Alerta de ataque: nova apunta a Atenção Primária à Saúde Brazil - BR
Introduction
El grupo de ransomware Nova se ha atribuido la responsabilidad de una importante vulneración del sistema de salud público brasileño, atacando Atenção Primária à Saúde Brasil, una infraestructura sanitaria crítica que gestiona los datos médicos de millones de ciudadanos. Este ciberataque, descubierto el 4 de diciembre de 2025, supone una amenaza significativa para la confidencialidad de la información sanitaria y la continuidad de los servicios de atención primaria en Brasil. El incidente, clasificado como XC SIGNAL según nuestro protocolo de análisis, plantea serias preocupaciones sobre la protección de datos médicos sensibles en las infraestructuras públicas latinoamericanas. La organización atacada emplea a más de 10.000 personas y es un pilar fundamental del sistema de salud brasileño.
Esta vulneración ilustra la alarmante tendencia de ciberataques dirigidos a instituciones de salud pública, especialmente vulnerables debido a la naturaleza crítica de sus servicios y al valor de la información médica en el mercado negro. El actor malicioso Nova, conocido por su agresivo modelo operativo, ha demostrado su capacidad para infiltrarse en sistemas gubernamentales complejos. El impacto potencial va mucho más allá de la simple exfiltración de historiales médicos, afectando directamente la confianza de los ciudadanos brasileños en su sistema de salud digital y la capacidad operativa de una infraestructura crítica.
Analyse détaillée
nova: modus operandi, historia y víctimas del grupo de ransomware
nova es un colectivo cibercriminal identificado como una renovación estratégica de la marca RALord, que opera según un modelo de ransomware como servicio (RaaS) particularmente sofisticado. Este cambio de marca, observado recientemente en 2025, forma parte de una tendencia común entre los actores maliciosos que buscan evadir a los equipos de ciberseguridad y revitalizar sus operaciones tras la exposición mediática o las acciones de las fuerzas del orden.
El modelo RaaS adoptado por nova permite al grupo franquiciar su infraestructura técnica a filiales externas, quienes realizan las intrusiones mientras los desarrolladores principales proporcionan el malware, la infraestructura de pago y el soporte técnico. Este enfoque descentralizado complica significativamente la atribución y la respuesta a incidentes, ya que cada ataque puede tener diferentes características tácticas según la filial involucrada. Las ganancias suelen dividirse en proporciones del 70/30 o del 80/20, favoreciendo a los afiliados que asumen riesgos operativos.
Las tácticas, técnicas y procedimientos (TTP) de Nova se basan en el legado de RALord, e incluyen vectores de ataque iniciales mediante phishing dirigido, explotación de vulnerabilidades en servicios expuestos a internet y la vulneración de cuentas privilegiadas mediante robo de credenciales. Una vez establecido el acceso inicial, el grupo implementa herramientas de reconocimiento de red, establece persistencia mediante puertas traseras y exfiltra sistemáticamente activos digitales sensibles antes del cifrado final.
→ El análisis completo del grupo Nova revela que la entidad afectada se une a una creciente cartera de víctimas en sectores críticos, con una marcada predilección por la infraestructura pública y las organizaciones que poseen datos altamente estratégicos. El grupo prefiere una doble táctica de extorsión, combinando el cifrado del sistema con la amenaza de publicar información robada para maximizar la presión sobre las víctimas y aumentar la probabilidad de pago de rescates.
Atención Primaria a la Salud Brasil: Perfil de la Empresa de Salud (más de 10.000 empleados) - BR
Atención Primaria a la Salud Brasil constituye la columna vertebral del sistema brasileño de atención primaria de salud, representando el primer punto de contacto entre los ciudadanos y la red nacional de salud pública. Esta enorme infraestructura gubernamental emplea a más de 10.000 profesionales de la salud, administradores y personal técnico en todo Brasil, brindando servicios médicos esenciales a millones de brasileños diariamente.
La organización opera en el sector salud con una misión crucial de salud pública, gestionando volúmenes considerables de datos médicos sensibles, incluyendo historiales de pacientes, historiales de tratamiento, información farmacéutica y datos epidemiológicos. Esta posición central dentro del ecosistema brasileño de salud le otorga una gran importancia estratégica, no solo para la continuidad de la atención, sino también para la vigilancia epidemiológica nacional y la planificación de políticas de salud pública.
Con sede en Brasil e implementada en los 26 estados y el Distrito Federal, la infraestructura digital de Atención Primaria a la Salud de Brasil interconecta miles de centros de salud, clínicas comunitarias y puestos médicos locales. Esta arquitectura distribuida, si bien es esencial para garantizar el acceso a la atención médica en un país de dimensiones continentales, también multiplica la superficie de ataque potencial y dificulta la implementación consistente de medidas robustas de ciberseguridad.
La vulnerabilidad de una organización de este tipo va mucho más allá de un incidente típico de ciberseguridad, impactando directamente la soberanía sanitaria nacional. La información médica gestionada por esta infraestructura representa un objetivo prioritario para los ciberdelincuentes, tanto por su valor de mercado en foros clandestinos como por su potencial explotación en campañas de fraude de identidad, extorsión o incluso espionaje sanitario. La posible interrupción operativa amenaza el acceso a la atención médica de las poblaciones vulnerables y podría comprometer programas esenciales de salud pública.
Análisis Técnico: Nivel de Exposición
El incidente que afectó a Atención Primaria en Salud Brasil se clasificó como nivel XC SEÑAL según nuestro protocolo de evaluación XC-Classify, lo que indica una alerta temprana que requiere un mayor monitoreo, pero sin confirmación inmediata de una filtración masiva de datos. Este nivel, establecido según los criterios del NIST de confidencialidad, integridad y disponibilidad, sugiere que el atacante se atribuyó la responsabilidad del ataque sin publicar de inmediato pruebas sustanciales ni volúmenes significativos de archivos extraídos.
La naturaleza exacta de los activos digitales potencialmente expuestos continúa siendo objeto de un análisis exhaustivo por parte de nuestros equipos de CTI. En el contexto de una infraestructura de atención primaria de esta magnitud, los datos que podrían haberse visto comprometidos suelen incluir historiales médicos electrónicos que contienen las identidades, diagnósticos, recetas e historiales de tratamiento de millones de pacientes. Esto también podría incluir información administrativa sensible, datos de recursos humanos del personal médico, información financiera relacionada con reembolsos y gestión presupuestaria, así como datos operativos críticos para el funcionamiento diario de los servicios de salud.
El vector de ataque inicial no se ha confirmado públicamente en esta etapa de la investigación. Sin embargo, nuestro análisis de los datos certificados sugiere escenarios probables consistentes con las tácticas y técnicas de nova y las vulnerabilidades observadas comúnmente en las infraestructuras de salud pública brasileñas. Las hipótesis incluyen la explotación de vulnerabilidades sin parchear en sistemas de gestión médica obsoletos, la vulneración de cuentas privilegiadas mediante campañas de phishing dirigidas al personal administrativo o la infiltración a través de servicios de Protocolo de Escritorio Remoto (RDP) con poca seguridad.
El cronograma preciso de la intrusión sigue siendo incierto, como suele ocurrir en incidentes complejos dirigidos a infraestructuras distribuidas. La reclamación pública, fechada el 4 de diciembre de 2025, no suele reflejar el momento del acceso inicial, que a menudo precede a la fase de cifrado y extorsión en varias semanas o incluso meses. Este período de latencia permite a los atacantes establecer una persistencia robusta, mapear el entorno de red, identificar activos de alto valor y exfiltrar datos metódicamente antes de revelar su presencia.
→ El nivel XC SIGNAL se centra especialmente en organizaciones similares del sector salud brasileño, que deberían considerar esta afirmación como una señal de alerta que justifica una revisión inmediata de su estrategia de seguridad y sus capacidades de detección de intrusiones.
Questions Fréquentes
When did the attack by nova on Atenção Primária à Saúde Brazil occur?
The attack occurred on December 4, 2025 and was claimed by nova. The incident can be tracked directly on the dedicated alert page for Atenção Primária à Saúde Brazil.
Who is the victim of nova?
The victim is Atenção Primária à Saúde Brazil and operates in the healthcare sector. The company is located in Brazil. You can search for Atenção Primária à Saúde Brazil's official website. To learn more about the nova threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Atenção Primária à Saúde Brazil?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Atenção Primária à Saúde Brazil has been claimed by nova but has not yet been confirmed by our community. Follow the progress of this alert.