Orcon News

Ataque hacker expõe mais de 500 mil usuários do SUS

Por Lavinia Foster

08/07/2026

A Agência Nacional de Proteção de Dados, a ANPD, instaurou um processo de sanção contra o Instituto Saúde e Cidadania, conhecido como Isac, em decorrência de um ataque cibernético que resultou no sequestro de dados de aproximadamente 500 mil pacientes. A organização social atua na administração de unidades públicas de saúde em seis Estados brasileiros: Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins.

A investigação federal apura falhas na cibersegurança da instituição, que tem sede administrativa em Brasília. O incidente de segurança, ocorrido em 2025, envolveu um ataque do tipo ransomware, no qual criminosos virtuais bloqueiam o acesso aos sistemas e exigem um resgate para liberar as informações. No total, o incidente afetou cerca de 500 mil registros, incluindo informações de grupos vulneráveis: 78.772 registros pertencem a crianças e adolescentes e 47.921 são de idosos.

Os bancos de dados afetados continham informações de identificação, como nomes e datas de nascimento, além de dados médicos altamente sensíveis. Entre eles estão históricos de exames, prontuários, prescrições de medicamentos, atendimentos ambulatoriais, internações, diagnósticos e procedimentos médicos realizados.

Segundo a ANPD, as apurações prévias apontam que o Isac não possuía salvaguardas técnicas suficientes para manter os dados seguros. O órgão federal também investiga se a organização falhou ao não comunicar adequadamente as vítimas sobre o incidente e por não disponibilizar informações claras sobre o encarregado pelo tratamento dos dados pessoais. A agência destaca que os dados de saúde exigem o nível mais rigoroso de proteção, comparável ao adotado no setor financeiro, devido ao alto risco que o vazamento dessas informações representa para os cidadãos.

A defesa do Isac argumentou à agência governamental que o impacto do incidente foi limitado, afirmando que os invasores acessaram apenas bases de dados administrativas e contratos antigos já encerrados, alegando que não haveria risco ou dano relevante aos titulares das informações.
Em nota oficial, o Instituto Saúde e Cidadania reforçou o posicionamento de que não houve vazamento ou divulgação indevida de dados. De acordo com a organização social, o ataque hacker provocou somente uma indisponibilidade temporária dos sistemas. A entidade afirmou ainda que os sistemas foram restabelecidos com o uso de cópias de segurança (backups) e que os atendimentos prestados à população nas unidades de saúde não sofreram interrupções por causa do ocorrido.

A situação mais uma vez expõe a fragilidade dos sistemas de dados brasileiro, que tem historicamente uma alta taxa de invasão e ataques.
Na maioria das vezes, como neste caso, os responsáveis acabam não sendo identificados e punidos.