Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
5
respostas

Segurança da Comunicação Clínica em Ambientes Hospitalares Digitalizados

Referente ao curso Cibersegurança: Fundamentos e práticas de redes, no capítulo Camada de rede e atividade Faça como eu fiz: segurança na rede

por Ricardo Costa Val Do Rosario
| 348.7k xp | 645 posts
MÉDICO Angiologista e Cirurgião Cardiovascular

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Autor

Ricardo Costa Val do Rosário
Médico • Especialista em Carreira de IA aplicada à Saúde / Alura - SP
Belo Horizonte
2026

Declaração de Legitimidade de Autoria e Conformidade com LGPD

Este documento foi redigido pelo autor com apoio instrumental de ferramentas de IA para 
organização, revisão linguística e refinamento de estrutura. 
O autor revisou criticamente o conteúdo final e assume integral responsabilidade por precisão, 
originalidade, integridade e eventuais omissões. Nenhum dado identificável de paciente foi
inserido no documento.

1. Contextualização

A Medicina Contemporânea deixou de ser apenas uma prática assistencial apoiada em 
conhecimento biológico e decisão clínica. Ela passou a depender intensamente de infraestruturas 
digitais interconectadas, nas quais rontuários eletrônicos, sistemas laboratoriais, plataformas de 
imagem, dispositivos médicos inteligentes, redes sem fio, estações assistenciais e serviços em nuvem
participam de uma mesma cadeia operacional. 

Nesse cenário, a comunicação entre dispositivos tornou-se um ativo clínico. Quando essa comunicação 
é comprometida, não se trata apenas de falha informática: trata-se de risco potencial à assistência.

Merece atenção o protocolo ARP, suas vulnerabilidades e a possibilidade de respostas falsas capazes 
de desviar comunicações entre dispositivos, abrindo espaço para ataques do tipo Man in the Middle. 
De igual modo, deve-se destacar a importância das sub-redes, das VLANs, dos firewalls internos e da 
análise de quais setores hospitalares devem ou não compartilhar o mesmo domínio de rede.

Em ambiente médico, essa discussão ganha densidade própria. 
Não estamos lidando apenas com computadores administrativos: estamos lidando com:
1. fluxos de dados clínicos, 
2. prescrições, 
3. imagens, 
4. laudos, 
5. sinais vitais, 
6. registros de monitorização
7. integração entre sistemas que interferem diretamente na tomada de decisão médica. 

Por isso, compreender o ataque Man in the Middle, especialmente quando facilitado por 
fragilidades do ARP, é compreender um dos pontos de maior relevância da cibersegurança clínica.

2. O protocolo ARP e sua fragilidade estrutural

O ARP funciona como o mecanismo responsável por associar um endereço IP a um endereço 
MAC dentro da rede local. 
A analogia bem conhecida  “detetive da vizinhança” é particularmente didática: um dispositivo 
conhece o “nome” de outro equipamento, isto é, seu IP, mas precisa descobrir o seu “endereço 
físico”, seu MAC, para que a comunicação local ocorra. O  problema central é que o ARP, em sua c
oncepção clássica, não legitima quem está respondendo.

Essa característica aparentemente simples é, na prática, uma vulnerabilidade estrutural. 
Um agente malicios  pode responder ao pedido ARP dizendo ser o gateway da rede, ou 
dizendo ser outro host legítimo. 

A partir disso, o tráfego passa a ser enviado ao invasor, que se posiciona entre as duas pontas da 
comunicação. 
Quando o “impostor” consegue interceptar a mensagem e até modificá-la antes de encaminhá-la 
ao destino, se define o modelo de ataque conhecido como Man in the Middle.

3. Definição de Man in the Middle

Didaticamente, o ataque Man in the Middle ocorre quando um terceiro elemento se interpõe 
silenciosamente entre dois sistemas que acreditam estar se comunicando diretamente. 
Esse terceiro observa, copia, altera, retarda ou redireciona o conteúdo trocado, enquanto mantém 
a ilusão de normalidade operacional.

No contexto do ARP, isso costuma ocorrer assim:
1.	o invasor envia respostas ARP falsas para uma estação clínica, afirmando que ele 
é o gateway;

2.	envia também respostas falsas ao gateway, dizendo ser a estação clínica;

3.	ambos passam a encaminhar tráfego ao invasor;

4.	o invasor captura o fluxo, eventualmente o modifica, e então o reencaminha;

5.	a comunicação continua aparentemente funcional, porém comprometida.
Em uma rede hospitalar, esse mecanismo é particularmente perigoso porque a 
normalidade superficial do sistema pode mascarar um processo de adulteração 
silenciosa de dados. Uma tela pode continuar carregando. 

Um exame pode continuar “chegando”. Uma prescrição pode parecer ter sido
transmitida. Mas o canal entre origem e destino já não é mais íntegro.
5 respostas
por Ricardo Costa Val Do Rosario
| 348.7k xp | 645 posts
MÉDICO Angiologista e Cirurgião Cardiovascular 
# 4. Relevância dp Man in the Middle na Medicina Contemporânea
A gravidade desse ataque aumenta no ambiente médico por quatro razões centrais.

* Primeiro, porque o setor saúde trabalha com dados extremamente sensíveis. 
Um ataque desse tipo pode expor informações clínicas, diagnósticos, resultados 
laboratoriais,  Imagens, relatórios e metadados operacionais de pacientes.

* Segundo, porque a medicina digital depende não apenas de confidencialidade, mas de
integridade. Em saúde, um dado corrompido não é apenas um dado errado: ele pode se
transformar em uma errorena x=co decisão clínica errada. A integridade é tão importante
quanto o sigilo.

* Terceiro, porque muitos ambientes hospitalares ainda convivem com parques tecnológicos
 heterogêneos: equipamentos novos dividem rede com dispositivos legados, estações antigas,
 impressoras de rede, terminais administrativos e, por vezes, dispositivos biomédicos com baixa
 capacidade nativa de defesa.

* Quarto, porque o ataque Man in the Middle é silencioso. Ele pode ocorrer sem criptografia
quebrada, sem ransomware ostensivo, sem tela bloqueada, sem alarde. Em vários casos, o grande 
dano está justamente na interceptação discreta e persistente. 

Em termos clínicos, isso significa risco sobre fluxos que envolvem:
1.	liberação de exames;
2.	visualização de imagens;
3.	integração entre farmácia e prescrição;
4.	tráfego entre estações assistenciais e prontuário eletrônico;
5.	comunicação com dispositivos médicos conectados;
6.	rotinas administrativas que dão suporte direto à assistência.

5. Exemplo clínico aplicado

Imagine uma unidade hospitalar em que estações de enfermagem, computadores médicos, 
impressoras, bombas de infusão conectadas e o gateway da rede estejam no mesmo segmento,
sem inspeção ARP dinâmica e sem 
segmentação adequada. 

Um invasor conectado àquela rede local pode anunciar, por ARP falso, que seu endereço MAC 
corresponde ao gateway. Ao  liga-lo o tráfego da estação médica que acessa o prontuário pode 
passar antes por ele. 
O invasor não precisa necessariamente “derrubar” o sistema. Basta observar o tráfego, mapear 
sessões, identificar padrões, coletar credenciais em sistemas frágeis ou alterar respostas em fluxos 
não devidamente protegidos.

No plano clínico, isso pode se materializar em situações como:
1.	atraso na abertura de exames em momento assistencial crítico;
2.	manipulação de rotas de comunicação entre setores;
3.	exposição indevida de dados sensíveis;
4.	interferência na confiança operacional da equipe;
5.	aumento do risco de erro humano por inconsistência sistêmica.
O dano, portanto, não é apenas tecnológico. É assistencial, ético, jurídico e institucional.

6. Relevância das Sub-redes e Segmentação no Ambiente Hospitalar

Sub-rede, em essência, é uma divisão lógica da rede maior em blocos menores e mais controláveis. 
Isso melhora organização, desempenho, governança e segurança. Em um hospital, a segmentação não 
é luxo arquitetônico; é mecanismo de redução de superfície de ataque.
Quando todos os dispositivos compartilham o mesmo domínio de broadcast, o atacante ganha amplitude. 
Ele pode descobrir ativos com mais facilidade, enviar respostas ARP fraudulentas a um número maior de 
máquinas e explorar lateralmente setores distintos. Quando a rede é bem segmentada, o alcance do invasor 
diminui. Ele deixa de encontrar um “hospital inteiro em camada 2” e passa a encontrar compartimentos 
mais restritos. 

Em termos práticos, uma rede hospitalar madura não deveria manter no mesmo segmento:
1.	estações administrativas;
2.	prontuário assistencial;
3.	equipamentos de diagnóstico por imagem;
4.	dispositivos biomédicos e IoMT;
5.	visitantes e Wi-Fi público;
6.	fornecedores terceirizados;
7.	servidores centrais;
8.	sistemas de engenharia clínica;
9.	ambientes de testes ou manutenção.
Cada um desses grupos possui risco, criticidade e perfil de tráfego distintos.
por Ricardo Costa Val Do Rosario
| 348.7k xp | 645 posts
MÉDICO Angiologista e Cirurgião Cardiovascular

7. Departamentos e Áreas que devem ser isolados em uma rede hospitalar

Em um desenho hospitalar orientado por risco, merecem isolamento lógico ou 
forte controle intersegmentos, no mínimo, os seguintes domínios:
# Rede administrativa
1. Financeiro, 
2. RH, 
3. faturamento, 
4. compras, 
5. gestão documental. 

Nota:
Embora não seja “beira-leito”, contém dados críticos e costuma ser alvo 
frequente de credenciais e fraudes.

# Rede assistencial clínica
1. Estações médicas, 
2. postos de enfermagem, 
3. acesso ao prontuário eletrônico, 
4. prescrição,
5. evolução, 
6. checagem
7. registro assistencial.

# Rede de equipamentos biomédicos/IoMT
1. Monitores multiparamétricos, 
2. bombas de infusão conectadas, 
3. ventiladores com telemetria, estações de captura e outros dispositivos 
especializados.                                    			 

# Rede de imagem e diagnóstico
1. PACS, 
2. estações de laudo, 
3. servidores de imagem, 
4. consoles de modalidades
5. fluxo de 
6. exames de alta volumetria.

# Rede laboratorial e farmácia
1. Sistemas de automação, 
2. interfaceamento,
3. rastreabilidade, 
4. dispensação
5. apoio diagnóstico.

# Rede de visitantes e dispositivos pessoais
* Nunca deve compartilhar o mesmo plano de confiança da rede clínica.

# Rede de terceiros e manutenção
1. Fornecedores, 
2. suporte remoto, 
3. integração técnica
4. engenharia clínica.

# Rede de servidores e serviços centrais
1. Autenticação, 
2. banco de dados, 
3. aplicações centrais, 
4. logs, 
5. SIEM, 
6. backup, controladores de
7. domínio, 
8. repositórios
9. middleware.

Esse isolamento pode ser realizado com:
1. VLANs, 
2. ACLs, 
3. NAC, 
4. firewalls internos, 
5. microsegmentação
6. regras de acesso estritamente justificadas por função.

8. Papel real de NAT e máscaras especiais

1. O NAT ajuda a ocultar endereços internos e racionalizar o uso de IPs públicos, porém não é, 
por si só, um controle suficiente contra   Man in the Middle dentro da rede local. 
2. Ele é relevante no desenho global, mas não substitui autenticação, segmentação, inspeção 
ARP controles de acesso.
3. Quanto às máscaras especiais:
•	/30 é útil para enlaces ponto a ponto com dois hosts utilizáveis;
•	/31 pode otimizar links diretos entre dois equipamentos, quando há suporte adequado;
•	/32 é particularmente interessante para representar um host único, o que pode ser aproveita
do em regras de segurança muito específicas, como autorização altamente restrita para um ativo crítico.

Em uma rede hospitalar moderna, isso significa que o tema não é apenas “endereçar bem”, ma
s endereçar de modo coerente com criticidade clínica, rastreabilidade, monitoração e contenção
de incidentes.

9. Padrão Comum do Ataque Man in the Middle em uma Rede Hospitalar

A cadeia típica de um ataque Man in the Middle por ARP poisoning em rede clínica segue esta ordem:
# Fase 1 – Presença na rede
O invasor obtém acesso local: ponto de rede exposto, credencial indevida, dispositivo comprometido
ou Wi-Fi mal controlado.

# Fase 2 – Reconhecimento
Identifica gateway, estações relevantes, impressoras, servidores locais, dispositivos clínicos e padrões 
de tráfego.

## Fase 3 – Envenenamento ARP
Envia respostas ARP falsas para host e gateway.

# Fase 4 – Interposição
Torna-se intermediário invisível no fluxo.

# Fase 5 – Exploração
Captura dados, observa sessões, coleta metadados, tenta adulteração, provoca atrasos ou prepara 
movimentos laterais.

# Fase 6 – Persistência e expansão
Busca outros segmentos mal protegidos ou ativos com menor maturidade de segurança. No hospital,
esse encadeamento costuma ser mais perigoso quando coexistem: rede plana, autenticação fraca, 
dispositivos legados, ausência de inspeção, excesso de privilégios e pouca visibilidade de tráfego
leste-oeste.

10. Controles defensivos prioritários

Existem três medidas de controle importantes, que devem ser valorizadas além de serem tecnicamente 
coerentes. São estes:
1.	ARP estático, 
2.	Dynamic ARP Inspection
3.	Port Security

Em arquitetura hospitalar, há a sugestão em comum:
# Controles de camada 2
1.	Dynamic ARP Inspection;
2.	DHCP Snooping;
3.	Port Security;
4.	desativação de portas ociosas;
5.	proteção contra MAC flooding;
6.	limitação de dispositivos por porta.
7.	Controles de segmentação
8.	VLANs separadas por função;
9.	ACLs entre segmentos;
10.	firewalls internos entre ambientes clínicos, administrativos e IoMT;
11.	isolamento de visitantes, terceiros e manutenção.

# Controles de identidade e acesso
1.	NAC;
2.	autenticação forte;
3.	menor privilégio;
4.	contas nominais;
5.	separação entre perfis clínicos, administrativos e técnicos.

# Controles de criptografia e aplicação
1.	TLS bem implementado;
2.	VPN para acessos remotos;
3.	validação de certificados;
4.	eliminação progressiva de protocolos inseguros.
por Ricardo Costa Val Do Rosario
| 348.7k xp | 645 posts
MÉDICO Angiologista e Cirurgião Cardiovascular 
# Controles de monitoração
1.	inventário contínuo de ativos
2.	SIEM
3.	detecção de anomalias ARP
4.	logs centralizados
5.	baselines de comunicação entre sistemas clínicos

# Controles de governança
1.	políticas específicas para dispositivos médicos conectados
2.	homologação de fornecedores
3.	segmentação orientada por criticidade clínica
4.	plano de resposta a incidentes com participação da assistência, TI, 
engenharia clínica compliance e gestão

11. Quadro matricial

| Ameaça| Impacto clínico-operacional| Controle recomendado | 

| ARP spoofing	Interceptação de tráfego entre estação clínica e gateway| Dynamic ARP Inspection + DHCP Snooping + Port Security| 
| Rede plana sem segmentação| Ampliação do alcance lateral do invasor| 	VLANs por função + firewalls internos| 
| Compartilhamento entre rede clínica e visitantes| Exposição indevida e aumento de superfície de ataque| Isolamento completo do Wi-Fi convidado| 
| DM legado na mesma VLAN do administrativo| Contaminação cruzada entre ambientes de criticidade distinta| Segmentação dedicada para IoMT| 
| Falta de criptografia em aplicações internas| Leitura ou adulteração de dados em trânsito| TLS, validação de certificados e revisão de aplicações| 
| Acesso remoto de fornecedor sem controle granular|Entrada indevida em ativos críticos| VPN, bastion host, MFA e janela controlada de manutenção| 
| Ausência de logs e telemetria| Detecção tardia do incidente|SIEM, monitoramento de tráfego e correlação de eventos|

12. Avaliação das alternativas arquitetônicas

Alternativa 1 – Rede hospitalar pouco segmentada
•	Prós: menor custo inicial, implantação simples, menor esforço operacional imediato
•	Contras: alta superfície de ataque, maior domínio de broadcast, maior risco de ARP spoofing 
em escala, maior chance de movimento lateral, dificuldade de contenção
•	Conclusão: inadequada para instituições com assistência digital relevante

Alternativa 2 – Segmentação básica com VLANs, mas pouca inspeção
•	Prós: melhora desempenho, reduz parte do escopo de broadcast, já representa avanço estrutural.
•	Contras: sem controles complementares, a segmentação pode ser mais estética do que efetiva; 
falhas de regras, ausência de firewall interno e baixa inspeção mantêm risco considerável
•	Conclusão: aceitável como estágio transitório, mas insuficiente para maturidade robusta

Alternativa 3 – Segmentação por criticidade com VLANs, firewalls internos, DAI, NAC e monitoração
•	Prós: melhor equilíbrio entre segurança, rastreabilidade, contenção e continuidade assistencial; 
reduz propagação; limita Man in the Middle local; aumenta governança
•	Contras: custo maior, necessidade de desenho arquitetônico, maior exigência de operação e capacitação
•	Conclusão: é a alternativa que melhor equilibra segurança, eficiência e custo ao longo do ciclo de vida, 
especialmente para hospitais de média e alta complexidade

13. Exemplo para detecção de anomalia ARP

Pseudocódigo
arp_table_baseline = {
    "10.10.1.1": "AA:BB:CC:DD:EE:01",   # gateway da VLAN clínica
    "10.10.1.10": "AA:BB:CC:DD:EE:10",  # servidor do prontuário
}
def validate_arp(ip, mac):
    if ip in arp_table_baseline and arp_table_baseline[ip] != mac:
        alert = {
            "evento": "suspeita_de_arp_spoofing",
            "ip_afetado": ip,
            "mac_recebido": mac,
            "mac_esperado": arp_table_baseline[ip],
            "criticidade": "alta"
        }
        return alert
    return "ok"
    
# Exemplo de segmentação hospitalar
JSON
{
  "hospital_network": {
    "vlans": [
      {"id": 10, "nome": "administrativo", "acesso": "restrito"},
      {"id": 20, "nome": "assistencial_clinico", "acesso": "prioritario"},
      {"id": 30, "nome": "imagem_pacs", "acesso": "alto_volume"},
      {"id": 40, "nome": "laboratorio_farmacia", "acesso": "controlado"},
      {"id": 50, "nome": "dispositivos_medicos_iomt", "acesso": "microsegmentado"},
      {"id": 60, "nome": "visitantes", "acesso": "internet_apenas"},
      {"id": 70, "nome": "terceiros_manutencao", "acesso": "vpn_mfa_janela_controlada"}
    ],
    "security_controls": {
      "dynamic_arp_inspection": true,
      "dhcp_snooping": true,
      "port_security": true,
      "internal_firewalls": true,
      "network_access_control": true,
      "siem_monitoring": true
    }
  }
}

14. Considerações Finais

1. O ataque Man in the Middle, não deve ser compreendido apenas como tema técnico de redes. Em Medicina 
Contemporânea, ele representa ameaça à confidencialidade dos dados clínicos, à integridade da informação
assistencial,  à continuidade operacional e à própria segurança do paciente

2. Na prática, o hospital seguro não é apenas ter firewall. Cada fluxo de rede pode carregar uma consequência clínica
se violado, e, por isso deve ser tratada como infraestrutura digital parte integrante da qualidade assistencial
solução!
por Lorena Garcia
| 13611.8k xp | 20168 posts
Instrutor

OI, Ricardo! Tudo bem?

É fascinante acompanhar a evolução do seu raciocínio. Se nos textos anteriores você explorou a "anatomia" das máquinas virtuais e o "esqueleto" das camadas de rede, aqui você chegou ao "sistema circulatório" da informação clínica e, principalmente, às patologias que podem afetá-lo.

A sua analogia do protocolo ARP como um "detetive da vizinhança" que aceita qualquer resposta é cirúrgica. No ambiente hospitalar, onde a confiança é a base da relação médico-paciente, entender que a rede pode sofrer de uma "crise de identidade" (através do ARP Spoofing) é um passo fundamental para a segurança do paciente.

Parabéns pelo quadro matricial ao final do texto. Ele traduz termos técnicos complexos em impactos clínicos reais, o que facilita a comunicação entre a equipe de TI e a diretoria médica.

Continue firme nos estudos.

Alura Conte com o apoio da comunidade Alura na sua jornada. Abraços e bons estudos!
por Ricardo Costa Val Do Rosario
| 348.7k xp | 645 posts
MÉDICO Angiologista e Cirurgião Cardiovascular

Olá Lorena
Agradeço pelas palaras e análises. Não tenho polpado esforços para meu progresso e isto
esta a cada publicação se tornando uma realidade.
Att,
Ricardo

Tópicos relacionados

Mostrar mais tópicos Mostrar menos tópicos

Conteúdos Alura com o tema

Trilhas por carreira

Carreiras de IA

Carreiras de Dados

Carreiras de Cyber

Carreiras de DevOps & Cloud

Carreiras de UX & UI

Carreiras de Mobile & Front-End

Carreiras de Back-End

Carreiras de Negócios

Cursos universitários FIAP

Graduação | Pós-graduação | MBA