Um novo relatório da Paubox torna impossível ignorar a conexão entre autenticação de e-mail fraca e violações reais em organizações de saúde: de 170 violações relacionadas a e-mail em organizações de saúde analisadas ao longo de 2025, 74% envolveram domínios com DMARC configurado em modo apenas de monitoramento ou sem nenhum registro DMARC.
Isso não é coincidência. É uma cadeia causal. E os dados mais amplos do setor confirmam: a indústria de saúde dos Estados Unidos está em apenas 11% de aplicação do DMARC em 2026, número que parece ainda mais alarmante ao lado da contagem do primeiro trimestre de 2026: 120 ataques de ransomware a hospitais, clínicas e outros provedores de saúde, mais 81 ataques adicionais a empresas do setor de saúde como processadoras de faturamento e fabricantes farmacêuticos.
A saúde é um dos alvos de maior valor para ataques por e-mail em todas as categorias: dados de pacientes alcançam preços elevados nos mercados criminosos, os invasores de ransomware sabem que o tempo de inatividade em ambientes de cuidados cria uma pressão que os conselhos dificilmente conseguem ignorar, e campanhas de phishing que se passam por marcas de saúde miram tanto funcionários quanto pacientes. No entanto, as defesas de autenticação do setor estão entre as mais fracas de qualquer setor regulamentado.
O Que os Dados da Paubox Revelaram
O Relatório de Segurança de E-mail na Saúde 2026 da Paubox examinou 170 violações relacionadas a e-mail notificadas ao HHS entre janeiro e dezembro de 2025. Os resultados nesse conjunto de violações são contundentes.
74% das organizações violadas tinham o DMARC configurado como p=none (apenas monitoramento) ou não tinham nenhum registro DMARC. Ambas as configurações produzem o mesmo resultado: e-mails falsificados que afirmam ser do domínio da organização chegam às caixas de entrada sem nenhuma verificação de autenticação para impedi-los.
67% das organizações violadas tinham registros SPF mal configurados ou excessivamente permissivos. Um registro SPF muito abrangente pode autorizar remetentes não autorizados junto com os legítimos, comprometendo toda a cadeia de autenticação.
Nenhuma das organizações violadas aplicava MTA-STS, o protocolo que previne ataques de degradação no transporte de e-mail criptografado. Todas as organizações do conjunto de violações dependiam de criptografia oportunista que um invasor posicionado entre servidores de e-mail poderia remover silenciosamente.
53% das organizações violadas usavam o Microsoft 365 como plataforma principal de e-mail, ante 43% em 2024. Essa concentração reflete a participação de mercado do Microsoft 365 na saúde, mas também significa que configurações incorretas na assinatura DKIM de saída e no alinhamento DMARC do Microsoft 365 estão se propagando amplamente pelo setor.
41% das organizações violadas caíram na categoria de maior risco de autenticação com base em sua postura combinada de autenticação e criptografia, ante 31% no ano anterior.
A Comparação Setorial Que Deveria Alarmar a Liderança da Saúde
A taxa de aplicação do DMARC de 11% na saúde dos EUA torna-se ainda mais preocupante quando comparada com outros setores.
O governo federal dos EUA está em 92% de aplicação do DMARC. A diferença vem de um mandato direto: a Diretiva Operacional Vinculante 18-01 do Departamento de Segurança Interna exigiu que as agências federais implementassem o DMARC em modo de aplicação dentro de um prazo definido. Onde os reguladores exigem, a adoção acontece.
Os serviços financeiros operam com aproximadamente 60% de aplicação do DMARC, impulsionados pelos requisitos do PCI DSS, regulamentação de proteção ao consumidor e escrutínio direto do FDIC e do OCC sobre risco de terceiros. Os incentivos financeiros do setor se alinham à segurança: as perdas por fraude com domínios falsificados afetam diretamente o resultado.
O setor de saúde norueguês atingiu 55,6% em p=reject. A implementação do GDPR na Noruega e as obrigações da NIS2, combinadas com pressão regulatória setorial específica, produziram taxas de aplicação na saúde que organizações dos EUA operando apenas sob a HIPAA não conseguem alcançar atualmente.
A lacuna da saúde nos EUA não é principalmente um problema técnico. A implementação do DMARC segue os mesmos passos para um hospital que para qualquer outro domínio. O problema é que a HIPAA atualmente não o exige e, sem um mandato, ambientes operacionais complexos e prioridades de TI concorrentes mantêm as organizações presas em p=none indefinidamente.
Por Que os Ambientes de E-mail da Saúde São Genuinamente Complexos
O número de 11% não reflete indiferença. Os ambientes de e-mail na saúde estão entre os mais complicados de qualquer setor, e essa complexidade torna a aplicação do DMARC mais difícil do que parece.
Um sistema hospitalar de médio porte tipicamente envia e-mails de sua plataforma corporativa Microsoft 365 ou Google Workspace, sua plataforma de prontuário eletrônico (Epic, Cerner, Oracle Health e outros enviam notificações sob o nome de domínio da organização), seu sistema de portal do paciente, seu serviço de notificação de resultados de laboratório, plataformas de lembrete de consultas, ferramentas de comunicação de faturamento e uma longa lista de parceiros comerciais e fornecedores que se comunicam com pacientes em nome da organização.
Cada um desses sistemas é uma possível origem de envio. Cada um precisa estar coberto pelo registro SPF da organização ou configurado para assinar com DKIM usando o domínio da organização, ou ambos. Passar para p=reject sem ter identificado e autenticado cada um desses caminhos arrisca bloquear comunicações legítimas com os pacientes: lembretes de consultas, resultados de laboratório, extratos de faturamento.
Essa complexidade é real. Mas é também exatamente o que os relatórios agregados de DMARC foram projetados para revelar. Os dados existem nos relatórios RUA a partir do momento em que um registro p=none é publicado. O problema é que a maioria das organizações de saúde publica esse registro de monitoramento, nunca revisa sistematicamente os relatórios e nunca avança para a aplicação.
O Que os Invasores Fazem com um Domínio de Saúde em p=none
Um domínio de saúde em p=none é uma plataforma pronta para falsificação. Um invasor que quer enviar e-mail de phishing para roubar credenciais dos funcionários de um hospital pode criar mensagens com um endereço From: usando o domínio exato do hospital. As mensagens podem passar no SPF se o invasor usar um serviço de envio registrado, ou falhar no SPF e ainda assim ser entregues porque p=none instrui os servidores receptores a entregar de qualquer forma. A aplicação do DMARC nunca é acionada.
O mesmo ataque mira diretamente os pacientes: campanhas de fraude de faturamento que falsificam o domínio do hospital para solicitar redirecionamentos de pagamento, phishing de redefinição de senha imitando o portal do paciente, fraude de confirmação de consulta que coleta informações pessoais de saúde.
O comprometimento de e-mail empresarial na saúde é particularmente prejudicial porque transferências bancárias relacionadas a faturamento médico, pagamentos a fornecedores e liquidações de seguros podem ser substanciais. 64% dos profissionais de TI de saúde pesquisados em 2026 consideram suas organizações vulneráveis a BEC ou phishing de falsificação. 67% relatam que phishing e BEC impactaram negativamente a qualidade do atendimento ao paciente.
Essas duas estatísticas caminham juntas. Ataques de falsificação não ficam confinados a sistemas financeiros. Quando os invasores comprometem credenciais por meio de um e-mail de phishing, obtêm acesso a sistemas clínicos. Quando o ransomware entra por uma campanha de phishing e criptografa sistemas clínicos, cirurgias agendadas são adiadas, prontos-socorros desviam pacientes e decisões clínicas são tomadas sem acesso a registros completos.
O Caminho da Exposição para a Proteção Real
O caminho de p=none para p=reject na saúde segue as mesmas fases de qualquer outro domínio. As considerações específicas do setor de saúde tornam algumas fases mais demoradas, mas nenhuma das etapas é fundamentalmente diferente.
Estabeleça um inventário de envio. Antes de alterar qualquer política, identifique cada sistema que envia e-mail com o domínio da organização no cabeçalho From:. Isso inclui plataformas de prontuário eletrônico, portais de pacientes, sistemas de laboratório, sistemas de agendamento, plataformas de faturamento e cada canal de comunicação de parceiros comerciais. Os relatórios agregados do DMARC (RUA) mostrarão o tráfego de cada origem de envio com o status de alinhamento SPF e DKIM.
Autentique cada origem. Para sistemas controlados internamente, configure a assinatura DKIM com o domínio da organização. Para fornecedores terceiros, trabalhe com cada um para confirmar que a assinatura DKIM está habilitada e alinhada. Essa fase leva mais tempo na saúde: o número de fornecedores é grande e algumas plataformas legadas não suportam assinatura DKIM, exigindo uma estratégia de subdomínio.
Avance para quarentena e depois para rejeição. Uma vez que os dados RUA mostrem autenticação consistente de todas as origens conhecidas, avance para p=quarantine. Monitore por duas a quatro semanas. Se nenhuma origem legítima inesperada surgir, avance para p=reject. Nesse ponto, e-mails falsificados que afirmam ser do domínio da organização são rejeitados no servidor receptor antes de chegar a qualquer caixa de entrada.
Adicione MTA-STS. Dado que nenhuma organização violada no estudo da Paubox aplicava MTA-STS, incluí-lo na lista de verificação de aplicação é importante junto com o DMARC. O MTA-STS previne uma classe de ataques de intermediário no transporte de e-mail que operam silenciosamente e não aparecem nos relatórios agregados do DMARC.
Os prazos realistas variam de três meses para organizações menores com ambientes mais simples a doze meses para grandes sistemas hospitalares com dezenas de plataformas de comunicação de terceiros. Nenhum prazo é curto. Ambos são mais curtos que a próxima violação.
Pronto para ver cada origem que envia como o domínio da sua organização? O Excello Mail analisa seus relatórios agregados de DMARC, mostra cada origem de envio com o status de alinhamento SPF e DKIM, e fornece a visibilidade que você precisa para passar de p=none para p=reject sem interromper as comunicações com os pacientes. Cadastre-se gratuitamente no Excello Mail e dê o primeiro passo para fechar a lacuna de autenticação do setor de saúde.