NYC Health + Hospitals ha confirmat el robatori de dades mèdiques, historials clínics i dades biomètriques d'almenys 1,8 milions de persones als Estats Units després d'un accés no detectat a la seva xarxa que va durar 76 dies, entre el 25 de novembre de 2025 i el 2 de febrer de 2026.
La bretxa afecta informació especialment sensible i difícil de reemplaçar. Juntament amb diagnòstics, medicació prescrita o dades d'assegurances mèdiques, els atacants van obtenir empremtes dactilars i palmars, un tipus de dada que no pot canviar-se si queda exposat i que agreuja l'impacte per als sistemes d'autenticació biomètrica dels afectats.
Els atacants van mantenir accés durant 76 dies sense ser detectats
El sistema sanitari va notificar l'incident al Departament de Salut i Serveis Humans dels Estats Units i va publicar l'avís oficial al seu web el 24 de març de 2026. En aquell comunicat va indicar que el cas pot guardar relació amb un problema de seguretat que afecta un proveïdor extern.
"L'incident pot estar relacionat amb un incident de seguretat que involucra un proveïdor extern" - NYC Health + Hospitals, comunicat oficial
Durant aquell període, els intrusos van accedir a un volum ampli d'informació personal i financera. La llista inclou números de la Seguretat Social, permisos de conduir, identificatius fiscals, targetes de crèdit i dèbit, comptes bancaris, credencials d'accés i dades de geolocalització precisa.
A més de la informació administrativa, la intrusió va assolir dades clíniques d'alt valor al mercat criminal. L'informe anual de l'FBI sobre ciberdelinqüència de 2025 situa el sector sanitari com l'objectiu principal dels atacs de ransomware per la dificultat de desconnectar sistemes crítics i pel valor dels historials mèdics.
Les empremtes robades afegeixen un risc permanent per als afectats
L'exposició de dades biomètriques introdueix un problema diferent al d'una contrasenya o una targeta bancària. Una empremta dactilar o palmar no pot substituir-se, de manera que la filtració deixa una vulnerabilitat duradora per a qualsevol sistema que utilitzi aquesta forma d'identificació.
En paral·lel, l'augment de tecnologia connectada en hospitals amplia la superfície d'exposició. La FDA va aprovar més de 900 dispositius mèdics amb intel·ligència artificial el 2026, un creixement que afegeix nous punts d'entrada potencials en entorns on la continuïtat del servei resulta crítica.
NYC Health + Hospitals ha posat en marxa una línia gratuïta d'atenció per als afectats i ha contractat una firma de ciberseguretat i una altra d'anàlisi de dades per gestionar la crisi. També ha incorporat eines addicionals de detecció i protecció a la seva infraestructura.
L'abast del cas es coneix dos anys després d'un altre precedent de gran dimensió als Estats Units. L'atac contra Change Healthcare el 2024, atribuït al grup ALPHV BlackCat, va comprometre la informació de més de 190 milions de nord-americans i continua sent la major bretxa sanitària registrada al país.
La línia d'atenció habilitada per als afectats funciona al 844-403-4518, de dilluns a divendres entre les 9.00 i les 18.30 hora de l'Est, i la seva disponibilitat està garantida almenys fins al 23 de juny de 2026.