El mayor sistema de salud pública de Estados Unidos ha confirmado una brecha de seguridad que debería estar en los titulares de cualquier discusión sobre ciberseguridad sanitaria en 2026. NYC Health + Hospitals (NYCHHC), el sistema que da atención médica a más de un millón de neoyorquinos —la mayoría de ellos sin seguro o bajo Medicaid— comunicó que hackers accedieron a su red durante casi tres meses y robaron datos personales, historial médico y datos biométricos incluidas huellas dactilares y huellas palmares de al menos 1,8 millones de personas. Lo publica Zack Whittaker en TechCrunch el 18 de mayo de 2026. La organización reportó el número al Departamento de Salud y Servicios Humanos de Estados Unidos, lo que convierte esta brecha en una de las mayores del sector sanitario del año. El sistema detectó el ataque el 2 de febrero de 2026, pero los hackers habían tenido acceso a su red desde el 25 de noviembre de 2025: más de diez semanas de acceso no detectado.
¿Qué datos robaron los hackers y por qué las huellas dactilares son el dato más alarmante?
La variedad de datos comprometidos es ya de por sí grave. Según el aviso de brecha publicado por NYCHHC en su propia web, la información potencialmente robada incluye: datos de seguros médicos, historiales clínicos, diagnósticos, medicamentos prescritos, datos de facturación y pago, números de la Seguridad Social, números de permiso de conducir, números de identificación fiscal, números de protección de identidad emitidos por el IRS, datos de geolocalización precisa recogidos en el momento de subir documentos, números de tarjetas de crédito y débito, información de cuentas bancarias y credenciales de acceso online.
Pero el elemento que diferencia esta brecha de las habituales es la información biométrica. Los hackers extrajeron escaneos de huellas dactilares y huellas palmares. La diferencia con cualquier otro dato robado es irremediable: una contraseña se puede cambiar, una tarjeta bancaria se puede cancelar, incluso un número de la Seguridad Social puede gestionarse con medidas adicionales de protección. Las huellas dactilares no se pueden reemplazar. Son para toda la vida. Una persona que tenga sus huellas comprometidas en una brecha de este tipo queda expuesta de forma permanente para cualquier sistema de autenticación biométrica que use esas huellas en el futuro.
NYCHHC no ha explicado por qué almacenaba datos biométricos ni en qué cantidad. Lo que sí se sabe es que los aspirantes a trabajar en el sistema hospitalario deben registrar sus huellas dactilares para el control de antecedentes. Lo que se desconoce todavía es si las huellas de pacientes también fueron comprometidas. La IA ya está transformando el diagnóstico y tratamiento en los hospitales en 2026, con más de 900 dispositivos médicos con IA aprobados por la FDA, lo que amplía la superficie de ataque de los sistemas sanitarios.
¿Cómo entraron los hackers y por qué tardaron más de dos meses en ser detectados?
La brecha parece estar vinculada a un proveedor externo comprometido. NYCHHC dijo en su aviso que «el incidente puede estar relacionado con un incidente de seguridad que involucra a un proveedor externo», aunque la investigación sigue en curso. Es el patrón más habitual en los ataques al sector sanitario: los hospitales grandes tienen docenas de proveedores con acceso a sus sistemas, y la cadena de suministro tecnológica es el punto más débil de la defensa perimetral.
El acceso desde el 25 de noviembre hasta el 2 de febrero —76 días— sin que el sistema lo detectara es la pregunta que TechCrunch hizo explícitamente a la organización sin obtener respuesta. En un ataque de ransomware típico, los actores de amenaza no solo cifran los datos: primero los copian, luego los cifran. El tiempo de acceso no detectado es precisamente el que usan para mapear la red, identificar los datos más valiosos y exfiltrarlos. Un acceso de casi tres meses a la red del mayor sistema de salud pública de EE.UU. da tiempo suficiente para copiar cantidades masivas de información.
El contexto del sector no sorprende. Según el informe anual del FBI sobre cibercrimen de 2025, el sector sanitario siguió siendo el objetivo número uno de los atacantes de ransomware. La razón es estructural: los hospitales no pueden desconectar sus sistemas sin arriesgar vidas, lo que los hace más dispuestos a pagar rescates; almacenan datos extremadamente valiosos en el mercado negro (un historial médico completo vale mucho más que una tarjeta de crédito); y suelen tener presupuestos de ciberseguridad insuficientes respecto al valor de los datos que protegen. El sistema hotelero que expuso más de un millón de pasaportes en una nube sin contraseña hace apenas unos días es otro ejemplo del mismo patrón: acceso a través de proveedor, datos irremplaçables comprometidos, investigación tardía.
¿Qué medidas ha tomado NYCHHC y qué pueden hacer las personas afectadas?
NYCHHC publicó su aviso de brecha el 24 de marzo de 2026 en su web, activó una línea gratuita de respuesta (844-403-4518, operativa de lunes a viernes de 9 a.m. a 6:30 p.m. ET al menos hasta el 23 de junio de 2026) y contrató a una firma líder de ciberseguridad y otra firma de análisis de datos para gestionar el incidente. Según la organización, ha desplegado «tecnologías de detección y protección adicionales» en su red, aunque no ha dado detalles técnicos.
Para quienes pudieran estar afectados: NYCHHC aún no ha determinado el alcance completo de la brecha ni ha completado la identificación de todos los individuos afectados. La recomendación habitual incluye monitorizar los extractos bancarios y de seguros en busca de transacciones no reconocidas, colocar una alerta de fraude o un congelamiento de crédito en las agencias de crédito, y revisar los expedientes de la Seguridad Social para detectar empleos o beneficios no reconocidos. Para los datos biométricos, no hay un equivalente: no se puede «cambiar» una huella dactilar. Amazon ya vivió un incidente similar cuando confirmó el robo de datos de empleados tras el hackeo a un proveedor externo, demostrando que la cadena de suministro es el vector más común.
Mi valoración
Lo que más me preocupa de esta brecha no son los números —1,8 millones es brutal, pero Change Healthcare comprometió 190 millones de americanos en 2024—, sino la naturaleza de los datos biométricos. Estamos ante el primer caso ampliamente documentado en 2026 de robo de huellas dactilares en escala masiva de un sistema de salud. Las consecuencias para las personas afectadas son permanentes: cualquier sistema de seguridad que dependa de sus huellas dactilares, ahora o en el futuro, es potencialmente vulnerable.
Lo que más me convence es que la pausa de 76 días antes de la detección es síntoma de un problema que va más allá del presupuesto de seguridad: es un problema de monitorización. Los sistemas de detección modernos basados en análisis de comportamiento (UEBA) pueden detectar exfiltración masiva de datos en horas, no en meses. Que NYCHHC no los tuviera en la ruta del proveedor afectado es una laguna técnica que las autoridades sanitarias necesitan investigar.
Mi predicción: esta brecha generará regulación más estricta sobre el almacenamiento de datos biométricos en organizaciones sanitarias. La pregunta de por qué un hospital necesita huellas dactilares de candidatos a empleo —y por qué esas huellas viven en el mismo entorno de red que los historiales clínicos— es exactamente el tipo de pregunta que los reguladores de HIPAA y el HHS harán en los próximos meses.
Preguntas frecuentes
¿Cómo puedo saber si estoy entre las 1,8 millones de personas afectadas por la brecha?
NYCHHC activó una línea gratuita: 844-403-4518, operativa de lunes a viernes de 9 a.m. a 6:30 p.m. hora del Este, activa al menos hasta el 23 de junio de 2026. También mantiene un aviso en su web (nychealthandhospitals.org). La investigación sobre qué individuos específicos fueron afectados está todavía en curso; la organización ha dicho que notificará directamente a los afectados cuando complete esa revisión.
¿Qué puedo hacer si mis datos biométricos fueron robados?
Lamentablemente, no existe el equivalente de «cambiar la contraseña» para las huellas dactilares o las huellas palmares. Son para toda la vida. Las medidas prácticas incluyen monitorizar cualquier sistema que use tus huellas para autenticación (acceso a edificios, banca, dispositivos móviles), estar alerta ante intentos de acceso no reconocidos en esos sistemas, y reportar inmediatamente cualquier actividad sospechosa. También puedes presentar una alerta de fraude ante las agencias de crédito (Equifax, TransUnion, Experian) y revisar tu expediente con el IRS para detectar fraude fiscal.
¿Es este el mayor hackeo sanitario de la historia?
No. El ataque a Change Healthcare, propiedad de UnitedHealth, perpetrado por el grupo ruso ALPHV/BlackCat en 2024, comprometió la información médica y de facturación de más de 190 millones de americanos, el mayor robo de datos médicos en la historia de Estados Unidos. La brecha de NYCHHC es significativa por el tipo de datos biométricos robados más que por el volumen total de afectados.