Por Canuto  

El mayor sistema de salud pública de Estados Unidos confirmó una brecha que expuso datos personales, médicos y biométricos de al menos 1,8 millones de personas, en un incidente que reabre las alarmas sobre la fragilidad cibernética del sector sanitario.
***

  • NYC Health and Hospitals informó que hackers accedieron a su red entre noviembre de 2025 y febrero de 2026.
  • La información robada incluye historiales médicos, datos de seguros, documentos oficiales y huellas dactilares.
  • La organización atribuyó la intrusión a una brecha en un proveedor externo no identificado.

 

NYC Health and Hospitals, el sistema de salud pública más grande de Estados Unidos, informó que una brecha de datos de varios meses permitió el robo de información altamente sensible de al menos 1,8 millones de personas. El incidente incluyó datos personales, historiales médicos y escaneos de huellas dactilares, una combinación especialmente delicada por la naturaleza permanente de la información biométrica.

La revelación coloca al caso entre las mayores brechas de datos sanitarios registradas en lo que va de 2026. En momentos en que hospitales, aseguradoras y proveedores médicos siguen bajo presión por ataques de ransomware y robo de información, el episodio vuelve a mostrar por qué el sector salud se ha convertido en uno de los blancos más rentables para ciberdelincuentes.

De acuerdo con TechCrunch, la organización detectó el ciberataque el 2 de febrero y luego aseguró su red. Sin embargo, los atacantes ya habían tenido acceso desde noviembre de 2025 hasta febrero de 2026, tiempo durante el cual copiaron archivos de sus sistemas.

NYC Health and Hospitals, también identificado como NYCHHC, atiende a más de un millón de neoyorquinos. Una parte importante de esa población no cuenta con seguro médico o depende de beneficios estatales como Medicaid, lo que agrava la dimensión social del incidente.

Qué datos fueron comprometidos

La entidad explicó en un aviso publicado en su sitio web que los datos expuestos varían según cada persona afectada. Entre los registros comprometidos figuran información del plan y de la póliza de seguro médico, así como datos clínicos relacionados con diagnósticos, medicamentos, pruebas médicas e imágenes.

La brecha también alcanzó información de facturación, reclamaciones y pagos. Ese tipo de datos suele ser especialmente valioso para redes criminales, no solo por su utilidad para fraude financiero, sino también por su potencial para extorsión, suplantación de identidad o venta en mercados ilegales.

Además, fueron comprometidos otros documentos de identidad emitidos por el gobierno, incluyendo números de Seguro Social, pasaportes y licencias de conducir. La exposición simultánea de registros sanitarios y documentos oficiales eleva el riesgo para las personas afectadas, ya que combina múltiples vectores de abuso de datos en un solo incidente.

Otro punto sensible del aviso es la mención a “datos precisos de geolocalización”. Eso sugiere que algunas fotos cargadas por los usuarios de sus documentos de identidad podrían haber conservado metadatos con la ubicación exacta donde fueron capturadas.

La dimensión biométrica del ataque destaca de forma particular. NYCHHC indicó que los hackers también sustrajeron huellas dactilares y huellas de la palma de la mano, información que las personas no pueden cambiar como sí ocurriría con una contraseña o incluso con un número de tarjeta.

La biometría convierte la brecha en un caso más delicado

Cuando una filtración afecta credenciales tradicionales, las víctimas pueden reemplazarlas. Con la biometría, el daño potencial es más duradero, ya que esos identificadores físicos acompañan a una persona durante toda su vida. Por eso, el robo de huellas dactilares suele considerarse una categoría de alto riesgo en ciberseguridad.

NYC Health and Hospitals no ofreció una explicación sobre por qué almacenaba datos biométricos en sus sistemas. Según la información citada por la fuente, los aspirantes a empleo en la organización generalmente deben registrar sus huellas para verificaciones de antecedentes penales.

Hasta el momento, no está claro si también se tomaron datos biométricos de pacientes. Esa incertidumbre añade una capa adicional de preocupación, dado que la exposición podría extenderse más allá del personal o de quienes aspiraban a trabajar dentro del sistema hospitalario.

La falta de detalles técnicos también deja preguntas abiertas sobre el volumen real de información biométrica sustraída, el método de extracción y si esos registros estaban cifrados o protegidos con controles reforzados. Ninguno de esos puntos fue aclarado en el aviso público citado.

Un ataque atribuido a un proveedor externo

La organización dijo que los atacantes entraron a la red a causa de una brecha en un proveedor externo, cuya identidad no fue revelada. Ese punto es clave porque confirma un patrón cada vez más frecuente en ciberseguridad: los atacantes no siempre apuntan primero al objetivo principal, sino a socios, contratistas o plataformas conectadas.

Las intrusiones a través de terceros han ganado peso en los últimos años porque permiten aprovechar una cadena de confianza ya establecida. Si un proveedor tiene accesos, integraciones o intercambio automatizado de archivos, una falla en ese eslabón puede abrir la puerta a sistemas mucho más grandes y sensibles.

En este caso, la exposición se prolongó por varios meses antes de ser detectada. TechCrunch indicó que preguntó, entre otras cosas, por qué a la organización le tomó tanto tiempo descubrir la intrusión y si había recibido alguna comunicación de los hackers, incluida una posible exigencia de pago.

Al momento del reporte, un portavoz de NYCHHC no respondió de inmediato a esas preguntas. Tampoco estaba claro si la institución podía recibir correos electrónicos, ya que su sitio web estuvo brevemente fuera de línea el lunes por la mañana.

El sector salud sigue bajo asedio

Los sistemas sanitarios se han convertido en un objetivo recurrente para grupos criminales con motivación financiera. A diferencia de otros sectores, los hospitales y redes de atención médica administran enormes bases de datos que combinan identidad personal, información financiera y registros clínicos de gran sensibilidad.

Ese valor explica por qué el ransomware ha golpeado repetidamente a la industria. En estos ataques, los criminales no solo intentan bloquear sistemas o interrumpir operaciones, sino también copiar datos para presionar a las víctimas con la amenaza de publicarlos si no pagan.

El informe anual más reciente del FBI sobre ciberdelincuencia, correspondiente a 2025, mantuvo al sector salud entre los blancos principales de los atacantes de ransomware. Para organizaciones médicas y hospitalarias, el dilema suele ser especialmente agudo porque una interrupción tecnológica puede afectar atención crítica, procesos administrativos y protección de datos al mismo tiempo.

El caso de NYCHHC se suma a una cadena de incidentes que ya venía tensionando al ecosistema sanitario estadounidense. A comienzos de este año, la National Association on Drug Abuse Problems, o NADAP, sufrió una brecha distinta en la que fue robada información de más de 5.000 pacientes de NYCHHC.

Según lo reportado, ambos incidentes no parecen estar relacionados. Aun así, la repetición de eventos que terminan afectando a la misma red pública de salud deja en evidencia el nivel de exposición que enfrentan instituciones con gran escala operativa y múltiples conexiones tecnológicas externas.

Otro antecedente de gran magnitud fue el ataque de ransomware contra Change Healthcare, propiedad de UnitedHealth. Ese episodio permitió a hackers vinculados a Rusia robar información médica y de facturación de más de 190 millones de estadounidenses, en lo que se considera el mayor robo de datos médicos en la historia del país.

Impacto y preguntas que siguen abiertas

La magnitud de esta brecha no solo se mide por el número de personas afectadas. También importa la combinación de datos comprometidos: historial médico, documentos oficiales, información financiera, geolocalización y biometría. Esa mezcla puede facilitar desde fraude de identidad hasta campañas de extorsión más dirigidas.

Para los afectados, el problema es aún más complejo cuando hay registros médicos involucrados. A diferencia de una simple filtración comercial, la exposición de diagnósticos, medicamentos o estudios puede impactar la privacidad personal de forma profunda y sostenida.

También quedan pendientes respuestas sobre la estrategia de contención y notificación. La organización dijo haber asegurado la red tras detectar el incidente el 2 de febrero, pero no detalló cómo ocurrió la intrusión, qué controles fallaron ni cuántos sistemas específicos fueron tocados por los atacantes.

En el corto plazo, el caso probablemente reavive el debate sobre estándares mínimos de seguridad en infraestructura sanitaria y sobre la gestión de riesgo de proveedores externos. En un entorno donde la digitalización médica avanza con rapidez, cada eslabón débil de la cadena puede terminar comprometiendo millones de registros críticos.

Por ahora, la confirmación de al menos 1,8 millones de personas afectadas convierte a este incidente en una de las brechas sanitarias más serias del año en Estados Unidos. También funciona como recordatorio de que, en ciberseguridad, la información más valiosa no siempre está en bancos o exchanges, sino en bases de datos médicas que concentran la identidad completa de una persona.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados