De acordo com Ingrid Winkler, pesquisadora do Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE), os criminosos digitais estão exlorando a confiança humana para invadir sistemas de saúde. Técnicas como phishing (e-mails falsos pedindo dados pessoais), pretexting (falsos atendentes de suporte) e vishing (golpes por telefone) são as mais comuns, e o setor de saúde tem sido o mais vulnerável.

Por que a saúde é um alvo tão visado

Não é novidade para ninguém que os hospitais, clínicas e operadoras de saúde guardam dados extremamente valiosos que vão desde históricos médicos, informações financeiras e até registros biométricos. Além disso, visto que muitos desses dados são disponibilizados para fornecedores terceirizados e sistemas interconectados, existe um impasse na criação de barreiras seguras.

Não raro, ataques chegam a paralisar serviços de telemedicina, agendamento de consultas e até cirurgias. O sequestro de prontuários eletrônicos para cobrança de resgates já se tornou rotina em diversos países e no Brasil, a vulnerabilidade só aumenta.

Rasonware é um tipo de golpe que tem sido bastante comum no setor da saúde. Imagem: Reprodução
Rasonware é um tipo de golpe que tem sido bastante comum no setor da saúde. Imagem: Reprodução

Segundo o IBM X-Force Threat Intelligence Index, o ransomware — tipo de software malicioso que bloqueia sistemas em troca de pagamento — está envolvido em 20% dos incidentes de cibercrime no mundo.

Engenharia social é a principal estratégia dos hackers

Se engana quem pensa que os hackers sempre atacam sistemas diretamente. Muitas vezes, a porta de entrada é o próprio ser humano. Ingrid destaca que engenharia social é hoje a principal estratégia usada por grupos cibercriminosos, que sabem explorar vulnerabilidades emocionais, falta de atenção e até a pressão psicológica sobre funcionários.

No Brasil, a situação preocupa ainda mais. De acordo com relatório da TransUnion, 40% dos brasileiros já foram alvo de golpes digitais e 10% caíram neles, com prejuízo médio de R$ 6.311.

Como o setor pode se proteger

Apesar da gravidade do cenário, especialistas reforçam que existem caminhos para reduzir riscos. As recomendações incluem:

  • Governança de risco para identificar vulnerabilidades antes que sejam exploradas.
  • Segmentação de redes e gestão de terceiros, já que muitos ataques vêm de fornecedores externos.
  • Backups imutáveis e atualizações contínuas para evitar brechas de software.
  • Treinamento de equipes contra phishing e conscientização sobre engenharia social.
  • Proteção reforçada em APIs e uso estratégico de serviços em nuvem.

Além disso, centros de inteligência como os ISACs (Information Sharing and Analysis Centers) e o CERT.br atuam no Brasil e em parceria internacional para trocar informações sobre ataques e fortalecer defesas.

Um exemplo vem da Universidade SENAI CIMATEC, na Bahia, onde Ingrid Winkler e sua equipe desenvolvem pesquisas usando eye-tracking (rastreamento ocular) e análise de sentimentos para simular ataques em tempo real. A ideia é medir o estresse dos profissionais de segurança digital e preparar equipes para responder melhor a crises.