A digitalização do setor de saúde acelerou processos, mas abriu portas que ainda permanecem escancaradas. Sistemas hospitalares, clínicas e laboratórios conectaram seus dados à internet sem garantir o mínimo de segurança. Hoje, nomes, exames, documentos pessoais e históricos médicos de pacientes brasileiros estão sendo vendidos na deep web e dark web, com valores irrisórios e alta demanda. Não são exceções. São indícios de um padrão que se repete.
Grande parte desses vazamentos não envolve técnicas sofisticadas. A coleta acontece de forma passiva, com bots e scanners automatizados que identificam serviços mal configurados, APIs abertas e bases expostas. Muitas vezes, bastam poucos minutos de varredura para encontrar informações sensíveis publicadas por equipes despreparadas, fornecedores terceirizados ou sistemas legados esquecidos. O risco não vem do ataque em si, mas da exposição constante.
Isso se reflete em credenciais fracas, ambientes de homologação acessíveis publicamente, softwares desatualizados e ausência de qualquer controle sobre o que está ou não visível na internet. O resultado é previsível: dados vazam sem alarde, sem detecção, e sem resposta.
O mais alarmante é que tudo isso ocorre em silêncio. As vítimas raramente sabem que tiveram seus dados comprometidos. Os responsáveis pelos sistemas muitas vezes sequer têm visibilidade do que está publicado externamente. E as instituições seguem operando como se a exposição fosse inevitável ou irrelevante. Mas os dados continuam sendo coletados, vendidos e utilizados em esquemas de fraude e engenharia social.
A superfície digital das organizações de saúde precisa ser tratada como parte essencial da operação, não como um detalhe técnico. Visibilidade externa contínua, monitoramento de exposições e testes ofensivos são medidas mínimas para reduzir danos. Sem isso, o setor continuará entregando, sem perceber, um dos ativos mais sensíveis que existem: a privacidade de quem deveria estar sendo protegido.
