Decripte — Cibersegurança Enterprise
Saúde · Case de Cibersegurança

Segurança para Telemedicina: protegendo teleconsultas de interceptação e acesso indevido

Áudio, vídeo e dados clínicos trafegando em tempo real, expostos na internet. Mostramos a anatomia de um acesso não autorizado a salas de teleconsulta por links previsíveis — e como a Decripte descobre, contém e blinda esse risco com pentest, SOC 24x7, criptografia ponta a ponta e conformidade.

Resposta direta

Para proteger uma plataforma de telemedicina, trate a sala de teleconsulta como um ativo clínico crítico: substitua links previsíveis por convites de uso único com expiração curta, exija autenticação forte (MFA) de médico e paciente, force criptografia ponta a ponta no transporte de áudio e vídeo (WebRTC com DTLS-SRTP), segregue dados de sessão dos dados clínicos persistidos, monitore tentativas de ingresso em salas com um SOC 24x7 e valide tudo com pentest focado em signaling, geração de tokens e WebRTC. A Decripte cobre esses eixos com Pentest especializado, SOC 24x7, Resposta a Incidentes (contenção em até 1h) e adequação à LGPD e às resoluções do CFM sobre telemedicina.

Comece grátis agora Ver planos pagos

24/7

SOC monitorando salas e signaling

<=1h

SLA de contenção em incidentes

LGPD

Dado de saúde é dado pessoal sensível

CFM

Telemedicina regulada (Res. 2.314/2022)

Em resumo

  • Links de sala previsíveis (IDs sequenciais, tokens curtos ou sem expiração) são o vetor mais subestimado da telemedicina: permitem que um terceiro entre em uma teleconsulta sem nunca atacar a infraestrutura.
  • Dado clínico transmitido em teleconsulta é dado pessoal sensível sob a LGPD; o tratamento exige base legal adequada, minimização e segurança técnica proporcional ao risco.
  • Criptografia de transporte (HTTPS) não basta: a mídia WebRTC precisa de DTLS-SRTP e, em arquiteturas que passam por servidores de mídia, é preciso decidir explicitamente onde a sessão é descriptografada e quem tem acesso.
  • Pentest de telemedicina não é só web app: cobre o canal de signaling, a geração e o ciclo de vida dos tokens de sala, o fluxo WebRTC, os apps móveis e o servidor TURN/SFU.
  • A combinação que sustenta a operação é Pentest (descobre) + Segurança de Borda (protege o perímetro) + SOC 24x7 (detecta) + Resposta a Incidentes (contém em até 1h).
Saúde

Cibersegurança para Telemedicina

Áudio, vídeo e dados clínicos trafegando em tempo real, expostos na internet. Mostramos a anatomia de um acesso não autorizado a salas de teleconsulta por links previsíveis — e como a Decripte descobre, contém e blinda esse risco com pentest, SOC 24x7, criptografia ponta a ponta e conformidade.

Comece grátis agora Ver planos pagos

Por que a telemedicina é um alvo de alto valor e baixa fricção

A telemedicina mudou de canal alternativo para infraestrutura central de atendimento. Uma única plataforma de consulta remota concentra, em tempo real, três classes de informação extremamente sensíveis: o áudio e o vídeo da consulta, os dados de identificação e os dados clínicos discutidos ou registrados durante a sessão. Diferente de um sistema hospitalar tradicional, que vive atrás de firewalls e VPNs, a plataforma de teleconsulta precisa estar exposta na internet pública para que paciente e médico se conectem de qualquer lugar, em qualquer dispositivo. Essa exposição é a função do produto — e é exatamente o que cria a superfície de risco.

Do ponto de vista de um atacante, a telemedicina combina dois atributos que raramente coexistem: alto valor da informação e baixa fricção de acesso. O valor é evidente — dados de saúde são monetizáveis em fraudes, chantagem e venda em mercados ilícitos, além de carregarem peso reputacional e jurídico desproporcional. A baixa fricção vem de decisões de engenharia tomadas para tornar o produto fácil de usar: links de sala curtos e compartilháveis, ingresso sem cadastro para reduzir abandono, e tokens com prazos generosos para não frustrar o paciente que clica atrasado. Cada uma dessas escolhas, isolada, parece razoável. Juntas, podem transformar uma sala de teleconsulta em algo que qualquer pessoa com o link consegue acessar.

O risco que ninguém vê no roadmap

O ataque mais provável contra uma plataforma de teleconsulta não é uma exploração sofisticada de zero-day. É alguém entrando em uma sala porque o identificador era adivinhável, o token não expirava, ou o sistema não verificava se quem entrou era realmente o paciente esperado. Esse vetor não aparece em scanner automatizado de vulnerabilidade — aparece em pentest de lógica de negócio.

O resultado é que muitas plataformas de telemedicina passam por auditorias de infraestrutura limpas — TLS configurado, headers de segurança presentes, dependências atualizadas — e ainda assim carregam um risco crítico de confidencialidade na própria mecânica de criação e acesso às salas. É esse tipo de risco, invisível para ferramentas e visível apenas para um analista que pensa como atacante, que a Decripte foi construída para encontrar antes que vire incidente.

O ponto cego: links de sala previsíveis e a anatomia do acesso indevido

Como um link vira uma porta aberta

Toda teleconsulta acontece dentro de uma sala virtual, e toda sala precisa de um identificador. A pergunta crítica de segurança é: quão difícil é, para alguém que não foi convidado, descobrir ou adivinhar o identificador de uma sala que está acontecendo agora? Quando a resposta é fácil, a plataforma tem um problema de confidencialidade na raiz, independentemente de quão bem o resto esteja configurado.

Os padrões inseguros que encontramos em campo seguem alguns arquétipos. O primeiro é o identificador sequencial ou semi-sequencial: salas numeradas em ordem, ou derivadas do ID do agendamento, do CPF, do número do paciente ou de um timestamp. Se a sala 10482 existe, um atacante testa 10481, 10483, 10484 e descobre o padrão. O segundo é o token curto e de baixa entropia: um código de seis caracteres alfanuméricos pode parecer suficiente, mas se há milhares de consultas simultâneas, o espaço de busca efetivo cai e a adivinhação por força bruta vira viável. O terceiro é o token sem expiração ou com expiração longa: o link de uma consulta de ontem ainda abre a sala hoje, ou a sala continua aberta após o fim da consulta. O quarto, e mais grave, é a ausência de verificação de identidade no ingresso: a sala confia em quem tem o link, sem checar se aquele dispositivo, aquela sessão autenticada ou aquele paciente é o esperado.

Os quatro defeitos que abrem uma sala

  • Identificador previsível: salas derivadas de sequência, agendamento, CPF ou timestamp permitem enumeração.
  • Token de baixa entropia: códigos curtos ficam adivinháveis sob volume de consultas simultâneas.
  • Token sem expiração ou sala que não fecha: o link de ontem ainda funciona; a sala fica viva após a consulta.
  • Ingresso sem verificação de identidade: a sala confia em quem tem o link, não em quem o link deveria pertencer.

Por que isso escapa das defesas tradicionais

Esse vetor é insidioso porque não viola nenhuma regra técnica óbvia. O HTTPS está perfeito. O WebRTC negocia DTLS-SRTP corretamente. O firewall de aplicação não vê nada de errado, porque o acesso à sala é uma requisição legítima com um token válido — apenas com um token que pertencia a outra pessoa. É um problema de lógica de autorização, não de configuração de transporte. Por isso a defesa não é um produto que se compra e liga: é uma combinação de design correto de tokens, autenticação forte no ingresso, expiração agressiva, e monitoramento que detecta o padrão de enumeração (muitas tentativas de ingresso falhas, ou ingressos a partir de origens improváveis) em tempo real.

O princípio que a Decripte aplica

Ter o link de uma sala não pode ser suficiente para entrar nela. O link convida; a autenticação autoriza. Toda sala de teleconsulta deve, no mínimo, exigir que o participante comprove ser quem deveria estar ali — por sessão autenticada com MFA, por código de uso único entregue por canal separado, ou por validação prévia no fluxo de agendamento.

Gestão de Ameaças · Grátis

Os dados de telemedicina já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Criptografia ponta a ponta: o que realmente protege áudio e vídeo

Existe uma confusão comum entre criptografia de transporte e criptografia da mídia da chamada. Quando um paciente acessa a plataforma por HTTPS, o tráfego web está protegido em trânsito — mas isso diz respeito às páginas, às APIs e ao signaling, não necessariamente ao áudio e vídeo da consulta. O fluxo de mídia em tempo real usa WebRTC, e a proteção correta desse fluxo depende de DTLS-SRTP: as chaves são negociadas via DTLS e a mídia em si é cifrada com SRTP. Sem isso explicitamente garantido, há cenários em que pacotes de mídia poderiam ser capturados e reconstruídos.

O ponto mais sutil aparece na arquitetura de mídia. Chamadas ponto a ponto (entre dois participantes) podem manter a mídia cifrada de ponta a ponta de fato. Mas a maioria das plataformas usa um servidor de mídia — um SFU (Selective Forwarding Unit) ou MCU — para escalar, gravar consultas, transcrever ou suportar múltiplos participantes. Nessas arquiteturas, a mídia normalmente é descriptografada no servidor para ser reencaminhada. Isso não é necessariamente errado, mas é uma decisão que precisa ser consciente e protegida: quem tem acesso a esse servidor, em tese, tem acesso ao conteúdo da consulta. A pergunta de segurança correta não é apenas se há criptografia, mas onde a sessão é descriptografada e quem pode tocá-la naquele ponto.

Checklist de criptografia para teleconsulta

  • WebRTC com DTLS-SRTP confirmado e obrigatório para todo o fluxo de mídia, sem fallback inseguro.
  • Decisão explícita e documentada sobre arquitetura de mídia: P2P versus SFU/MCU, e onde a mídia é descriptografada.
  • Servidor de mídia (SFU/MCU) e servidor TURN endurecidos, segregados e com acesso administrativo restrito e auditado.
  • TLS moderno (sem versões obsoletas, sem cifras fracas) em toda a superfície web, API e signaling.
  • Gravações de consulta — quando existirem — cifradas em repouso, com base legal LGPD, retenção definida e acesso auditado.
  • Chaves e segredos fora do código, em cofre gerenciado, com rotação definida.

A Decripte valida cada um desses pontos em pentest e ajuda a estruturar a arquitetura de mídia de forma que a decisão sobre confidencialidade seja deliberada e defensável, e não um efeito colateral de como a biblioteca de WebRTC veio configurada por padrão.

A superfície completa: o que um pentest de telemedicina precisa cobrir

Pentest de plataforma de teleconsulta é mais amplo do que um teste de aplicação web convencional. A natureza tempo-real, multi-dispositivo e multi-protocolo da telemedicina cria superfícies que um escopo genérico não alcança. Um pentest de telemedicina bem feito atravessa toda a cadeia que liga o paciente ao médico.

Escopo de um pentest de telemedicina

  • Geração e ciclo de vida dos tokens de sala: entropia, previsibilidade, expiração, revogação ao fim da consulta.
  • Lógica de autorização de ingresso: a sala verifica identidade, ou confia em quem tem o link?
  • Canal de signaling (WebSocket/HTTP): autenticação, injeção de mensagens, sequestro de sessão de signaling.
  • Fluxo WebRTC: negociação DTLS-SRTP, exposição de IP via ICE/STUN, abuso do servidor TURN como relay.
  • Apps móveis (iOS/Android): armazenamento local de tokens, certificate pinning, exposição de dados em logs e cache.
  • APIs de backend: IDOR sobre prontuário, agendamento e gravações; controle de acesso entre médico, paciente e administrador.
  • Autenticação e sessão: MFA, política de senha, fixação e expiração de sessão, recuperação de conta.
  • Resistência a phishing: superfícies que um atacante imitaria para capturar credenciais de médicos.

O caso especial do servidor TURN

O servidor TURN existe para que a chamada funcione mesmo quando os participantes estão atrás de NATs e firewalls restritivos — ele faz relay da mídia. Mal configurado, vira dois problemas: pode vazar endereços IP internos dos participantes via candidatos ICE, e pode ser abusado por terceiros como relay aberto para tráfego arbitrário, transformando sua infraestrutura em trampolim para outros ataques. É um componente que raramente entra no escopo de auditorias genéricas e quase sempre tem algo a corrigir quando entra no nosso.

IDOR é o vetor silencioso das APIs clínicas

Acesso Direto Inseguro a Objeto (IDOR) acontece quando a API entrega o prontuário, a gravação ou o agendamento de outro paciente apenas porque o ID foi trocado na requisição, sem checar se o solicitante tem direito àquele recurso. Em saúde, um único IDOR pode expor a base inteira de pacientes. É um dos primeiros alvos do nosso pentest de APIs de telemedicina.

Phishing contra médicos: o elo humano que contorna toda a criptografia

A criptografia mais forte não protege contra um médico que digita a senha em uma página falsa. Profissionais de saúde são alvos atraentes: têm acesso a múltiplos prontuários, costumam operar sob pressão de tempo e nem sempre passam por treinamento de segurança regular. Um e-mail que imita a plataforma de telemedicina, um falso aviso de consulta urgente, uma página de login clonada — qualquer um desses pode entregar a credencial de um médico, e com ela o acesso a tudo que aquele profissional alcança.

A mitigação tem três camadas, e as três importam. A primeira é técnica: MFA resistente a phishing reduz drasticamente o valor de uma credencial roubada, porque a senha sozinha deixa de bastar. A segunda é de monitoramento: o SOC 24x7 detecta o login anômalo — horário improvável, geolocalização incompatível, dispositivo novo, padrão de acesso atípico — e dispara antes que o invasor circule. A terceira é de inteligência de borda: monitorar o registro de domínios parecidos com o da plataforma (typosquatting) e páginas de phishing que imitam a marca, derrubando-as antes que sejam usadas contra os profissionais.

Defesa em profundidade contra phishing

MFA tira o valor da senha roubada. O SOC 24x7 detecta o uso anômalo da credencial comprometida. A inteligência de borda derruba o domínio falso antes do disparo. Nenhuma das três sozinha resolve; as três juntas tornam a campanha de phishing cara e barulhenta — exatamente o que afasta o atacante.

A Decripte trata phishing contra a equipe clínica como parte integrante da postura de segurança da plataforma, não como um problema separado de RH. O plano gratuito de Gestão de Ameaças em decripte.io/free já dá visibilidade inicial sobre exposições e impersonação de marca associadas ao domínio da plataforma.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em telemedicina? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Conformidade: LGPD, ANPD e as regras do CFM para telemedicina

Dado de saúde é, pela LGPD, dado pessoal sensível. Isso eleva o nível de exigência sobre todo o ciclo de tratamento: a base legal precisa ser adequada à finalidade (tutela da saúde por profissional, consentimento quando aplicável, ou outra base prevista em lei), a coleta deve ser minimizada ao necessário, e as medidas de segurança técnicas e administrativas precisam ser proporcionais ao risco. Uma teleconsulta gera vários tipos de dado simultaneamente — identificação, conteúdo clínico, metadados de sessão, eventuais gravações — e cada um exige uma decisão consciente de base legal, finalidade e retenção.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a LGPD prevê comunicação à ANPD e aos titulares afetados em prazo razoável. Para uma plataforma de telemedicina, isso significa que a capacidade de detectar, dimensionar e documentar um incidente rapidamente não é só boa prática de segurança — é um requisito regulatório com consequências de prazo. Um incidente bem instrumentado, com timeline clara e escopo delimitado, é a diferença entre uma notificação controlada e uma crise.

Camadas regulatórias que a telemedicina precisa atender

  • LGPD: dado de saúde é dado pessoal sensível; base legal adequada, minimização, segurança proporcional ao risco.
  • ANPD: dever de comunicar incidentes com risco relevante aos titulares e à autoridade em prazo razoável.
  • CFM (Resolução 2.314/2022): regula a prática da telemedicina, incluem-se requisitos de sigilo, registro e segurança das informações.
  • Sigilo médico: a confidencialidade da relação médico-paciente é dever profissional e jurídico, reforçado no ambiente digital.
  • ISO 27001 e SOC 2: frameworks que estruturam e comprovam a governança de segurança para clientes e parceiros institucionais.

A prática da telemedicina no Brasil é regulada pelo Conselho Federal de Medicina, com a Resolução CFM nº 2.314/2022 como marco vigente. Ela trata, entre outros pontos, do dever de sigilo, da segurança e da integridade das informações na consulta remota. A conformidade técnica que a Decripte estrutura — criptografia, controle de acesso, auditoria, retenção — é precisamente o que sustenta o cumprimento desses deveres. Segurança e conformidade, em telemedicina, são duas faces do mesmo trabalho.

Conformidade no papel não é conformidade na prática

Ter uma política de privacidade e um termo de consentimento não significa que a plataforma esteja segura. A ANPD avalia a adequação das medidas técnicas reais. Uma sala acessível por link previsível é uma falha de segurança que se traduz, juridicamente, em tratamento inseguro de dado sensível — com a plataforma como controladora responsável.

Como a Decripte estrutura a defesa em camadas da plataforma

Nenhuma camada isolada protege uma plataforma de teleconsulta. A defesa eficaz é em profundidade: cada camada assume que a anterior pode falhar e limita o dano. A Decripte organiza essa defesa em torno do fluxo real de uma consulta — do momento em que o paciente clica no link até o encerramento e a guarda dos dados.

As camadas que sustentam uma teleconsulta segura

  • Identidade: MFA para médicos e verificação forte do paciente antes do ingresso na sala.
  • Sala: tokens de alta entropia, uso único, expiração curta e revogação automática ao fim da consulta.
  • Mídia: WebRTC com DTLS-SRTP obrigatório e decisão consciente sobre onde a mídia é descriptografada.
  • Borda: WAF e proteção DDoS protegendo signaling, APIs e endpoints públicos; mitigação de bots e enumeração.
  • Dados: segregação entre dados de sessão e prontuário, cifragem em repouso, retenção e auditoria de acesso.
  • Detecção: SOC 24x7 correlacionando tentativas de ingresso, logins anômalos e padrões de enumeração.
  • Resposta: plano de Resposta a Incidentes com contenção em até 1 hora e suporte à notificação regulatória.
  • Validação: pentest recorrente cobrindo tokens, signaling, WebRTC, APIs e apps móveis.

O fio que costura tudo é a telemetria. De nada adianta cada camada existir se ninguém observa o conjunto em tempo real. O SOC 24x7 da Decripte consome os sinais de cada camada — falhas de ingresso, logins improváveis, picos de tráfego no signaling, abuso do TURN — e os correlaciona para distinguir o ruído normal de um ataque em curso. É essa visão integrada que permite conter um incidente em até uma hora, antes que uma sala comprometida vire um vazamento de base.

Cenário ilustrativo: acesso não autorizado a salas por links previsíveis

Cenário ilustrativo

Cenário ilustrativo, não baseado em cliente real. Uma plataforma de telemedicina de porte médio operava centenas de teleconsultas por dia. As salas eram criadas com identificadores derivados do número sequencial do agendamento, e o link de acesso permanecia válido por 24 horas sem verificação de identidade no ingresso — bastava ter o link para entrar. A equipe de produto considerava isso uma conveniência: o paciente que perdia o horário ainda conseguia entrar. A criptografia de transporte estava correta e auditorias anteriores de infraestrutura haviam passado sem apontar o problema, porque o defeito estava na lógica de autorização, não na configuração técnica.

  1. Descoberta (Pentest)

    Durante um pentest contratado, a Decripte mapeou que os identificadores de sala eram previsíveis a partir do número de agendamento e que o ingresso não validava identidade. Em ambiente controlado e autorizado, a equipe demonstrou que era possível enumerar salas ativas e ingressar em uma teleconsulta de teste sem ter sido convidada — sem tocar na infraestrutura, apenas explorando a lógica do link. O achado foi classificado como crítico de confidencialidade.

  2. Detecção e alerta (SOC 24x7)

    Com a hipótese confirmada, o SOC instrumentou a telemetria de ingresso e imediatamente identificou, no tráfego real, padrões compatíveis com enumeração: múltiplas tentativas de ingresso em salas sequenciais a partir de origens atípicas. O que antes era invisível passou a gerar alerta em tempo real, evidenciando que o vetor não era apenas teórico.

  3. Contenção (<=1h)

    Acionado o plano de Resposta a Incidentes, a contenção ocorreu dentro do SLA de até uma hora: encurtamento agressivo da validade dos tokens, invalidação dos links ativos não verificados, bloqueio das origens que executavam enumeração e ativação de mitigação na borda para barrar a varredura de identificadores.

  4. Erradicação

    A raiz foi corrigida: os identificadores sequenciais foram substituídos por tokens de alta entropia, de uso único e com expiração curta, revogados automaticamente ao fim da consulta. O ingresso passou a exigir verificação de identidade — sessão autenticada do paciente e MFA obrigatório para os médicos. A sala deixou de confiar em quem tem o link e passou a autorizar quem prova ser o participante esperado.

  5. Recuperação

    A plataforma voltou à operação plena com a nova mecânica de salas. O fluxo de mídia foi revalidado para garantir DTLS-SRTP obrigatório, e a arquitetura do servidor de mídia foi revista para tornar explícito e restrito o ponto onde a sessão é descriptografada. As gravações passaram a ser cifradas em repouso, com retenção e acesso auditados.

  6. Monitoramento contínuo

    O SOC 24x7 assumiu a vigilância permanente: detecção de tentativas de enumeração, de logins anômalos de médicos e de abuso do servidor TURN, com correlação entre as camadas. A inteligência de borda passou a monitorar domínios e páginas que imitassem a marca para antecipar phishing contra a equipe clínica.

  7. Lições aprendidas

    O incidente demonstrou que a maior ameaça à confidencialidade não estava na criptografia, mas na lógica de acesso à sala — exatamente o tipo de falha que scanner automatizado não enxerga e que só um pentest com mentalidade de atacante revela. Conveniência de produto e segurança de acesso precisam ser negociadas de forma deliberada, com pentest recorrente como guarda permanente.

Desfecho com a Decripte

Em um único ciclo, a Decripte transformou um risco crítico e silencioso de confidencialidade em uma postura defensável: links previsíveis substituídos por tokens não adivináveis de uso único, MFA para médicos, verificação de identidade no ingresso, mídia confirmadamente cifrada e SOC 24x7 vigiando o padrão de abuso. A plataforma passou a ter não só a correção, mas a capacidade de detectar e conter o próximo incidente em até uma hora — e a documentação necessária para sustentar a conformidade com a LGPD e as resoluções do CFM. Por ser um cenário ilustrativo, ele resume o método que a Decripte aplica de forma adaptada a cada plataforma real.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar telemedicina hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Como a Decripte responde a um incidente em telemedicina

Quando uma plataforma de teleconsulta sofre um incidente de confidencialidade — acesso indevido a salas, suspeita de interceptação ou comprometimento de credenciais médicas — cada minuto pesa em risco clínico, jurídico e regulatório. A Decripte segue uma sequência estruturada, com contenção em até uma hora.

  1. Acionamento e triagem imediata: o time de Resposta a Incidentes assume o caso, classifica a gravidade e dimensiona o escopo provável (quantas salas, quais dados, quais titulares potencialmente afetados).
  2. Contenção em até 1 hora: invalidação dos tokens e links ativos suspeitos, bloqueio das origens maliciosas, encurtamento de validade das sessões e ativação de mitigação na borda para barrar enumeração e abuso.
  3. Preservação forense: coleta e preservação de logs de ingresso, signaling e autenticação para reconstruir a timeline do incidente e sustentar a investigação sem destruir evidências.
  4. Erradicação da causa raiz: correção do defeito que permitiu o acesso — tokens previsíveis, ausência de verificação de identidade, expiração frouxa ou credencial comprometida — e não apenas dos sintomas.
  5. Recuperação segura: retorno à operação com a mecânica de salas corrigida, MFA reforçado, mídia revalidada e monitoramento intensificado durante o período de maior risco pós-incidente.
  6. Suporte à notificação regulatória: apoio na avaliação de risco aos titulares e na documentação para eventual comunicação à ANPD e aos pacientes, conforme a LGPD, dentro do prazo adequado.
  7. Monitoramento reforçado pós-incidente: o SOC 24x7 eleva a sensibilidade dos alertas sobre o vetor explorado e padrões correlatos para detectar tentativas de reincidência.
  8. Relatório e lições aprendidas: entrega de relatório executivo e técnico com timeline, causa raiz, ações tomadas e recomendações para fechar a janela de risco de forma permanente.

Como a Decripte estrutura a segurança de uma plataforma de telemedicina

Responder a incidentes é necessário, mas o objetivo é que eles não aconteçam. A Decripte estrutura a segurança da telemedicina em pilares que se reforçam mutuamente, do código ao monitoramento contínuo.

Validação ofensiva contínua (Pentest)

Pentest especializado em telemedicina cobre a geração e o ciclo de vida dos tokens de sala, a lógica de autorização de ingresso, o canal de signaling, o fluxo WebRTC, o servidor TURN, as APIs e os apps móveis. Encontramos a falha de lógica que o scanner não vê, antes que o atacante a encontre.

Acesso forte e salas blindadas

Tokens de alta entropia, de uso único e com expiração curta, revogados ao fim da consulta; MFA para médicos e verificação de identidade do paciente no ingresso. A sala autoriza quem prova ser o participante, não quem apenas tem o link.

Criptografia e arquitetura de mídia

WebRTC com DTLS-SRTP obrigatório, decisão explícita e protegida sobre onde a mídia é descriptografada em arquiteturas com SFU/MCU, endurecimento do TURN e cifragem em repouso de gravações com retenção e auditoria definidas.

Segurança de Borda

WAF e proteção DDoS sobre signaling, APIs e endpoints públicos, com mitigação de bots e de enumeração de identificadores de sala, mantendo a plataforma disponível e filtrando o tráfego malicioso antes que ele alcance a aplicação.

Detecção e resposta (SOC 24x7)

Monitoramento ininterrupto correlacionando tentativas de ingresso, logins anômalos de médicos, picos no signaling e abuso do TURN, com plano de Resposta a Incidentes capaz de conter em até uma hora.

Conformidade por design

Adequação à LGPD para dado de saúde sensível, suporte ao dever de notificação à ANPD e alinhamento com as resoluções do CFM sobre telemedicina, estruturados com frameworks como ISO 27001 e SOC 2 para comprovar governança a parceiros institucionais.

Planos recomendados para Telemedicina

Pentest

Descobre o vetor mais perigoso da telemedicina — salas acessíveis por links previsíveis e ingresso sem verificação de identidade — além de validar tokens, signaling, WebRTC, TURN, APIs e apps móveis. É a camada que enxerga a falha de lógica que nenhum scanner automatizado encontra.

Ver plano →

SOC 24x7

Teleconsultas acontecem a qualquer hora; um acesso indevido a uma sala precisa ser detectado em tempo real, não no dia seguinte. O SOC correlaciona enumeração de salas, logins anômalos de médicos e abuso de infraestrutura de mídia, vigiando 24 horas por dia.

Ver plano →

Segurança de Borda

WAF e proteção DDoS blindam o signaling, as APIs e os endpoints públicos contra enumeração, bots e indisponibilidade, mantendo a plataforma de teleconsulta acessível para pacientes legítimos e fechada para varreduras maliciosas.

Ver plano →

Conformidade

Dado clínico é dado pessoal sensível sob a LGPD e a telemedicina é regulada pelo CFM; a adequação estrutura base legal, segurança proporcional ao risco e prontidão para a notificação à ANPD, traduzindo a segurança técnica em conformidade defensável.

Ver plano →

Perguntas frequentes

Links de teleconsulta podem ser interceptados ou adivinhados por terceiros?

Sim, quando o identificador da sala é previsível (sequencial, derivado do agendamento ou do CPF), o token é curto ou não expira, e o ingresso não verifica identidade. Nesses casos, alguém pode enumerar salas e entrar em uma consulta sem ter sido convidado. A correção é usar tokens de alta entropia, de uso único, com expiração curta, e exigir autenticação no ingresso. A Decripte identifica exatamente esse risco em pentest.

A criptografia HTTPS já protege o áudio e o vídeo da consulta?

Não totalmente. O HTTPS protege as páginas, APIs e o signaling. O áudio e o vídeo trafegam por WebRTC e precisam de DTLS-SRTP para estarem cifrados. Além disso, se a plataforma usa um servidor de mídia (SFU/MCU) para gravar ou escalar, é preciso decidir conscientemente onde a mídia é descriptografada e quem tem acesso a esse ponto.

Telemedicina precisa cumprir a LGPD mesmo sendo área da saúde?

Precisa, e com rigor maior. Dado de saúde é dado pessoal sensível pela LGPD, o que exige base legal adequada, minimização da coleta, segurança proporcional ao risco e, em caso de incidente relevante, comunicação à ANPD e aos titulares. A prática também é regulada pelo CFM, com a Resolução 2.314/2022 como marco vigente.

Como proteger os médicos de phishing que rouba acesso à plataforma?

Com três camadas: MFA resistente a phishing, que tira o valor da senha roubada; SOC 24x7, que detecta o login anômalo da credencial comprometida; e inteligência de borda, que monitora e derruba domínios e páginas falsas que imitam a marca antes que sejam usados contra a equipe clínica.

O que um pentest de telemedicina avalia além da aplicação web?

Cobre a geração e o ciclo de vida dos tokens de sala, a lógica de autorização de ingresso, o canal de signaling, o fluxo WebRTC, o servidor TURN (que pode vazar IPs ou ser abusado como relay), os apps móveis (armazenamento de tokens, pinning) e as APIs de backend, onde falhas como IDOR podem expor prontuários inteiros.

Quanto tempo a Decripte leva para conter um incidente em uma plataforma de teleconsulta?

A Resposta a Incidentes da Decripte trabalha com SLA de contenção de até uma hora. Na prática, isso significa invalidar tokens e links suspeitos, bloquear origens maliciosas e ativar mitigação na borda rapidamente, enquanto se preserva a evidência forense para a investigação e o suporte à notificação regulatória.

Posso avaliar o risco da minha plataforma antes de contratar?

Sim. O plano gratuito de Gestão de Ameaças da Decripte, em decripte.io/free, dá uma visão inicial das exposições e da impersonação de marca associada ao seu domínio. Para um pentest completo e estruturação da segurança, é possível contratar em decripte.io/start ou falar com a equipe em decripte.io/contato.

Gravações de teleconsulta exigem cuidado especial de segurança?

Sim. Gravações concentram conteúdo clínico sensível e precisam de base legal específica sob a LGPD, cifragem em repouso, política de retenção definida, controle de acesso restrito e auditoria de quem acessa. Guardar gravações sem essas medidas amplia muito o impacto de um eventual vazamento.

Termos do setor

WebRTC / DTLS-SRTP
WebRTC é a tecnologia que permite áudio e vídeo em tempo real direto no navegador. DTLS-SRTP é o mecanismo que negocia chaves (DTLS) e cifra a mídia (SRTP), garantindo que o conteúdo da teleconsulta trafegue protegido, e não em claro.
Servidor TURN
Servidor que faz relay da mídia quando os participantes estão atrás de NATs ou firewalls restritivos, permitindo a chamada funcionar. Mal configurado, pode vazar endereços IP internos ou ser abusado por terceiros como relay aberto para tráfego arbitrário.
SFU / MCU
Servidores de mídia que recebem e reencaminham os fluxos de áudio e vídeo para escalar chamadas, gravar ou suportar múltiplos participantes. Nessas arquiteturas a mídia costuma ser descriptografada no servidor, o que exige decisão consciente sobre quem tem acesso a esse ponto.
IDOR (Insecure Direct Object Reference)
Falha em que a aplicação entrega um recurso de outro usuário — prontuário, gravação, agendamento — apenas porque o identificador foi trocado na requisição, sem verificar autorização. Em saúde, um único IDOR pode expor a base inteira de pacientes.
Dado pessoal sensível (LGPD)
Categoria da LGPD que inclui dados de saúde. Recebe proteção reforçada: base legal específica, minimização da coleta e segurança proporcional ao risco. Tratá-lo de forma insegura configura violação com responsabilidade do controlador da plataforma.
Resolução CFM 2.314/2022
Marco vigente do Conselho Federal de Medicina que regulamenta a prática da telemedicina no Brasil, abordando, entre outros pontos, o dever de sigilo e a segurança e integridade das informações na consulta remota.

A Decripte protege e responde a incidentes no setor de telemedicina.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.

Comece grátis agora Ver planos pagos