Ransomware no Isac vaza dados de 500 mil pacientes, entenda
ANPD apura falhas na proteção de dados sensíveis após incidente que atingiu pacientes vulneráveis.
Resumo rapido
A ANPD abriu um Processo Administrativo Sancionador para investigar o Instituto Saúde e Cidadania, o Isac. O caso teve origem em um ataque de ransomware em 2025 e atingiu cerca de 500 mil registros de pacientes. Entre eles estão dados de crianças, adolescentes e idosos, público que exige proteção reforçada.
Neste artigo voce vai aprender:
- O que foi informado sobre o vazamento no Isac.
- Por que dados de saúde exigem cuidado reforçado.
- Como um ransomware pode deixar dados inacessíveis.
- Quais sinais merecem atenção após um vazamento.
- Medidas práticas para pacientes e organizações de saúde.
Contexto do caso
A Agência Nacional de Proteção de Dados, a ANPD, instaurou um Processo Administrativo Sancionador para apurar possíveis falhas na proteção de dados pessoais sensíveis do Instituto Saúde e Cidadania, conhecido como Isac. A instauração desse processo indica que o órgão vê motivos concretos para investigar a conduta da instituição.
O Isac atua na gestão de unidades públicas de saúde em Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins. Segundo o material fornecido, o incidente teria afetado cerca de 500 mil registros de pacientes, incluindo 78.772 de crianças e adolescentes e 47.921 de idosos.
Como o ataque ocorreu
O vazamento veio na esteira de um ataque de ransomware registrado em 2025. Em termos simples, ransomware é um crime digital em que os dados são criptografados e sequestrados, ficando inacessíveis para a organização atingida até que uma condição imposta pelos criminosos seja cumprida.
Em ambientes de saúde, esse tipo de incidente é ainda mais grave. Os registros costumam reunir informações sensíveis do paciente, como dados de atendimento, identificação da pessoa e histórico clínico necessário para a prestação do serviço, tudo protegido de forma especial pela LGPD.
Sinais de alerta
Quem passou por unidades geridas pelo Isac precisa redobrar a atenção com contatos inesperados. O maior risco prático não é apenas o vazamento em si, mas o uso dessas informações para enganar pessoas e dar aparência legítima a um golpe.
- Mensagens ou ligações citando dados de saúde para ganhar sua confiança.
- Pedidos de documentos, códigos, senhas ou confirmação de cadastro.
- Promessas de atendimento, benefício ou prioridade mediante pagamento.
- Comunicações com pressão para uma resposta imediata.
O que fazer agora
Para pacientes, a orientação central é tratar todo contato inesperado com cautela. Antes de informar qualquer dado pessoal, confirme a solicitação diretamente pelos canais oficiais da unidade de saúde ou do órgão responsável.
Para organizações, o caso reforça a urgência de revisar controles de acesso, cópias de segurança, resposta a incidentes e treinamento das equipes. Dados de saúde pedem processos claros, monitoramento contínuo e planos de recuperação que sejam testados antes de uma crise, não durante ela.
Checklist pratico
- Se receber contato sobre atendimento, cadastro ou exame, confirme por um canal oficial antes de responder.
- Não envie documentos, senhas, códigos ou dados bancários por mensagem ou ligação inesperada.
- Empresas de saúde devem revisar acessos, backups, monitoramento e plano de resposta a ransomware.
Perguntas frequentes
O que a ANPD está investigando?
A ANPD apura possíveis falhas na proteção de dados pessoais sensíveis de pacientes do Instituto Saúde e Cidadania após o ataque de ransomware.
Quantos registros foram afetados?
O material informado aponta cerca de 500 mil registros afetados, sendo 78.772 de crianças e adolescentes e 47.921 de idosos.
O que pacientes devem fazer?
Devem desconfiar de contatos inesperados, evitar fornecer dados por canais não confirmados e recorrer aos canais oficiais para validar qualquer solicitação.
Proteja sua empresa com a LC SEC
Incidentes com ransomware exigem prevenção, resposta rápida e governança de dados. A LC SEC apoia empresas na avaliação de riscos, testes de segurança, conscientização e estruturação de controles alinhados à LGPD.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
Jornal O Globo (trecho fornecido)
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

