- NYC Health + Hospitals confirma que un ataque cibernético expuso información confidencial sobre 1,8 millones de personas
- La información robada incluye registros médicos, identificaciones gubernamentales, datos de geolocalización y huellas dactilares y palmares biométricas.
- La infracción se debió a errores de proveedores externos, lo que aumentó el riesgo a largo plazo de fraude, suplantación de identidad y phishing dirigido.
NYC Health + Hospitals (NYCHHC), el sistema de salud pública de la ciudad de Nueva York y la mayor red municipal de atención sanitaria de Estados Unidos, ha confirmado que sufrió un ciberataque en el que perdió información muy sensible sobre 1,8 millones de personas.
Los datos robados incluyen huellas dactilares y palmares, que nunca pueden modificarse, lo que hace que esta violación sea aún más perturbadora.
Citando un aviso de violación de datos publicado en el sitio web de NYCHHC, TechCrunch Dijo que el ataque comenzó en noviembre de 2025 y se prolongó hasta febrero de 2026, cuando finalmente los perpetradores fueron identificados y retirados de la red. Durante este tiempo, sin embargo, pudieron extraer información confidencial sobre 1,8 millones de personas, incluida información sobre pólizas y planes de seguro médico de los pacientes, información médica (por ejemplo, diagnósticos, medicamentos, pruebas e imágenes), facturación, reclamos e información de pagos.
Ataques a la cadena de suministro de terceros
Los números de seguridad social, pasaportes y licencias de conducir aparentemente también se vieron comprometidos y, para empeorar las cosas, el NYCHHC dijo que los atacantes también se llevaron “datos de geolocalización específicos”.
Pero la información más valiosa robada son definitivamente las huellas dactilares y palmares. Sin embargo, no sabemos exactamente cuántas personas fueron infectadas y si eran empleados, pacientes o ambos. TechCrunchNYCHHC exige que los empleados registren sus huellas dactilares para realizar verificaciones de antecedentes penales.
El incidente fue reportado al Departamento de Salud y Servicios Humanos de EE. UU.
NYCHHC dijo que los delincuentes explotaron una falla en un proveedor externo no identificado. Para Chris Debruner, CISO de CBTS, esto no es una gran sorpresa, ya que las organizaciones de atención médica están “interconectadas por diseño”. Sin embargo, esto significa que “los riesgos de terceros y los terceros que los utilizan no pueden contarse como una casilla de verificación de compra o una casilla de verificación de consentimiento anual”.
“Los riesgos e impactos posteriores sobre las personas afectadas pueden persistir más allá de la mitigación inicial”, comentó Debruner. “La información médica, la identificación gubernamental, los datos de ubicación y la biometría se pueden utilizar con éxito para phishing, suplantación de identidad, fraude e ingeniería social dirigidos no solo a los directamente afectados, sino también a familiares y conocidos potencialmente extendidos. El acceso de terceros debe ser limitado, monitoreado y vinculado a inventarios limpios. Estos roles se encuentran consistentemente en el entorno de datos y seguridad. Se miden por la rapidez con la que se puede detectar y mitigar antes de llegar al punto de recuperación”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
