Violaciones de datos, Noticias

Datos biométricos, diagnósticos y datos bancarios expuestos en una grave filtración en el sector sanitario

por Pieter Arntz | 19 de mayo de 2026
información sanitaria digital
Añadir como fuente preferida en Google

NYC Health + Hospitals (NYC H+H) publicó un aviso sobre una filtración de datos que se prolongó durante meses a través de un proveedor externo y que dejó al descubierto información altamente sensible de pacientes y empleados de al menos 1,8 millones de personas, incluyendo historiales médicos, documentos de identidad oficiales, datos de geolocalización e incluso datos biométricos de huellas dactilares y palmares.

NYC H+H detectó una actividad sospechosa el 2 de febrero de 2026 y confirmó posteriormente que un agente no autorizado había tenido acceso a partes de su red desde aproximadamente finales de noviembre de 2025 hasta febrero de 2026.

Durante ese periodo, los atacantes copiaron archivos que contenían información personal, médica, financiera y biométrica. El incidente se notificó al Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) el 24 de marzo de 2026 y, en la actualidad, afecta al menos a 1,8 millones de personas, lo que lo convierte en una de las mayores filtraciones de datos en el sector sanitario de 2026 hasta la fecha.

Presentación ante el Departamento de Salud y Servicios Humanos (HHS)

NYC H+H atribuye la intrusión a una brecha de seguridad en un proveedor externo no identificado que tenía acceso a sus sistemas. Esto encaja con la tendencia actual de vulnerabilidades en la cadena de suministro, en la que un proveedor se convierte en el punto de entrada que permite a los atacantes acceder a los sistemas o datos de sus clientes.

Incidentes como estos son un ejemplo paradigmático de cómo los datos de salud, de carácter tan íntimo, pueden dar pie a fraudes a largo plazo, abusos similares a los del «stalkerware»y una pérdida permanente de la privacidad.

Escaneado de huella digital

Comprueba si tus datos personales han sido expuestos.

Tipos de datos

Según el aviso de NYC H+H y los artículos relacionados, el conjunto de datos filtrado es inusualmente amplio y detallado.

Podemos dividir los datos en tres capas distintas:

  • Información de identificación personal (PII) clásica, que puede combinarse con otros conjuntos de datos filtrados: nombres completos y datos de contacto. Identificadores emitidos por el gobierno, incluidos los números de la Seguridad Social, los números de permiso de conducir y de pasaporte, otros números de identificación oficial, los números de identificación fiscal y los códigos PIN de protección de identidad del IRS. La filtración también ha dejado al descubierto registros de facturación y pago, además de datos bancarios y de tarjetas, que pueden utilizarse para el robo financiero directo y para llevar a cabo ataques de ingeniería social muy convincentes.
  • Datos médicos y de seguros: los diagnósticos detallados, las listas de medicamentos y los resultados de pruebas revelan afecciones que las personas podrían haber mantenido en secreto ante sus empleadores, familiares o aseguradoras, lo que da pie al chantaje, a estafas dirigidas y a la discriminación. Los datos de seguros y de reclamaciones pueden ser objeto de uso indebido para presentar reclamaciones fraudulentas, desviar reembolsos o suplantar identidades existentes en los sistemas sanitarios.
  • Datos biométricos: Son al menos tan sensibles como el historial médico, ya que suelen acompañarnos toda la vida. No son fáciles de borrar ni de sustituir. Una vez que se ve comprometida su seguridad, las grandes bases de datos biométricas se convierten en un riesgo a largo plazo para todos aquellos que confían en ellas como identificadores fiables.

Por desgracia, esto forma parte de una tendencia más amplia. El Centro de Denuncias de Delitos en Internet (IC3) del FBI señala que el sector sanitario fue el sector de infraestructuras críticas más afectado por el ransomware en 2025, con 460 incidentes de ransomware y 182 filtraciones de datos sanitarios denunciadas.

El ataque de ransomware contra Change Healthcare, por sí solo, dejó al descubierto los datos médicos y de facturación de más de 190 millones de estadounidenses, lo que pone de manifiesto cómo un único intermediario del sector sanitario puede paralizar todo un sistema.

Qué hacer si te ves involucrado

Si ha tenido contacto con NYC Health + Hospitals, es posible que su información personal se haya visto afectada.

NYC Health + Hospitals ofrece servicios de prevención y mitigación del robo de identidad, incluido el seguimiento del historial crediticio, a través de Kroll Information Assurance, LLC, durante un periodo de 24 meses y sin coste alguno para todas las personas que hayan trabajado o hayan sido pacientes de NYC Health + Hospitals. Para obtener más información, consulte el aviso sobre la filtración de datos.

Si crees que te has vistoafectado por una filtración de datos, estas son las medidas que puedes tomar para protegerte:

  • Consulte las recomendaciones de la empresa.Cada infracción es diferente, por lo que debe consultar con la empresa para averiguar qué ha sucedido y seguir las recomendaciones específicas que le ofrezca.
  • Cambie su contraseña. Puedes hacer que una contraseña robada sea inútil para los ladrones cambiándola. Elige una contraseña segura que no utilices para nada más. Mejor aún, deja que un gestor de contraseñas elija una por ti.
  • Habilitala autenticación de dos factores (2FA).Si puedes, usa una llave de hardware, una computadora portátil o un teléfono que cumpla con FIDO2 como tu segundo factor. Algunas formas de 2FA pueden ser objeto de phishing tan fácilmente como una contraseña, pero la 2FA que se basa en un dispositivo FIDO2 no puede ser objeto de phishing.
  • Ten cuidado con los suplantadores.Los delincuentes podrían ponerse en contacto contigo haciéndose pasar por la plataforma afectada. Consulta la página web oficial para comprobar si se están comunicando con las víctimas y verifica la identidad de cualquier persona que se ponga en contacto contigo a través de un canal de comunicación diferente.
  • Tómese su tiempo. Los ataques de phishing suelen hacerse pasar por personas o marcas que conoces, y utilizan temas que requieren atención urgente, como entregas perdidas, suspensiones de cuentas y alertas de seguridad.
  • Considera no almacenar los datos de tu tarjeta. Sin duda, es más cómodo dejar que los sitios web recuerden los datos de tu tarjeta, pero aumenta el riesgo si un minorista sufre una filtración.
  • Configureel monitoreo de identidad, que le avisa si se detecta que suinformación personalse está comercializando ilegalmente en línea y le ayuda a recuperarse después.

Seamos realistas, una ventana de incógnito tiene sus limitaciones.

Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad. 

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

AI
Llamada con voz clonada por IA

Según el FBI, los estadounidenses han perdido casi 900 millones de dólares a causa de estafas basadas en la inteligencia artificial

Junio 8, 2026

Deepfakes, la clonación de voces y otras estafas basadas en la inteligencia artificial costarán a los estadounidenses casi 900 millones de dólares en 2025, según el Informe sobre delitos en Internet del FBI de 2025.

Noticias
Caballo de Troya

Los juegos de PC pirateados están propagando malware que roba contraseñas

Junio 8, 2026

Los ciberdelincuentes están ocultando malware en juegos pirateados y reempaquetados, lo que ha provocado la infección de más de 400 000 dispositivos en todo el mundo.

Noticias
semana de la seguridad

Una semana en el ámbito de la seguridad (del 1 al 7 de junio)

Junio 8, 2026

Lista de temas que tratamos durante la semana del 1 al 7 de junio de 2026

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas