e a maioria das organizações não atualiza a sua desde a era em que rostos não podiam ser falsificados.
Não estou me esquivando disso. As organizações que agirem agora — implantando infraestrutura de IA soberana, implementando biometria comportamental, exigindo proveniência criptográfica para feeds de vídeo e incorporando disjuntores procedimentais em cada decisão de alto valor — vão definir a próxima era da segurança corporativa. As que esperarem virarão estudos de caso.
O custo de um deepfake capaz de enganar sua equipe financeira está caindo rumo a zero. O custo de ser enganado, não.


