Hackers robaron datos médicos y huellas dactilares de 1.8 millones en Nueva York

El sistema de salud pública de Nueva York, NYC Health and Hospitals, comunicó que un ciberataque que permitió a los hackers robar datos personales, registros médicos y escaneos de huellas dactilares afecta a al menos 1.8 millones de personas. Este incidente se considera uno de los mayores robos de datos en el ámbito de la salud registrado hasta la fecha.

NYCHHC es el sistema de salud pública más grande de Estados Unidos, brindando atención a más de un millón de neoyorquinos, muchos de los cuales son no asegurados o reciben beneficios de salud estatales como Medicaid.

La organización reportó el incidente al Departamento de Salud y Servicios Humanos de EE. UU., lo que lo convierte en uno de los mayores robos de datos relacionados con la salud del año. En los últimos años, las organizaciones de salud han sido blanco de cibercriminales motivados por el lucro, quienes buscan robar vastos bancos de información personal, médica y de facturación de pacientes.

En un aviso sobre la violación de datos en su sitio web, NYCHHC mencionó que detectó el ciberataque el 2 de febrero y aseguró su red. Los hackers tuvieron acceso a su red desde noviembre de 2025 hasta febrero de 2026, durante el cual copiaron archivos de sus sistemas.

La organización indicó que los hackers ingresaron debido a una violación en un proveedor externo, cuya identidad no fue revelada.

La información expuesta varía según el individuo e incluye datos sobre el plan y la póliza de seguro de salud, información médica (diagnósticos, medicamentos, pruebas e imágenes), así como datos de facturación, reclamos y pagos. También se comprometieron otros documentos de identidad emitidos por el gobierno, como números de seguro social, pasaportes y licencias de conducir.

El aviso sobre la violación también menciona que se sustrajeron "datos de geolocalización precisos", lo que sugiere que las fotos de los documentos de identidad subidos por los usuarios pueden haber contenido la ubicación exacta donde se capturó el documento.

Este incidente es particularmente sensible debido a que los hackers robaron información biométrica, incluidas huellas dactilares y palm prints, que los individuos afectados tendrán de por vida y no podrán reemplazar. NYCHHC no proporcionó una explicación sobre el almacenamiento de datos biométricos. Generalmente, se requiere que los futuros empleados de NYCHHC inscriban sus huellas dactilares para chequear antecedentes penales. No se sabe aún si también se tomaron los biométricos de los pacientes.

El sitio web de NYCHHC estuvo brevemente fuera de servicio desde la mañana del lunes. Un portavoz de NYCHHC no respondió de inmediato a un correo electrónico de TechCrunch con preguntas sobre el ciberataque, entre las que se incluía por qué la organización tardó meses en detectar la violación y si había recibido alguna comunicación de los hackers, como una demanda de pago.

No está claro si NYCHHC puede recibir correos electrónicos en el momento de la interrupción del sitio web.

Este incidente parece no estar relacionado con la violación de datos en la National Association on Drug Abuse Problems (NADAP) a principios de año, en la que más de 5,000 pacientes de NYCHHC tuvieron información robada en el ciberataque.

En el último informe anual sobre cibercrimen del FBI que abarca 2025, se destacó que la salud siguió siendo un objetivo principal para los atacantes de ransomware, quienes irrumpen en bases de datos, roban una copia de los datos mientras bloquean los servidores de la víctima y amenazan con publicar los datos robados si la víctima no paga a los hackers. Un ataque de ransomware a Change Healthcare, propiedad de UnitedHealth, permitió a hackers vinculados a Rusia robar información médica y de facturación de más de 190 millones de estadounidenses, lo que se cree que es el mayor robo de datos médicos en la historia de EE. UU.

Temas