NYC Health + Hospitals ha revelado un ciberataque importante que expuso datos personales, médicos y biométricos sensibles pertenecientes a aproximadamente 1,8 millones de personas. La brecha se considera ahora uno de los mayores incidentes de seguridad sanitaria reportados en 2026.
Según el proveedor público de salud, los atacantes obtuvieron acceso no autorizado a sistemas internos entre noviembre de 2025 y febrero de 2026 antes de que se detectara y conteniera la intrusión. La organización informó que se descubrió actividad sospechosa el 2 de febrero, lo que provocó una investigación interna y medidas de respuesta de emergencia.
Los datos comprometidos incluyen historiales médicos altamente sensibles, información de seguros, detalles de facturación, números de la Seguridad Social, datos de permisos de conducir y registros de identificación emitidos por el gobierno. La brecha también expuso información biométrica, incluyendo escaneos de huellas dactilares y palmas de la mano, lo que genera preocupaciones a largo plazo sobre la privacidad y la seguridad de la identidad.
A diferencia de las contraseñas o tarjetas de pago, los identificadores biométricos no pueden cambiarse una vez comprometidos. Expertos en seguridad advierten que el robo de datos de huellas dactilares y palmas podría crear riesgos permanentes para las personas afectadas si la información se utiliza posteriormente para fraude, suplantación o intentos de evasión de verificación de identidad.
NYC Health + Hospitals declaró que la brecha parece haberse originado a través de un proveedor externo comprometido. El proveedor sanitario no ha identificado públicamente al proveedor implicado, pero ha confirmado que los atacantes pudieron acceder y copiar archivos de los sistemas internos durante la ventana de intrusión.
Los investigadores continúan advirtiendo que las organizaciones sanitarias siguen siendo objetivos de alto valor para los ciberdelincuentes, ya que los historiales médicos contienen una extensa información personal y financiera que puede ser explotada en campañas de phishing, fraude de seguros, robo de identidad y ataques de ingeniería social. Las redes sanitarias también están fuertemente interconectadas con proveedores, contratistas y proveedores externos, aumentando la exposición al riesgo de la cadena de suministro.
La organización indicó que las personas afectadas están siendo notificadas y se les ofrecen servicios de protección de identidad y monitorización de crédito. Las autoridades también informaron del incidente al Departamento de Salud y Servicios Humanos de EE. UU., tal y como exige la normativa federal sobre violaciones sanitarias.
El incidente se suma a las crecientes preocupaciones sobre la ciberseguridad en el sector sanitario, donde los ataques de ransomware, las brechas de terceros y las exposiciones masivas de datos de pacientes siguen aumentando. Los analistas de seguridad han advertido repetidamente que los hospitales y los sistemas públicos de salud siguen siendo vulnerables debido al envejecimiento de la infraestructura, los complejos ecosistemas de proveedores y el alto valor de la información médica en los mercados clandestinos de ciberdelitos.