La violación de NYC Health and Hospitals expone registros médicos, huellas dactilares y datos de geolocalización de 1.8 millones de personas.

      TL;DRNYC Health and Hospitals reveló que los hackers robaron registros médicos, datos personales e información biométrica, incluidos huellas dactilares, de al menos 1.8 millones de personas. La violación, que duró desde noviembre de 2025 hasta febrero de 2026, se originó a través de un proveedor externo comprometido.

      La Salud y Hospitales de la Ciudad de Nueva York, el sistema de salud pública más grande de los Estados Unidos, ha revelado que los hackers robaron datos personales, registros médicos e información biométrica, incluidas huellas dactilares, en una violación que afecta a al menos 1.8 millones de personas. La organización informó la cifra al Departamento de Salud y Servicios Humanos de EE. UU., convirtiendo el incidente en una de las violaciones de datos de salud más grandes de 2026.

      NYCHHC dijo que detectó el ciberataque el 2 de febrero de 2026 y aseguró su red. Los hackers habían estado dentro del sistema desde aproximadamente el 25 de noviembre de 2025, dándoles más de dos meses de acceso antes de la detección. Durante ese período, copiaron archivos que contenían una extraordinaria gama de información sensible: detalles de seguros de salud, registros médicos que incluyen diagnósticos y medicamentos, datos de facturación y pago, números de Seguro Social, números de pasaporte y licencia de conducir, y datos biométricos que incluyen huellas dactilares y huellas de palma.

      El problema biométrico

      El robo de huellas dactilares y huellas de palma es lo que distingue esta violación del constante goteo de incidentes de datos de salud que se han vuelto rutinarios en la medicina estadounidense. Un número de Seguro Social robado puede ser reemplazado. Una contraseña comprometida puede ser cambiada. Una huella dactilar no puede. Una vez que los datos biométricos están en manos de los atacantes, los individuos afectados llevan esa vulnerabilidad de por vida, sin ningún mecanismo para revocación o reemisión.

      NYCHHC no explicó por qué estaba almacenando datos biométricos. La explicación más probable es la incorporación de empleados: el personal potencial generalmente debe presentar huellas dactilares para verificaciones de antecedentes penales. No se ha confirmado si los datos biométricos de los pacientes también fueron comprometidos. Los riesgos de la recopilación de datos biométricos han sido documentados extensamente, desde contextos militares donde bases de datos comprometidas pusieron en peligro a individuos hasta entornos comerciales donde la permanencia de los identificadores biométricos crea una exposición a largo plazo que ningún servicio de monitoreo de crédito puede remediar.

      El aviso de violación también reveló que se tomaron "datos de geolocalización precisos", lo que sugiere que las fotografías de documentos de identidad subidas por los usuarios pueden haber contenido metadatos de ubicación incrustados que muestran exactamente dónde y cuándo se capturaron los documentos.

      Una violación de proveedor externo

      NYCHHC dijo que los hackers obtuvieron acceso a través de una violación en un proveedor externo, que se negó a nombrar. El patrón es familiar y cada vez más dominante en la ciberseguridad de la salud: los atacantes comprometen a un proveedor o prestador de servicios en lugar de atacar directamente a la organización objetivo, explotando las relaciones de confianza y el acceso a la red que se otorgan a los proveedores en el curso de las operaciones normales.

      La mayor violación de datos educativos en la historia siguió el mismo patrón, con atacantes comprometiendo a un proveedor de sistemas de gestión de aprendizaje para alcanzar a millones de estudiantes en miles de instituciones. En la salud, donde los sistemas están interconectados a través de plataformas de facturación, registros de salud electrónicos y redes de seguros, la superficie de ataque de los proveedores es vasta y está mal mapeada. El ataque de ransomware a Change Healthcare en 2024, que expuso la información médica y de facturación de más de 190 millones de estadounidenses, fue el ejemplo más devastador, pero la violación de NYCHHC demuestra que el problema se extiende a los sistemas de salud pública que sirven a las poblaciones más vulnerables.

      Quiénes están afectados

      NYCHHC brinda atención a más de un millón de neoyorquinos cada año, la mayoría de los cuales no tienen seguro o reciben beneficios de salud estatales como Medicaid. La cifra de 1.8 millones reportada a HHS probablemente incluye pacientes actuales y anteriores, empleados e individuos cuyos datos estaban almacenados en los sistemas comprometidos. La organización opera 11 hospitales de atención aguda, cinco instalaciones de enfermería especializada y más de 70 clínicas comunitarias en los cinco distritos de la ciudad.

      La población atendida por NYCHHC es desproporcionadamente de bajos ingresos, inmigrante y médicamente desatendida, grupos que enfrentan mayores barreras para responder al robo de identidad y al fraude. A diferencia de los pacientes de sistemas de salud privados que pueden tener acceso a servicios de protección de identidad a través de sus empleadores, muchos pacientes de NYCHHC dependerán de cualquier monitoreo de crédito y apoyo que la organización ofrezca en el futuro, un estándar que las organizaciones de salud no han cumplido de manera consistente incluso cuando los datos de los pacientes se filtraron a través de sus propios rastreadores de sitios web.

      La crisis de ciberseguridad en la salud

      La violación llega en un contexto de ataques implacables a la infraestructura de salud estadounidense. El informe anual de cibercrimen del FBI de 2025 encontró que la salud seguía siendo un objetivo principal para los operadores de ransomware, criminales motivados financieramente que roban datos mientras encriptan los sistemas de la víctima y luego exigen un pago para evitar su publicación. Los datos médicos robados son particularmente valiosos en los mercados criminales porque pueden ser utilizados para fraude de seguros, robo de identidad, fraude de recetas y campañas de phishing dirigidas que suplantan a proveedores de salud.

      Las violaciones en la salud también son las más costosas de contener. Los datos de la industria muestran que el costo promedio de una violación de datos de salud alcanzó los 7.42 millones de dólares en 2025, el más alto de cualquier sector, con un promedio de 279 días para detectar y contener un incidente. La línea de tiempo de NYCHHC, con hackers dentro de la red durante aproximadamente 70 días antes de la detección, se encuentra dentro de ese rango, pero no es menos alarmante por ello. La creciente adopción de herramientas de ciberseguridad impulsadas por IA se suponía que acortaría las ventanas de detección, pero la violación de NYCHHC sugiere que los sistemas de salud pública, que generalmente operan con presupuestos más ajustados e infraestructura más antigua que sus contrapartes privadas, aún no se han beneficiado de esos avances.

      El sitio web de NYCHHC estuvo brevemente fuera de línea el lunes por la mañana. Un portavoz no respondió a preguntas sobre por qué tomó meses detectar la violación, si la organización recibió una demanda de rescate o qué remediación se está ofreciendo a los individuos afectados. Se informa que el incidente no está relacionado con una violación anterior, más pequeña, en la Asociación Nacional de Problemas de Abuso de Drogas que afectó a más de 5,000 pacientes de NYCHHC a principios de este año. Para las 1.8 millones de personas cuyos datos, incluidos sus identificadores biométricos irremplazables, ahora están en manos de atacantes desconocidos, las preguntas que más importan aún no tienen respuestas.