Incidente de acceso no autorizado a datos en NYC Health + Hospitals

Durante el periodo comprendido entre el 25 de noviembre de 2025 y el 11 de febrero de 2026, NYC Health + Hospitals, el mayor sistema público de salud municipal de Estados Unidos, sufrió un incidente de ciberseguridad que permitió a un actor, no autorizado, acceder a determinados sistemas de su red informática y copiar archivos almacenados en ellos. La organización detectó actividad sospechosa el 2 de febrero de 2026, momento en el que inició acciones de contención e investigación. Según la información publicada por la propia entidad, los primeros análisis apuntan a que el acceso pudo producirse como consecuencia de una brecha de seguridad en un proveedor externo, aunque la investigación continuaba abierta en el momento de la notificación oficial.
El incidente afectó potencialmente a pacientes y otras personas cuyos datos estaban almacenados en los sistemas comprometidos. La información expuesta variaba según cada individuo e incluía datos personales, información sanitaria protegida, datos de seguros médicos, información de facturación y pagos, números de identificación oficiales, números de la Seguridad Social y, en algunos casos, datos biométricos como huellas dactilares y huellas palmares. Posteriormente, NYC Health + Hospitals confirmó que la brecha afectaba al menos a 1,8 millones de personas. Como respuesta, la organización aseguró su red, contrató especialistas externos en ciberseguridad para realizar una investigación forense, llevó a cabo revisiones de los archivos afectados, restableció credenciales de acceso comprometidas, reforzó sus sistemas de detección y actualizó determinadas políticas de acceso remoto. Además, habilitó canales de atención e información para las personas potencialmente afectadas.
En cuanto al estado actual del incidente, NYC Health + Hospitals ha indicado que la investigación sobre el alcance completo de la brecha y sobre los datos afectados se encontraba en curso durante las comunicaciones públicas emitidas por la organización. La entidad ha reconocido la exposición de información sensible y ha continuado notificando a los afectados conforme avanzaba el análisis de los sistemas comprometidos. Asimismo, ha mantenido activo un servicio de atención específico para consultas relacionadas con el incidente y ha señalado que actualizará la información disponible si se confirman nuevos datos relevantes.