Roma, em 410 d.C., foi surpreendida por Alarico I, rei dos Visigodos, comandando cerca de 40 mil guerreiros bárbaros. Após anos de negociações malsucedidas e avisos perdidos na arrogância romana, Alarico sitiou Roma e, na noite de 24 de agosto de 410, seus homens abriram o Portão Salariano — com ajuda de escravos godos dentro das muralhas — e entraram sem resistência organizada. Foi uma das maiores pilhagens da história, com Alarico tomando 1,6 toneladas de ouro, 9,8 toneladas de prata, seda, púrpura, pimenta e tudo o mais que pudesse ser carregado. As Basílicas de São Pedro e São Paulo foram usadas como refúgio romano, evitando um massacre generalizado. Houve incêndios e saques, embora as principais estruturas públicas ficassem intactas. O choque não foi só físico, mas simbólico. Era a primeira queda da “Urbs” em quase 800 anos. São Jerônimo lamentou: “A cidade que tomara o mundo foi tomada”. O saque detonou uma crise de confiança no poder romano, estimulou visões apocalípticas e é lembrado como o estopim do desmantelamento do Império Romano.
Ultimamente, muitos se esforçam em aterrorizar seus pares com a ideia de que a invasão das inteligências artificiais (IAs) seja algo similar ao estrago de Alarico. É cedo para tanto terror e tarde para desconsiderar o impacto das IAs na civilização contemporânea. Mas há um alerta notável que pode ser considerado parecido com o saque a Roma: as IAs estão municiando e habilitando as gangues cibernéticas como nunca foi feito antes. Estamos diante da maior batalha de segurança cibernética deste século, notadamente dentro das Cadeias de Saúde. O que vem pela frente é imponderável. Não estamos mais falando só de prejuízos econômicos ou estruturais, mas de vidas humanas. Sim, a ‘insegurança cibernética’ está matando pessoas nas alas e nos leitos hospitalares.
A expressão “paciente com morte por ataque cibernético” está se tornando realidade em vários hospitais do mundo. O Health Service Journal (HSJ), por exemplo, uma publicação que cobre o NHS (Reino Unido), anunciou que um ataque cibernético de ransomware aos laboratórios Synnovis (principal fornecedora de exames diagnósticos do NHS na região de Londres), ocorrido em 3 de junho de 2024, teria causado quase “600 incidentes com pacientes”. O ataque interrompeu os serviços em cinco grandes hospitais durante meses, incluindo o hospital universitário King’s College, os hospitais Guy’s e St. Thomas, o Evelina London Children’s Hospital e o Royal Brompton, todos severamente afetados.
Reivindicado poucos dias depois pela gangue de ransomware Qilin, os hospitais foram imediatamente forçados a encaminhar seus pacientes para outras instalações e cancelar mais de 10 mil consultas, procedimentos eletivos e operações cirúrgicas, incluindo todos os transplantes. Dos incidentes, perto de 170 casos referem-se a pacientes, incluindo um caso com dano “grave”, 14 casos com dano “moderado”, sendo os incidentes restantes considerados de baixo dano. Além disso, como resultado do ataque, 2 pacientes teriam sofrido danos “permanentes” à saúde, informou a Bloomberg em janeiro último. Ransomware é um tipo de malware, também conhecido como software malicioso, que criptografa os arquivos da vítima e exige resgate para descriptografá-los. Uma operação que já exigiu grande expertise, mas que hoje, com os LLMs, é mais fácil e menos arriscado que “bater uma carteira”.
A Synnovis administra mais de 100 laboratórios especializados em Londres, oferecendo testes e diagnósticos de diabetes, genética, neuropatia, imunologia, oncologia, etc. O pedido de resgate à Synnovis teria sido de US$ 50 milhões. O grupo Qilin é considerado uma das cinco maiores gangues ativas (total de 376 vítimas ao ano), de acordo com a ferramenta de rastreamento Cybernews Ransomlooker. O mesmo grupo atacou em fevereiro de 2025 a Utsunomiya Central Clinic (UCC), o prestigiado centro de tratamento oncológico do Japão, expondo informações confidenciais de 300 mil pacientes e deixando seu sistema hospitalar “inutilizável” (um único registro médico pode valer até 20 vezes o preço dos dados de um cartão de crédito).
Assim, o descuido no combate ao cibercrime na Saúde mata pacientes, e ponto final. O CEO da Synnovis, Mark Dollar, disse em um comunicado em 26/06/2025: “Estamos profundamente tristes em saber que o ataque cibernético criminoso do ano passado foi identificado como um dos fatores que contribuíram para a morte de um paciente”. O Dr. Saif Abed, especialista em segurança cibernética na saúde pública, explicou ao Financial Times: “Mais pacientes sofrem devido a violações de dados do que ficamos sabendo. Pela minha experiência e analisando ataques cibernéticos à saúde no Reino Unido e no mundo, é quase certo que houve mais mortes ao longo dos anos, que não foram descobertas simplesmente devido à falta de investigações oficiais”. Os ciberataques atrasam tratamentos e testes, aumentam o tempo de espera, sem falar na necessidade de locomover os pacientes quando os ataques causam o fechamento das instalações. Da mesma forma, afetam as cadeias de suprimentos médicos, dificultando o funcionamento operacional.
Não faltam dados relatando essa invasão bárbara. O relatório “2025 Spotlight Report: Cyber Resilience and Business Impact in Healthcare”, publicado pela provedora de segurança cibernética LevelBlue, mostrou que 32% das instituições de saúde sofreram pelo menos uma violação grave de segurança nos últimos 12 meses. Além disso, 46% dos entrevistados (CISO) relataram ter sofrido um volume significativamente maior de ataques cibernéticos em comparação com anos anteriores. A pesquisa “Global Incident Response Report 2025”, publicada pela Unit 42, mostra que a velocidade dos ataques cibernéticos está aumentando dramaticamente, com os invasores roubando dados três vezes mais rápido do que em 2021. Especificamente na área hospitalar, a crescente digitalização fez crescer a vulnerabilidade. Até 2026, mais de 70% dos dispositivos médicos – de ultrassom a wearables – estarão conectados digitalmente, aumentando significativamente a “superfície de ataque”. Outro relatório, “State of OT Security”, publicado pela Palo Alto Networks (a maior provedora pura de cibersegurança do mundo), mostra que a recuperação de uma única violação em um dispositivo médico custa, em média, entre 10 e 50 mil libras esterlinas (entre 75 e 376 mil reais). O phishing (ataque cibernético onde criminosos se passam por entidades confiáveis, como bancos, empresas ou instituições) continua sendo o principal ponto de entrada na saúde. Quando realizado por Agentes-IA, o phishing tem desempenho 55% maior do que o realizado por humanos.Isso significa que plataformas GenAI podem criar campanhas de phishing gerando e-mails, mensagens SMS e postagens em redes sociais livres de erros gramaticais ou frases estranhas (que antes serviam como sinais de alerta).
Nunca os sistemas de saúde estiveram tão vulneráveis. Parte dessa fragilidade sistêmica deve-se à ampliação do uso das GenAIs. Os LLMs intensificaram os vetores de ataque, tornando as gangues de hackers mais ágeis do que nunca. O relatório “International AI Safety Report 2025” — coordenado por Yoshua Bengio (professor da Universidade de Montreal) e elaborado por 98 especialistas de 30 países (ONU, UE e OCDE) — examina os riscos maliciosos da IA, que vão de ataques letais à manipulação da opinião pública. O documento escancara o avanço dos bárbaros digitais: “há só quatro meses, um modelo de IA identificava cercade 1/5 das vulnerabilidades no código-alvo; após sucessivos ganhos dos LLMs, esse índice saltou de 21% para 79%. Ou seja, o hacker que antes vasculhava ‘na unha’ perto de 80% do terreno vulnerável conta agora com uma IA que descobre sozinha praticamente 4/5 das vulnerabilidades, quadruplicando a eficiência de uma invasão”.
A expressão “Cyber Offence” — ou Offensive-AI — aparece várias vezes no relatório, sinalizando que a IA já impacta pelo menos dois pilares centrais do setor de saúde: (1) biossegurança; e (2) privacidade de dados médicos. A Biossegurança passou a ser prioridade n.º 1, segundo o documento. Se a curva de capacidade dos LLMs continuar crescendo, serão necessárias intervenções regulatórias urgentes antes de 2027, principalmente para IAs que manipulem sequências biológicas (Seção 2.1.4). Do mesmo modo que os LLMs já mapeiam milhões de proteínas e aceleram a criação de insumos biofarmacêuticos, os mesmos modelos podem ser cooptados para delinear — passo a passo — a síntese de patógenos e toxinas de alto potencial destrutivo, encurtando a distância entre a curiosidade científica e a liberação de armas biológicas.
No tocante ao pilar 2 (privacidade de dados clínicos), o relatório adverte que a balança só pende para os atacantes em dois cenários: (1) quando a IA automatiza etapas críticas de ataque ainda sem defesas equivalentes; e (2) quando as capacidades de ponta estão acessíveis aos ofensores, mas não aos defensores — um caso frequente em hospitais e serviços de saúde com redes legadas e orçamentos limitados. Nessas condições, modelos generativos maliciosos conseguem vasculhar sistemas heterogêneos, localizar brechas e até sequestrar prontuários com um esforço muito menor do que o necessário para que equipes de segurança corrijam cada vulnerabilidade.
Contudo, o próprio documento enfatiza que os mesmos modelos LLMs podem — e devem — ser alistados ao lado dos defensores (“Defensive-AI”). Ele menciona, por exemplo, o uso de modelos para detecção de vulnerabilidades em chips, auditoria de código e depuração automática, indicando que, se bem implementada, a automação defensiva pode inverter a assimetria e blindar instituições contra ransomware, phishing e outros vetores de ataque. Ou seja, a IA que descobre falhas para o hacker atacar é a mesma que pode tapá-las para o hospital.
Vale lembrar que, na Saúde, o maior responsável pela segurança cibernética da instituição é o CEO da empresa. Costuma-se dizer que o grande atrativo para o cibercrime é a chamada “Dívida Técnica” (Technical Debt), quando sistemas de informação ficam desatualizados, carecendo de substituição ou upgrade. A instituição incorre em dívida técnica quando atrasa a manutenção necessária ou adia a substituição do sistema legado. Não tenha a ilusão que ninguém “espia” suas vulnerabilidades, ou que não investigam suas fraquezas. Sua dívida técnica é monitorada na exata proporção em que ela cresce. O setor de Saúde é historicamente retrógrado na dívida técnica, seus investimentos costumam acontecer só depois que a criminalidade cibernética acontece. Se o CEO fraquejar na dívida técnica, tudo fica mais fácil para as gangues. Estudo publicado em 2025 e realizado pela Netwrix apontou que apenas ‘um único ataque cibernético’ gerou prejuízo financeiro para “69% das organizações do setor de saúde, em comparação com 60% em outras indústrias”. Os dados apontam ainda que uma em cada cinco organizações de Saúde, que sofreram um ataque, tiveram mudanças na liderança sênior (21%) ou ações judiciais (19%). Nos outros setores analisados, essas duas marcas ficaram na faixa de 13%.
Nos últimos dois anos, é notória a tentação de entrar no universo das IAs sem cuidar da ‘dívida técnica acumulada’. Em 2023, o Escritório de Direitos Civis (OCR) relatou um aumento de 239% nas violações de segurança na área da saúde entre 2018 e 2023. Só em 2024, 67% das organizações de saúde pesquisadas sofreram ataques de ransomware (fonte: Statista).
Quem puxa a dianteira da criminalidade cibernética na Saúde são os EUA. Em 2024, ataques de ransomware interromperam sistemas hospitalares em 46 estados. Alguns provedores perderam mais de US$ 100 milhões por dia devido ao congelamento de faturamento. Um dos maiores sistemas de saúde do país, Ascension (140 hospitais em pelo menos 10 estados), sofreu um ataque de ransomware em 8 de maio de 2024 que bloqueou todos os sistemas que rastreiam e coordenam o atendimento ao paciente. Sofreu interrupções tão graves que os pacientes foram redirecionados e realocados. A “morte por ataque cibernético” é uma realidade tangível em quase todos os países, mais ainda porque 80% dos casos não chegam à mídia ou não são devidamente comunicados e investigados, sem falar naqueles que são engavetados por medo de que a divulgação espalhe mais terror. Segundo a publicação Security Leaders, 84% das empresas de saúde no mundo identificaram incidentes cibernéticos em 2024 (em 70% dos casos, houve sérios prejuízos financeiros).
Há uma penca de guias para ajudar CIOs, CISOs e todos que introduzam IA na saúde de modo a blindar o sistema antes que o perigo bata à porta. O MITRE Atlas (Adversarial Threat Landscape for Artificial-Intelligence Systems) é uma base de conhecimento de táticas, técnicas e estudos de caso para sistemas de IA. É um recurso abrangente para entender e proteger sistemas de IA — um verdadeiro “repositório vivo” das táticas adversárias. Hospitais podem mapear seus próprios LLMs diagnósticos, por exemplo, identificando onde os ataques podem ser mais prováveis, testando tudo antes da validação clínica.
Outro recurso público para entender esses riscos é a ENISA (European Union Agency for Cybersecurity), centro pan-europeu que apoia hospitais e prestadores de cuidados de saúde com orientação, ferramentas, serviços e formação. A agência consolida boas práticas, exemplifica contratos de cibersegurança e mapeia a regulação na saúde. Além disso, vale lembrar o portal do HHS (Department of Health and Human Services) nos EUA, que mantém o HPH Cybersecurity Performance Goals — com metas específicas de segurança cibernética para o setor.
Dúzias de estratégias de IA, bem como centenas de ferramentas em LLMs já são usadas com sucesso para prevenção de ciberataques. Se o “Offensive-AI” ganha musculatura, não menos avanços ocorrem na artilharia de “Defensive-AI”. Uma das estratégias mais conhecidas e exploradas é o “red teaming”, um mecanismo proativo de segurança cibernética no qual hackers éticos simulam ataques do mundo real — abrangendo vulnerabilidades técnicas, humanas e físicas — para identificar e abordar fraquezas de segurança antes que agentes mal-intencionados as explorem.
Outra tendência vem sendo proposta pelo filósofo e professor Markus Gabriel, titular de Epistemologia na Universidade de Bonn, porta-voz do chamado Novo Realismo. Ele sustenta que o debate deve migrar da “ética da IA” — um campo regulatório externo — para a construção de uma “IA ética”, capaz de incorporar raciocínio moral na própria arquitetura da rede neural. Em seu manifesto KI-Ethik als Hochregulation, Gabriel explica que a IA ética (trustworthy AI) não é apenas uma “IA que segue guidelines”. É um passo além, tornando a ética tarefa nativa do algoritmo. Onde a “ética da IA” busca minimizar danos, a IA ética deve maximizar virtudes públicas — uma engenharia moral que coopera na formação de juízos justos. Apesar de soar utópico, Gabriel talvez antecipe o que as IAs serão, ultrapassando os marcos regulatórios. A IA ética torna-se um projeto construtivo: dotar a inteligência artificial de capacidades analíticas que reforcem — e não apenas respeitem — nosso impulso de progresso moral. Em vez de temer máquinas autônomas, ele sugere programar “agentes morais” que nos ajudem a navegar nos dilemas com um grau extra de lucidez coletiva.
Isso significa que as IAs éticas exibirão características como explicabilidade, justiça, interpretabilidade, robustez, transparência, segurança e proteção em seu funcionamento. Imagine um liquidificador da próxima geração: além de desligar quando a tampa sai, ele reconhece se alguém tenta colocar a mão, avalia o contexto – ‘por que essa pessoa faria isso?’ -, alerta em linguagem simples, registra o incidente para auditoria e envia um aviso ao fabricante. Assim, a IA ética protegerá antes, durante e depois do risco — aprendendo mais a cada uso.
Se Kant (1724-1804) estivesse vivo, envolto no tema ético das IAs, talvez postulasse algo parecido com Gabriel, ou seja, que as IAs deveriam perseguir — por si sós — o “imperativo categórico universal kantiano”, embora este pudesse ser evolutivo. Ou seja, a forma lógica da universalização permaneceria como lastro inabalável, enquanto o conteúdo moral se adensaria a cada nova experiência histórica que desvelasse zonas de injustiça antes impensáveis. Kant forneceria o “esqueleto normativo que impede o relativismo moral” — corrosivo à dignidade humana. Gabriel, por outro lado, injetaria sangue reflexivo nesse contexto, pois, para ele, sistemas de IA tenderão a desenvolver “reflexividade” — capacidade de examinar a própria atuação e (auto-)corrigi-la. Em termos técnicos, isso significaria dotar os modelos de autoverificação metacognitiva, já explorados, por exemplo, em pesquisas recentes de self-reflection e self-refine: o Agente-IA revê suas cadeias de raciocínio, compara resultados com objetivos e reescreve a própria saída antes de entregá-la. Assim, a rigidez da lei universal e a plasticidade de uma “consciência reflexiva” convergiriam para uma “IA ética”, capaz de honrar princípios sem congelar o progresso moral coletivo. São tempos maravilhosos, os atuais! Não desista deles; não se abandone por medo ou relativismos. Kant, Gabriel e IA no mesmo parágrafo é êxtase e uma estupenda inspiração.
De qualquer forma, antes que qualquer modelo epistemológico ou sociológico seja contemplado, a Saúde se movimenta intensamente para incorporar defesas à sua estrutura digital, notadamente naquelas matrizes que já utilizam LLMs (Defensive-AI). A PureHealth, a maior rede de saúde dos Emirados Árabes Unidos (EAU), está transformando a sua segurança cibernética. Um “escudo” alimentado por IA, conhecido como “Security Operations Center”,verifica automaticamente mais de mil protocolos por segundo, lidando simultaneamente com cerca de 500 incidentes diários. Essa máquina de segurança, construída em parceria com a Dell Technologies, protege dados de pacientes em mais de 100 hospitais e 300 clínicas. Não se trata apenas de gerar firewalls, mas de criar uma malha de segurança escalável na mesma proporção da escalabilidade dos hackers. As GenAIs da PureHealth não só suportam serviços de diagnósticos inteligentes e a infraestrutura em nuvem da organização, como, paralelamente, acionam milhares de mecanismos e protocolos contra a sua vulnerabilidade.
Da mesma forma, o NHS vem reforçando suas defesas com a plataforma de “IA comportamental” da Darktrace. Ela aprende o “padrão de vida” das redes clínicas e reage sozinha — isola hosts, bloqueia portas, corta canais C2 — comprimindo de horas para segundos o tempo de contenção de ransomware. O motor de autoaprendizagem integra predição comportamental, detecção, resposta e investigação de incidentes em tempo real. No Milton Keynes University Hospital (condado de Buckinghamshire, 80 km de Londres), a Darktrace Self-Learning AI cobre rede, nuvem, e-mail e milhares de dispositivos IoMT, operando 24 x 7 mesmo sem equipe de plantão; entre o alerta e o bloqueio passam-se apenas segundos, evitando downtime clínico. É como ter um cão de guarda que memoriza o cheiro de cada morador — no primeiro odor estranho, ele tranca as portas, rosna alto ligando o alarme e, antes que a maçaneta sequer gire, já está de dentes à mostra bloqueando o invasor.
Os hackers já não atacam apenas sistemas informacionais hospitalares (HIS, LIS, EHR etc.); agora miram diretamente o parque de dispositivos médicos (IoMT). A rede alemã Ortenau Klinikum (cerca de 1.700 leitos, na região de Baden-Württemberg) blindou-se com a Claroty Medigate Anomaly Threat Detection: uma IA que funde telemetria de IoMT (Internet das Coisas Médicas), OT (automação predial) e BMS (centro de controle sistêmico). Ela flagra padrões fora da curva — por exemplo, uma bomba de infusão “conversando” com a rede de visitantes — associa cada evento à matriz MITRE ATT&CK (citada acima) e reage sem intervenção humana. Dispositivos que antes apareciam como sombras passam a ser vistos em alta definição. É como dar visão térmica ao segurança do turno da noite: ele não só identifica quem abre a porta, mas também sabe qual chave está sendo usada e qual o tamanho de sapato que o intruso calça.
Outro exemplo de ciberdefesa “na artéria assistencial” vem da BayCare Health System (16 hospitais na Flórida, EUA). A rede adotou o “Cortex XSIAM”, da empresa Palo Alto Networks — um verdadeiro SOC (Centro de Operações de Segurança) que funde, num único cérebro guiado por IA, as funções de SIEM, XDR/EDR, SOAR, ASM e UEBA. Em conjunto com o módulo Medical IoT Security, a plataforma vigia em tempo real mais de 33 mil dispositivos médicos e IoT, consolidando dados de rede, nuvem e endpoints. Modelos de machine learning filtram o “ruído” de alerta, priorizando riscos e isolando vulnerabilidades antes que se transformem em incidentes clínicos.
As motivações de Alarico I quando invadiu Roma eram claras, envolvendo tanto a busca por ouro quanto a busca por reconhecimento e poder. A mente dos marginais cibernéticos é parecida: indivíduos (ou gangues) considerados cruéis e incivilizados buscam o golpe e o sequestro de dados, não importando se isso pode causar a morte de um paciente. Do lado de fora do seu hospital, é possível ouvir o barulho dos bárbaros comemorando alguma invasão. Os novos visigodos chegam por e-mail, WhatsApp, pacotes IoT, redes Wi-Fi, APIs ou qualquer outra porta que acesse os dados clínicos. Não mais escalam muralhas, mas atravessam firewalls oxidados, penetram em servidores entulhados de informações confidenciais e com pouca proteção. Eles amam os CEOs desavisados ou o CISO incauto. Sem um SOC-IA que detecte anomalias em segundos e responda antes que qualquer credencial “gire a maçaneta”, o hospital descobrirá tarde demais. O prontuário eletrônico e a bomba de infusão já terão sido saqueados. Ativem sentinelas algorítmicas e posicionem os LLMs para contra-atacar! Por três noites, as tochas visigóticas dançaram nas vielas de Roma enquanto o Senado derretia estátuas para pagar o resgate. Hoje, os bárbaros cibernéticos fazem o mesmo — só que em segundos.
Guilherme S. Hummel
Scientific Coordinator Hospitalar Hub
Head Mentor – EMI (eHealth Mentor Institute)
