A mais nova moda entre os usuários do TikTok é a chamada “trend do dedo”, que surgiu como uma forma de mostrar a qualidade do zoom das câmeras dos celulares. A proposta é simples: o usuário aponta a câmera para o polegar e vai aumentando o zoom até que seja possível ver as impressões digitais com nitidez. Quanto mais detalhada a imagem, melhor seria a qualidade da câmera. Nos vídeos, é comum a exibição da marca e modelo do celular, como forma de comparação.
No entanto, essa tendência ignora um detalhe importante: a exposição de dados biométricos.
Embora a intenção seja comparar qualidade de câmeras, muitos usuários acabam revelando suas impressões digitais com alta resolução, o que pode representar um risco à privacidade e à segurança. Diferente de senhas, dados biométricos como digitais não podem ser alterados caso sejam comprometidos. E, com as tecnologias atuais, é possível extrair e até reconstruir impressões digitais a partir de imagens de boa qualidade.
Ou seja, participar da trend pode parecer inofensivo, mas envolve a exposição de informações sensíveis e únicas — o que pode abrir brechas para fraudes e outras formas de uso indevido desses dados.
O que são dados biométricos
Dados biométricos são informações únicas obtidas a partir de características físicas ou comportamentais de um indivíduo, utilizadas para identificá-lo de forma precisa. De acordo com a ANPD, esses dados podem ser:
- Fisiológicos: Impressão digital, reconhecimento facial, íris, voz, DNA, geometria ou vascularização da mão.
- Comportamentais: Assinatura, modo de andar, expressão facial, entonação da voz.
A biometria é processada por meio de técnicas matemáticas e estatísticas e se tornou amplamente utilizada para segurança em transações financeiras, acesso a dispositivos, controle de fronteiras, sistemas de saúde, entre outros.
Segundo a LGPD - Lei Geral de Proteção de Dados, os dados biométricos são considerados dados pessoais sensíveis — ou seja, recebem proteção especial por apresentarem alto risco em caso de uso indevido. Isso está definido no art. 5º, inciso II da LGPD, que reconhece como dados sensíveis os: “dados genéticos ou biométricos, quando vinculados a uma pessoa natural”.
Por serem imutáveis e intransferíveis, os dados biométricos exigem tratamento responsável, com base legal adequada, consentimento explícito (quando necessário), e garantias de segurança reforçadas. O uso inadequado ou a exposição indevida — mesmo que aparentemente inofensiva, como em trends de redes sociais — pode colocar em risco a privacidade, a identidade e a integridade do titular dos dados.
Quais os riscos dessa trend?
Os dados biométricos, como impressões digitais, reconhecimento facial e íris, possuem um valor significativo devido à sua unicidade e capacidade de identificar indivíduos de forma precisa e segura. São utilizados para autenticação em diversos serviços, desde o desbloqueio de smartphones e acesso a contas bancárias até sistemas de controle de acesso e identificação em larga escala. Essa precisão e segurança os tornam ativos valiosos para empresas, governos e, infelizmente, para criminosos.
Embora a clonagem de impressões digitais a partir de fotos não seja uma tarefa trivial e envolve técnicas sofisticadas, não é impossível, especialmente em imagens de alta resolução que exibam detalhes nítidos das digitais. Criminosos podem tentar extrair detalhes das digitais e criar um dedo de silicone, enganando sensores biométricos. É importante ressaltar que a eficácia dessas técnicas ainda é debatida e depende da qualidade da imagem e da sofisticação dos sistemas de segurança biométrica.
Contudo, vale ressaltar a importância da proteção dos dados biométricos, especialmente voz e reconhecimento facial, pois esses dados são muito mais simples de aplicar golpes, através de deepfakes, facilitando diversos crimes cibernéticos, como a clonagem de identidade para acessar serviços ou informações em nome de outra pessoa, o acesso a dispositivos, e fraudes bancárias e financeiras em sistemas que utilizam biometria para autenticação de transações.
Um exemplo concreto foi relatado pela BBC News Brasil, advogada Hanna Gomes teve sua imagem e voz clonadas com o uso de inteligência artificial. Criminosos criaram um vídeo deepfake, no qual Hanna, falsamente, pedia dinheiro à própria mãe por transferência via pix. A fraude só foi evitada porque a mãe percebeu detalhes fora do comum, como a ausência de apelido familiar e diferenças no visual da filha.
Esse caso mostra como vídeos e áudios postados nas redes sociais podem ser usados para criar fraudes altamente convincentes, ampliando ainda mais os riscos associados à exposição de dados biométricos.
No meio digital, uma recorrente fraude que se utiliza de dados biométricos, (sejam do próprio rosto da vítima ou das impressões digitais), dos usuários é chamada de spoofing que trataremos melhor no tópico a seguir.
Spoofing
O spoofing se trata da fraude cuja os golpistas se utilizam da identidade de pessoas físicas ou jurídicas de confiança para disfarçar a sua real identidade.
Já em meados de 2006 Tamara Dinev reportava em seu artigo “Why spoofing is serious internet fraud”, a preocupação das entidades governamentais e empresas norte-americanas em relação ao spoofing, cujo em suas palavras causavam significantes danos sociais, pessoais e empresariais. Dinev (2006) informa que o spoofing é geralmente seguido do phishing, cujo consiste no bombardeio de e-mails e mensagem de texto a essa rede de contatos formada pela spoofin.
O artigo do blog da Kaspersky, informa que os criminosos fazem o spoofing, visando o roubo de dados, estelionato ou espalhar malware.
Eis que o spoofing pode se manifestar de diversas formas, e no caso em questão, o compartilhamento das impressões digitais pode ocasionar dano permanente a esfera da privacidade dos dados pessoais sensíveis dos participantes da trend.
Spoofing facial
O spoofing facial é quando a fraude citada acima é utilizada para fins de desbloqueio de celulares, computadores que estão protegidos por identificação facial. Os golpistas também utilizam esse spoofing para participar de reuniões online, o que chamamos de deepfake, a fim de ludibriar as pessoas pela confiança da identidade que utilizam. Cabe ressaltar que pessoas físicas e até mesmo empresas podem ser vítimas dessa modalidade, como o funcionário de multinacional que pagou US$ 25 milhões a golpista que usou “deepfake” para simular reunião
Spoofing da impressão digital
A exposição desses dados sensíveis, conforme informado anteriormente, pode levar a danos permanentes a suas vítimas. Isso porque é um vazamento de um dado biométrico que não pode ser alterado. Esses dados, nas mãos dos criminosos, podem servir de moldes para criar o modelo falso que pode ser utilizado para aplicar os golpes a instituições financeiras, invasão a dados pessoais ou confidenciais.
Como proteger seus dados biométricos
A proteção dos dados biométricos exige uma postura preventiva e consciente, especialmente no ambiente das redes sociais, onde a exposição é muitas vezes involuntária. Algumas boas práticas importantes incluem:
- Evitar a exposição desnecessária: Não publicar fotos ou vídeos que evidenciem impressões digitais em alta definição, a íris ou outros dados biométricos de forma aproximada e detalhada.
- Configurar adequadamente a privacidade nas redes sociais: Limitar o público de postagens e conteúdos publicados apenas a pessoas de confiança, utilizando as configurações de privacidade disponíveis em cada plataforma.
- Adotar o uso consciente de tendências virais: Antes de aderir a desafios ou trends, avaliar criticamente se há risco de exposição de dados sensíveis.
- Praticar segurança digital reforçada: Utilizar MFA - autenticação em dois fatores para proteger contas importantes e, sempre que possível, preferir métodos de autenticação que combinem biometria com senhas ou tokens físicos.
- Empresas e criadores de conteúdo: Devem realizar uma análise prévia de riscos antes de aderir a tendências populares, reforçando a responsabilidade com a proteção dos dados biométricos próprios e de seus seguidores.
- Buscar educação e atualização sobre riscos digitais: Acompanhar informações de fontes confiáveis para identificar novas ameaças e boas práticas no uso de tecnologias que envolvam dados sensíveis.
Além dessas práticas, é fundamental destacar que, antes de fornecer qualquer dado biométrico — seja para acesso a aplicativos, serviços financeiros, dispositivos ou plataformas — o titular deve ter conhecimento claro sobre:
- A finalidade da coleta: Entender por que os dados biométricos estão sendo solicitados, como serão utilizados e se existe necessidade real para o serviço.
- Os mecanismos de segurança utilizados: Avaliar se a instituição oferece garantias sólidas de proteção, como armazenamento criptografado, controle de acesso rigoroso e políticas de privacidade transparentes.
A LGPD - Lei Geral de Proteção de Dados determina que o consentimento para o tratamento de dados sensíveis, como os biométricos, deve ser livre, informado e inequívoco. Portanto, aceitar a coleta ou o uso desses dados sem compreender suas finalidades e os mecanismos de proteção pode expor o titular a vulnerabilidades graves, muitas vezes de forma irreversível.
A proteção da identidade biométrica é uma responsabilidade individual e coletiva. Atitudes conscientes e informadas hoje são essenciais para garantir a preservação da privacidade e da segurança no futuro.
Conclusão
A "trend do dedo" no TikTok, embora pareça uma brincadeira inofensiva, chama atenção para um risco real: a exposição de dados biométricos, como as impressões digitais, em imagens de alta resolução. Ainda que atualmente a clonagem de digitais a partir de fotos demande técnicas avançadas e não seja trivial, o risco, mesmo que baixo, existe — e pode se agravar com a evolução tecnológica.
Diferentemente de senhas, dados biométricos são imutáveis e, uma vez expostos, tornam-se vulneráveis para sempre. Por isso, é fundamental alertar os usuários sobre a importância da cautela nas redes sociais, especialmente ao aderir a tendências virais que envolvam a exposição de informações pessoais sensíveis.
A proteção prevista na LGPD - Lei Geral de Proteção de Dados é um pilar essencial, mas a segurança no ambiente digital também depende de escolhas conscientes. É urgente promover a educação digital e incentivar a adoção de boas práticas, para que os indivíduos possam interagir nas redes de forma segura, protegendo não apenas suas informações, mas sua identidade como um todo. Conscientizar, portanto, é a melhor forma de prevenir riscos.
___________
1 EURONEWS. Piratas informáticos podem usar fotos das nossas impressões digitais para roubar dinheiro. Euronews, 29 abr. 2024. Disponível em: https://pt.euronews.com/my-europe/2024/04/29/piratas-informaticos-podem-usar-fotos-das-nossas-impressoes-digitais-para-roubar-dinheiro. Acesso em: 22 abr. 2025.
2 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União: seção 1, Brasília, DF, p. 1, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 22 abr. 2025.
3 KASPERSKY. Impressões digitais podem ser clonadas a partir de fotos. Kaspersky Daily, 27 fev. 2020. Disponível em: https://www.kaspersky.com.br/blog/sas2020-fingerprint-cloning/14974/. Acesso em: 22 abr. 2025.
4 KASPERSKY. O que é spoofing – Definição e explicação. 2025. Disponível em: https://www.kaspersky.com.br/resource-center/definitions/spoofing. Acesso em: 25 abr. 2025.
5 COSTA, João Vitor de Souza. Autenticação biométrica de impressões digitais obtidas por foto. 2023. Trabalho de Conclusão de Curso (Bacharelado em Ciências da Computação) – Universidade Federal de Santa Catarina, Florianópolis, 2023.
6 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Radar tecnológico: tecnologias de reconhecimento biométrico e seus impactos à proteção de dados pessoais. Brasília: ANPD, 2024. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 22 abr. 2025.
7 BRASIL, Tribunal Regional Eleitoral do Paraná. O que são dados pessoais?, 2025. Disponível em: https://www.tre-pr.jus.br/transparencia-e-prestacao-de-contas/lei-geral-de-protecao-de-dados/o-que-sao-dados-pessoais#:~:text=Dados%20sens%C3%ADveis:%20informa%C3%A7%C3%B5es%20que%20exigem,impress%C3%B5es%20digitais%20ou%20reconhecimento%20facial.. Acesso em: 24 abr. 2025.
8 DINEV, Tamara. Why spoofing is serious internet fraud. Communications Of The Acm, [S.L.], v. 49, n. 10, p. 76-82, out. 2006. Association for Computing Machinery (ACM). http://dx.doi.org/10.1145/1164394.1164398.