NYC Health + Hospitals ha confirmado el robo de datos médicos, historiales clínicos y datos biométricos de al menos 1,8 millones de personas en Estados Unidos tras un acceso no detectado a su red que duró 76 días, entre el 25 de noviembre de 2025 y el 2 de febrero de 2026.
La brecha afecta a información especialmente sensible y difícil de reemplazar. Junto a diagnósticos, medicación prescrita o datos de seguros médicos, los atacantes obtuvieron huellas dactilares y palmares, un tipo de dato que no puede cambiarse si queda expuesto y que agrava el impacto para los sistemas de autenticación biométrica de los afectados.
Los atacantes mantuvieron acceso durante 76 días sin ser detectados
El sistema sanitario notificó el incidente al Departamento de Salud y Servicios Humanos de Estados Unidos y publicó el aviso oficial en su web el 24 de marzo de 2026. En ese comunicado indicó que el caso puede guardar relación con un problema de seguridad que afecta a un proveedor externo.
"El incidente puede estar relacionado con un incidente de seguridad que involucra a un proveedor externo" - NYC Health + Hospitals, comunicado oficial
Durante ese periodo, los intrusos accedieron a un volumen amplio de información personal y financiera. La lista incluye números de la Seguridad Social, permisos de conducir, identificativos fiscales, tarjetas de crédito y débito, cuentas bancarias, credenciales de acceso y datos de geolocalización precisa.
Además de la información administrativa, la intrusión alcanzó datos clínicos de alto valor en el mercado criminal. El informe anual del FBI sobre cibercrimen de 2025 sitúa al sector sanitario como el objetivo principal de los ataques de ransomware por la dificultad de desconectar sistemas críticos y por el valor de los historiales médicos.
Las huellas robadas añaden un riesgo permanente para los afectados
La exposición de datos biométricos introduce un problema distinto al de una contraseña o una tarjeta bancaria. Una huella dactilar o palmar no puede sustituirse, de modo que la filtración deja una vulnerabilidad duradera para cualquier sistema que utilice esa forma de identificación.
En paralelo, el aumento de tecnología conectada en hospitales amplía la superficie de exposición. La FDA aprobó más de 900 dispositivos médicos con inteligencia artificial en 2026, un crecimiento que añade nuevos puntos de entrada potenciales en entornos donde la continuidad del servicio resulta crítica.
NYC Health + Hospitals ha puesto en marcha una línea gratuita de atención para los afectados y ha contratado a una firma de ciberseguridad y a otra de análisis de datos para gestionar la crisis. También ha incorporado herramientas adicionales de detección y protección en su infraestructura.
El alcance del caso se conoce dos años después de otro precedente de gran dimensión en Estados Unidos. El ataque contra Change Healthcare en 2024, atribuido al grupo ALPHV BlackCat, comprometió la información de más de 190 millones de estadounidenses y sigue siendo la mayor brecha sanitaria registrada en el país.
La línea de atención habilitada para los afectados funciona en el 844-403-4518, de lunes a viernes entre las 9.00 y las 18.30 hora del Este, y su disponibilidad está garantizada al menos hasta el 23 de junio de 2026.