O ataque de ransomware que paralisou a DaVita, um dos maiores prestadores de diálise do mundo, expôs dados de 2.689.826 pessoas e tornou-se o rosto de uma crise que atravessa todo o setor da saúde. O incidente, atribuído ao grupo Interlock, custou à empresa cerca de 13,5 milhões de dólares só num trimestre e juntou-se a uma vaga de ataques que fez de 2025 o pior ano de sempre para violações de dados clínicos. Para a Europa, e para Portugal em particular, o sinal é inequívoco: o ransomware na saúde deixou de ser um risco abstrato para se tornar uma ameaça operacional com impacto direto nos doentes.
Esta análise reúne os números verificados do caso DaVita, compara-o com as maiores fugas de dados de saúde de 2025 e 2026, e enquadra tudo no contexto europeu definido pela ENISA e pela diretiva NIS2. O objetivo é responder a uma pergunta que hospitais, clínicas e seguradoras em Portugal fazem agora com urgência: porque é que a saúde se tornou o alvo número um e o que pode realmente travar estes ataques.
O que aconteceu no ataque de ransomware à DaVita
A cronologia, reconstruída a partir da comunicação da DaVita à SEC e do reporte ao regulador de saúde norte-americano (HHS OCR), mostra um padrão clássico de intrusão prolongada. Os atacantes obtiveram acesso à rede da DaVita a 24 de março de 2025 e moveram-se pelos sistemas sem deteção até 12 de abril de 2025, data em que a empresa detetou a atividade e percebeu que partes da sua rede tinham sido cifradas. A 14 de abril, a DaVita apresentou um formulário 8-K à Comissão de Valores Mobiliários dos Estados Unidos, o documento que tornou o caso público.
No comunicado oficial à SEC, a DaVita afirmou que tomou conhecimento de um “incidente de ransomware que cifrou determinados elementos da nossa rede”, que ativou de imediato os protocolos de resposta, isolou os sistemas afetados, contratou especialistas externos de cibersegurança e notificou as autoridades. A empresa garantiu que continuou a prestar cuidados aos doentes, mas reconheceu que não conseguia, naquele momento, estimar a duração nem a extensão da perturbação. Esta franqueza institucional, rara em comunicações deste tipo, mostra a dimensão do impacto operacional.
O número definitivo de afetados só se consolidou meses depois. As primeiras notificações estaduais apontavam valores bem mais baixos, mas o reporte federal ao HHS OCR fixou a cifra em 2.689.826 indivíduos, tornando o caso uma das maiores violações de dados de saúde comunicadas nos Estados Unidos em 2025. A DaVita serve cerca de 200.000 doentes de diálise, o que significa que o universo de dados comprometidos extravasou largamente a base de doentes ativos, abrangendo familiares, antigos doentes e dados administrativos.
Que dados foram roubados
Segundo o reporte do caso, os dados comprometidos incluíam nomes, moradas, datas de nascimento, números de Segurança Social, informação de seguros, dados clínicos, detalhes de tratamento e resultados de análises laboratoriais associadas à diálise. Esta combinação é particularmente sensível: ao contrário de um número de cartão de crédito, que se substitui em dias, um historial clínico e um número de identificação fiscal acompanham a pessoa toda a vida. É por isso que os dados de saúde valem, no mercado clandestino, vários múltiplos de um registo financeiro comum.
Quem é o grupo Interlock por detrás do ataque
O grupo Interlock reivindicou a autoria do ataque, segundo o reporte que citou o portal de fugas do próprio grupo. É importante separar o que é facto verificado do que é alegação do atacante. A janela de acesso de 24 de março a 12 de abril e os 2,69 milhões de afetados são números confirmados por canais oficiais. Já as dimensões do roubo de dados divulgadas pelo grupo, que variaram entre 1,5 TB e mais de 20 TB com “mais de 200 milhões de linhas” de dados de doentes, não foram confirmadas de forma independente. Em casos de ransomware, os atacantes inflacionam rotineiramente o volume roubado para pressionar a vítima a pagar.
O Interlock encaixa numa nova geração de operações de extorsão dupla: cifram os ficheiros para paralisar a operação e, em paralelo, exfiltram dados para os divulgar caso a vítima não pague. Este modelo transformou o cálculo das organizações de saúde. Mesmo quem tem cópias de segurança impecáveis e consegue restaurar sistemas rapidamente continua exposto à divulgação pública de dados de doentes, com as inerentes consequências legais, reputacionais e regulatórias. A capacidade de restaurar a partir de backups já não é, por si só, uma defesa completa.
A ENISA documenta esta tendência de forma clara. Nos seus relatórios sobre o setor da saúde, a agência europeia indica que 43% dos incidentes de ransomware são acompanhados de violação ou roubo de dados, confirmando que a exfiltração se tornou a norma e não a exceção. A perturbação dos serviços continua a ser o principal impacto, mas o roubo de dados é hoje a alavanca de pressão preferida.
O custo real do ataque para a DaVita
O impacto financeiro imediato foi quantificado nos documentos financeiros da DaVita. A empresa registou cerca de 13,5 milhões de dólares em custos no segundo trimestre de 2025 relacionados com o incidente. Essa fatura repartiu-se entre investigação forense, serviços de proteção aos doentes afetados, um aumento de 1 milhão de dólares nos custos de prestação de cuidados e 12,5 milhões de dólares em despesas gerais e administrativas. E, sublinhe-se, estes valores não incluem o impacto da interrupção de negócio, ou seja, a receita perdida e a produtividade que não se recuperou.
Estes 13,5 milhões são apenas a ponta visível. O custo médio de uma violação de dados no setor da saúde atingiu 7,42 milhões de dólares em 2025, segundo o relatório Cost of a Data Breach da IBM, o valor mais alto de qualquer indústria, posição que a saúde ocupa há mais de uma década consecutiva. A diferença para os 13,5 milhões da DaVita mostra como um incidente de grande escala, com milhões de afetados e perturbação operacional, ultrapassa folgadamente a média setorial.
Há ainda a cauda longa dos custos: anos de monitorização de crédito oferecida aos afetados, potenciais ações coletivas, coimas regulatórias e o prémio de seguro cibernético que sobe a cada incidente. Para uma organização cotada como a DaVita, o efeito reputacional traduz-se também em volatilidade na confiança dos investidores e dos doentes, um custo difícil de medir mas real.
As maiores violações de dados na saúde em 2025-2026
A DaVita, por mais grave que tenha sido, não foi sequer o maior caso do período. A tabela seguinte coloca o incidente em perspetiva, comparando-o com as maiores violações de dados de saúde reportadas em 2025 e início de 2026. O contraste com o caso Change Healthcare, com quase 193 milhões de afetados, mostra a escala industrial que estes ataques podem atingir quando atingem um nó central do sistema.
| Organização | Indivíduos afetados | Reporte | Tipo de entidade |
|---|---|---|---|
| Change Healthcare | ~192,7 milhões | HHS OCR até 31/07/2025 | Processamento de pagamentos clínicos |
| Episource | 5,5 milhões | 2025 | Fornecedor de serviços de saúde |
| Blue Shield of California | 4,7 milhões | 2025 | Seguradora de saúde |
| DaVita | 2.689.826 | 2025 | Prestador de diálise |
| Carnival Corporation | Não divulgado | Abril 2026 | Operador com dados de clientes |
Um padrão salta à vista: os maiores casos não são hospitais individuais, são fornecedores e parceiros de serviços. A Change Healthcare processa pagamentos, a Episource presta serviços, a Blue Shield é seguradora. Os atacantes perceberam que comprometer um único fornecedor a montante permite atingir milhões de doentes de centenas de prestadores em simultâneo. É a lógica do ataque à cadeia de abastecimento aplicada à saúde, e explica porque é que o número de afetados cresceu tão depressa enquanto o número de incidentes individuais nem sempre acompanhou.
Porque é que a saúde é o alvo número um
A resposta combina valor, vulnerabilidade e urgência. Os dados clínicos são os mais valiosos do mercado negro porque permitem fraude médica, fraude de seguros e roubo de identidade duradouro. A vulnerabilidade vem de uma superfície de ataque enorme: equipamentos médicos ligados à rede, sistemas legados que não se podem desligar para atualizar, milhares de funcionários com acesso e uma cultura historicamente focada no doente e não na segurança informática. E a urgência é o multiplicador decisivo: quando um hospital fica sem sistemas, há vidas em risco, o que aumenta a probabilidade de a vítima pagar depressa.
Os dados da ENISA confirmam a dimensão do problema na Europa. Na análise do panorama de ameaças do setor da saúde, a agência concluiu que o ransomware representa 54% das ameaças de cibersegurança ao setor e que os prestadores de cuidados de saúde concentram 53% dos incidentes, sendo os hospitais o subtipo mais afetado. Numa análise mais recente dos incidentes de saúde de 2024, a ENISA apurou que 45% se relacionavam com ransomware e 28% com violações de dados. Juntos, ransomware e malware representam cerca de 60% dos incidentes reportados publicamente no setor.
O relatório ENISA Threat Landscape 2025, que analisou 4.875 incidentes entre julho de 2024 e junho de 2025, coloca o ransomware no centro da atividade de intrusão em toda a União Europeia. A industrialização dos ataques, com modelos de Ransomware-as-a-Service que permitem a criminosos pouco qualificados alugar ferramentas sofisticadas, baixou drasticamente a barreira de entrada e ajuda a explicar o volume crescente.
O impacto clínico vai muito além dos dados
Aqui reside a diferença entre o ransomware na saúde e em qualquer outro setor: as consequências chegam ao corpo do doente. Um estudo do Ponemon Institute concluiu que 68% dos inquiridos afirmaram que o ransomware perturbou os cuidados aos doentes, 46% reportaram aumento das taxas de mortalidade e 38% notaram mais complicações em procedimentos. Quando os sistemas de uma clínica de diálise param, não há plano B simples: a diálise é um tratamento que não pode esperar dias.
Estes números transformam o debate. Um ataque que atrasa cirurgias, desvia ambulâncias para outros hospitais ou impede o acesso ao historial de medicação de um doente crónico não é um problema de TI, é um problema de saúde pública. É esta dimensão que justifica a resposta regulatória cada vez mais musculada na Europa e que coloca a cibersegurança hospitalar no mesmo plano de prioridade que a continuidade do fornecimento de energia ou de água.
O lado positivo é que a capacidade de recuperação melhorou. Segundo o relatório State of Ransomware da Sophos, 58% dos prestadores de saúde atingidos por ransomware recuperaram no prazo de uma semana em 2025, mais do dobro dos 21% registados em 2024. O investimento em planos de resposta a incidentes e em cópias de segurança imutáveis começa a dar frutos, mesmo que o roubo de dados permaneça um problema sem solução técnica fácil.
A resposta europeia: ENISA e o Plano de Ação da UE
A União Europeia tratou a vaga de ataques à saúde como uma emergência estratégica. Em janeiro de 2025, a Comissão Europeia propôs um Plano de Ação para a cibersegurança dos hospitais e prestadores de cuidados de saúde, dirigido especificamente a este setor, com orientações, ferramentas, manuais de resposta a incidentes e capacidades de alerta precoce. No mesmo âmbito, está prevista a criação, sob coordenação da ENISA, de um Centro Pan-Europeu de Apoio à Cibersegurança para hospitais e prestadores.
Juhan Lepassaar, Diretor Executivo da ENISA, resumiu a lógica desta aposta numa declaração pública: “Um elevado nível comum de cibersegurança para o setor da saúde na UE é essencial para garantir que as organizações de saúde possam operar da forma mais segura.” A frase capta a filosofia europeia: a segurança de um hospital português depende, em parte, da segurança dos seus congéneres e fornecedores noutros Estados-Membros, porque os atacantes e os fornecedores partilhados não conhecem fronteiras.
Esta abordagem coletiva contrasta com o modelo norte-americano, mais fragmentado e assente em notificações a posteriori ao HHS OCR. A Europa aposta na prevenção partilhada e na partilha de informação de ameaças em tempo quase real, reconhecendo que a defesa isolada de cada instituição é insuficiente perante adversários organizados como o Interlock.
NIS2 e o que muda para a saúde em Portugal
Para Portugal, o instrumento central é a diretiva NIS2, que classifica a saúde como setor essencial e impõe obrigações reforçadas de gestão de risco, notificação de incidentes e responsabilização da gestão de topo. Hospitais, laboratórios, fabricantes de dispositivos médicos e entidades de investigação farmacêutica passam a ter de cumprir requisitos mínimos de cibersegurança e a comunicar incidentes significativos em prazos apertados, sob pena de coimas avultadas.
O ponto crítico da NIS2 é a responsabilização pessoal dos órgãos de gestão, que podem ser diretamente responsabilizados pelo incumprimento das medidas de cibersegurança. Isto eleva o tema do departamento de informática para a sala do conselho de administração, exatamente o efeito que o legislador europeu pretendia. Um administrador hospitalar já não pode delegar e esquecer a cibersegurança, porque a lei o coloca na linha de responsabilidade.
O enquadramento de proteção de dados acrescenta uma segunda camada de risco. Sob o RGPD, uma violação de dados de saúde, categoria especialmente protegida, expõe as organizações a coimas que podem chegar a percentagens significativas do volume de negócios. A combinação de NIS2 e RGPD significa que, em Portugal, um ataque como o da DaVita resultaria em escrutínio simultâneo por parte da autoridade de cibersegurança e da autoridade de proteção de dados, com riscos sancionatórios cumulativos.
Estatísticas de ransomware na saúde em números
A dimensão da crise vê-se melhor em série. A tabela seguinte reúne os indicadores verificados que melhor caracterizam o estado do ransomware na saúde entre 2024 e 2026, a partir de fontes como a IBM, a Sophos, o FBI, a ENISA e o Ponemon Institute. O quadro mostra um setor sob pressão crescente, mas com sinais de melhoria na capacidade de recuperação.
| Indicador | Valor | Período | Fonte |
|---|---|---|---|
| Custo médio de violação de dados na saúde | 7,42 milhões USD | 2025 | IBM Cost of a Data Breach |
| Subida de ataques de ransomware na saúde | +30% | 2025 | Relatórios de setor |
| Ataques a prestadores diretos de cuidados | 293 ataques | 2025 | Relatórios de setor |
| Ataques e violações na saúde (FBI IC3) | 460 + 182 | 2025 | FBI Internet Crime Report |
| Recuperação em menos de uma semana | 58% (era 21%) | 2025 vs 2024 | Sophos State of Ransomware |
| Ataques globais à saúde (1.º trimestre) | 120 (22 confirmados) | 1.º trim. 2026 | Reportes públicos |
| Ransomware nas ameaças à saúde (UE) | 54% | Panorama ENISA | ENISA |
Há uma nuance importante nestes números. No primeiro trimestre de 2026 registou-se uma descida reportada de 14% nos incidentes face a períodos anteriores, e dos 120 ataques globais à saúde apenas 22 foram confirmados, sendo 98 alegações não verificadas dos próprios grupos. Isto sugere que parte do “ruído” pode ser inflacionado pelos atacantes para gerar medo. Ainda assim, os analistas alertam que a descida no número de incidentes coexiste com um aumento da gravidade e do volume de dados expostos por incidente.
Análise de mercado e impacto no setor de cibersegurança
A vaga de ataques está a redesenhar o mercado de cibersegurança na saúde. Três efeitos são já visíveis. Primeiro, o seguro cibernético encareceu e tornou-se mais exigente: as seguradoras passaram a impor autenticação multifator, segmentação de rede e cópias de segurança imutáveis como condição de cobertura, recusando apólices a quem não cumpre o mínimo. Segundo, cresce a procura por soluções de deteção e resposta geridas (MDR) e por arquiteturas de confiança zero, que partem do princípio de que a rede já está comprometida.
Terceiro, e talvez mais relevante, o foco deslocou-se para o risco de terceiros. Depois de casos como o da Change Healthcare e da Episource demonstrarem que o elo mais fraco é o fornecedor, as organizações de saúde estão a auditar agressivamente quem lhes processa pagamentos, gere análises ou aloja registos. A gestão de risco da cadeia de abastecimento tornou-se a nova fronteira, e a NIS2 reforça precisamente esta obrigação ao responsabilizar as entidades essenciais pela segurança dos seus fornecedores.
Para o ecossistema português, isto significa oportunidade e pressão em simultâneo. As empresas nacionais de cibersegurança e os centros de operações de segurança ganham um mercado em expansão, enquanto hospitais públicos e privados enfrentam a necessidade de investir num contexto de orçamentos apertados. O Centro Nacional de Cibersegurança assume um papel cada vez mais central na coordenação da resposta e na partilha de inteligência sobre ameaças.
Cinco previsões para o ransomware na saúde até 2027
Com base nas tendências verificadas e no enquadramento regulatório, são cinco as previsões mais defensáveis para os próximos dois anos.
- Os ataques à cadeia de abastecimento dominarão os grandes números. Tal como Change Healthcare e Episource, os incidentes com mais afetados continuarão a atingir fornecedores partilhados, e não hospitais isolados, multiplicando o impacto por um único ponto de falha.
- A extorsão sem cifragem vai crescer. Grupos como o Interlock tenderão a privilegiar o roubo e a ameaça de divulgação de dados em vez da cifragem, porque a recuperação a partir de backups já neutraliza parte do modelo clássico.
- A fiscalização da NIS2 endurecerá em Portugal e na UE. As primeiras coimas significativas a entidades de saúde por incumprimento surgirão, transformando o risco regulatório num custo concreto que pesará nas decisões de investimento.
- A inteligência artificial será arma e escudo. Os atacantes usarão IA para acelerar a intrusão e personalizar o phishing, enquanto os defensores a aplicarão na deteção de anomalias, comprimindo a janela entre acesso e impacto.
- O seguro cibernético na saúde continuará a encarecer e a exigir mais. As apólices passarão a depender de auditorias de segurança verificáveis, e quem não cumprir requisitos mínimos arrisca-se a ficar sem cobertura no momento em que mais precisa dela.
Como as organizações de saúde se podem proteger
O caso DaVita ilustra que a defesa eficaz começa na deteção precoce. Os atacantes circularam pela rede durante quase três semanas antes de serem detetados; encurtar esse tempo é a prioridade número um. Isto exige monitorização contínua, segmentação de rede que impeça o movimento lateral e deteção de comportamentos anómalos, em vez de assinaturas estáticas que o malware moderno contorna com facilidade.
As medidas com melhor relação custo-benefício são conhecidas e continuam subaproveitadas: autenticação multifator em todos os acessos, cópias de segurança imutáveis e testadas regularmente, princípio do menor privilégio, atualização de sistemas e um plano de resposta a incidentes ensaiado e não apenas escrito. A formação dos profissionais é decisiva, porque a maioria das intrusões ainda começa com phishing ou credenciais comprometidas.
Por fim, a gestão do risco de fornecedores deixou de ser opcional. Avaliar a postura de segurança de quem processa dados clínicos, exigir contratualmente requisitos mínimos e planear a continuidade caso um fornecedor crítico seja comprometido são passos que separam as organizações resilientes das que serão a próxima manchete. Num setor onde a indisponibilidade custa vidas, a cibersegurança é, literalmente, cuidado ao doente.
Cobertura Relacionada
- NIS2 Portugal: Coimas de €10M e 60 Dias para Registo [2026]
- Ciberataques em Portugal: 2.437/Semana, +32% UE [2026]
- Violações de Dados: Como Acontecem e Como se Proteger
- Ciberataque em 72 Minutos: A Nova Velocidade [2026]
- CVE em Crise: EUVD da UE e 11 Meses de Risco [2026]
- Segurança Online Explicada
Perguntas Frequentes
Quantas pessoas foram afetadas pelo ataque à DaVita?
A DaVita reportou ao regulador de saúde norte-americano (HHS OCR) que 2.689.826 indivíduos foram afetados. As primeiras notificações estaduais indicavam números mais baixos, depois superados pela cifra federal definitiva.
Que grupo esteve por detrás do ataque de ransomware?
O grupo Interlock reivindicou a autoria, segundo reportes que citaram o seu portal de fugas. Os atacantes terão tido acesso à rede da DaVita entre 24 de março e 12 de abril de 2025. A comunicação à SEC da própria DaVita não nomeou o grupo.
Porque é que o setor da saúde é tão atacado por ransomware?
Os dados clínicos são muito valiosos, a superfície de ataque é enorme (equipamentos médicos, sistemas legados) e a urgência dos cuidados aumenta a probabilidade de pagamento. A ENISA estima que o ransomware represente 54% das ameaças de cibersegurança ao setor na UE.
Quanto custa, em média, uma violação de dados na saúde?
Segundo o relatório Cost of a Data Breach da IBM, o custo médio atingiu 7,42 milhões de dólares em 2025, o valor mais alto de qualquer setor. No caso da DaVita, os custos diretos rondaram 13,5 milhões de dólares só num trimestre.
A diretiva NIS2 aplica-se aos hospitais portugueses?
Sim. A NIS2 classifica a saúde como setor essencial, impondo obrigações de gestão de risco, notificação de incidentes e responsabilização direta da gestão de topo, sob pena de coimas. Abrange hospitais, laboratórios e fabricantes de dispositivos médicos.
Pagar o resgate resolve o problema?
Não. Mesmo pagando, não há garantia de recuperação total dos dados nem de que os atacantes não divulguem ou revendam a informação roubada. Com 43% dos ataques de ransomware a envolverem roubo de dados, a extorsão pode continuar após o pagamento. As autoridades desaconselham o pagamento.
Como pode um hospital reduzir o risco de ransomware?
As prioridades são autenticação multifator, cópias de segurança imutáveis e testadas, segmentação de rede, deteção precoce de comportamentos anómalos, formação contra phishing e gestão rigorosa do risco dos fornecedores que processam dados clínicos.
Fontes e leituras adicionais: ENISA, Cibersegurança do Setor da Saúde; ENISA Threat Landscape 2025; ENISA, ransomware representa 54% das ameaças na saúde; IBM Cost of a Data Breach; MedTech Dive, ataque à DaVita expõe dados de 2,7M; Comissão Europeia, Diretiva NIS2.
