Ataques de ransomware em hospitais estão colocando a vida dos pacientes em risco
Em uma manhã de terça-feira de janeiro, o departamento de emergência do Hospital Ascension St. Vincent, em Birmingham, Alabama, ficou às escuras. Não literalmente – as luzes permaneceram acesas – mas todos os sistemas digitais em que a equipe confiava para tratar os pacientes simplesmente pararam de funcionar.
Os registros eletrônicos de saúde eram inacessíveis. Os sistemas de distribuição de medicamentos congelaram. Os resultados do laboratório não puderam ser transmitidos. Ambulâncias foram desviadas para outras instalações a até 30 milhas de distância. Durante 11 dias, médicos e enfermeiros voltaram a usar prontuários em papel, ordens verbais e um nível de incerteza que a medicina moderna deveria ter eliminado.
A causa foi um ataque de ransomware realizado por um grupo criminoso que se autodenomina Medusa, que exigiu US$ 5,2 milhões em criptomoedas para desbloquear os sistemas do hospital. Foi o quarto grande ataque de ransomware hospitalar nos Estados Unidos nas primeiras seis semanas de 2026.
Uma crise acelerando fora de controle
O setor de saúde se tornou o setor mais visado por ataques de ransomware em todo o mundo. De acordo com um relatório de fevereiro da empresa de segurança cibernética Sophos, os ataques a organizações de saúde aumentaram 74% entre 2024 e 2025, com a demanda média de resgate subindo para US$ 4,4 milhões.
As razões são sombriamente lógicas. Os hospitais não podem permitir períodos de inatividade prolongados. O atendimento ao paciente depende do acesso em tempo real a sistemas digitais. E os dados mantidos pelas organizações de saúde – registros médicos, informações de seguros, números de seguridade social – estão entre os mais valiosos da dark web, alcançando preços 10 a 20 vezes mais altos do que números de cartões de crédito roubados.
"Os hospitais são o alvo perfeito", disse John Riggi, conselheiro nacional para segurança cibernética da American Hospital Association. "Eles têm dados de alto valor, operam sob pressão de vida ou morte e muitos deles operam em infraestruturas desatualizadas que não podem substituir facilmente."
Pacientes estão morrendo
O que distingue o ransomware hospitalar dos ataques a outros setores é o custo humano. Quando uma empresa de gasodutos ou uma cadeia retalhista é atingida, as consequências são financeiras e logísticas. Quando um hospital é atingido, pessoas podem morrer.
Um estudo de 2023 publicado no JAMA Internal Medicine descobriu que os pacientes do Medicare internados em hospitais durante ataques de ransomware experimentaram um aumento de 20% na mortalidade hospitalar em comparação com os pacientes internados durante operações normais. Um estudo da Universidade de Minnesota no ano seguinte colocou o número ainda mais alto para condições urgentes, como acidente vascular cerebral e ataque cardíaco.
O mecanismo é simples. Quando os departamentos de emergência desviam os pacientes, o tempo de viagem aumenta. Quando os sistemas eletrônicos falham, os erros de medicação aumentam. Quando as cirurgias são canceladas, as condições pioram. Os efeitos em cascata são difíceis de quantificar com precisão, mas a direção é inconfundível.
"Estes não são incidentes abstratos de segurança cibernética", disse o senador Mark Warner, que introduziu legislação para fortalecer as defesas cibernéticas dos hospitais. “Estes são ataques que matam americanos.”
Por que os hospitais são tão vulneráveis
A vulnerabilidade do sector da saúde é em parte estrutural e em parte financeira. Os hospitais operam com margens estreitas – a margem operacional média dos hospitais dos EUA era de 1,5% em 2025 – e a segurança cibernética compete por financiamento com pessoal, equipamentos e serviços aos pacientes.
Muitos hospitais, especialmente instalações menores e rurais, dependem de sistemas legados que têm décadas e nunca foram projetados para resistir às ameaças cibernéticas modernas. Dispositivos médicos, como aparelhos de ressonância magnética e bombas de infusão, geralmente funcionam em sistemas operacionais desatualizados que não podem ser corrigidos sem anular as garantias do fabricante.
A superfície de ataque é enorme. Uma rede hospitalar típica conecta milhares de dispositivos, desde monitores de cabeceira até sistemas HVAC, cada um representando um ponto de entrada potencial. E a rápida adoção da telessaúde e do monitoramento remoto durante a pandemia expandiu drasticamente essa superfície.
A resposta federal
O governo federal tomou medidas incrementais. O Departamento de Saúde e Serviços Humanos publicou metas voluntárias de desempenho de segurança cibernética para hospitais no final de 2024 e propôs vincular certos padrões de referência de segurança cibernética ao reembolso do Medicare. A Agência de Segurança Cibernética e de Infraestrutura expandiu seu programa gratuito de verificação de vulnerabilidades para organizações de saúde.
Mas os críticos argumentam que as medidas voluntárias são insuficientes para uma crise desta magnitude. A Lei de Segurança e Responsabilidade de Infraestruturas de Saúde, apresentada no Senado no ano passado, exigiria padrões mínimos de segurança cibernética para hospitais e alocaria 1,3 mil milhões de dólares em financiamento para atualizações. O projeto de lei tem apoio bipartidário, mas está paralisado devido a disputas sobre os prazos de implementação e a carga sobre as pequenas instalações.
A Dimensão Moral
Talvez o aspecto mais perturbador da crise seja o cálculo feito pelos próprios atacantes. As gangues de ransomware têm historicamente alegado evitar hospitais, enquadrando suas operações como crimes puramente financeiros que visam corporações ricas. Essa pretensão evaporou.
Vários dos grupos mais ativos em ataques à saúde, incluindo as afiliadas Medusa, BlackCat e LockBit, agora têm como alvo abertamente hospitais, às vezes cronometrando os ataques para coincidir com o pico de volume de pacientes. Alguns ameaçaram vazar registros confidenciais de pacientes, incluindo dados de saúde mental e tratamento de abuso de substâncias, para pressionar o pagamento.
A aplicação da lei obteve vitórias ocasionais – o FBI interrompeu a infraestrutura do BlackCat no final de 2024 – mas os grupos reconstituem-se rapidamente, muitas vezes sob novos nomes. Os incentivos económicos são simplesmente demasiado poderosos.
Para administradores hospitalares que lidam com orçamentos escassos e demandas operacionais implacáveis, a questão não é mais se serão atacados, mas quando e se estarão preparados o suficiente para manter seus pacientes vivos quando isso acontecer.
