La brecha
Hay datos que prescriben y datos que no, y esta brecha mezcla los dos. NYC Health + Hospitals, la mayor red hospitalaria pública de Estados Unidos, notificó el 18 de mayo de 2026 una intrusión que, según su propio aviso, expuso información personal, médica, financiera y biométrica de al menos 1,8 millones de pacientes y empleados, actuales y antiguos. El sistema detectó actividad sospechosa el 2 de febrero de 2026 y su investigación determinó que un actor no autorizado había accedido a parte de la red entre, aproximadamente, el 25 de noviembre de 2025 y el 11 de febrero de 2026, copiando archivos durante esa ventana. La brecha se reportó al Departamento de Salud federal el 24 de marzo, y su portal recoge la cifra de 1,8 millones, una de las mayores del sector sanitario en lo que va de 2026.
Qué se llevaron
El inventario es largo y desigual según la persona. Según la notificación, los datos comprometidos incluyen historiales médicos —diagnósticos, medicaciones, pruebas e imágenes—, información de seguros, datos de facturación y pago, números de la Seguridad Social, pasaportes y licencias de conducir, datos de cuentas bancarias, credenciales de acceso y geolocalización precisa. El elemento que distingue esta brecha de tantas otras es la biometría: el atacante se llevó huellas dactilares y palmares.
Lo que no se puede reemitir
Aquí está el quid, y los especialistas coinciden en señalarlo. Como resumió Ross Filipek, responsable de seguridad de Corsica Technologies, lo alarmante no es solo el número de afectados, sino que los datos médicos, financieros y, sobre todo, las huellas crean un problema de largo plazo, porque, a diferencia de una contraseña, la biometría no puede restablecerse tras una exposición. Una tarjeta se reemite, un número de la Seguridad Social se marca para vigilancia, una clave se cambia; una huella dactilar acompaña a la persona toda la vida.
El precedente no es hipotético. En 2015, la brecha de la Oficina de Gestión de Personal del Gobierno estadounidense expuso 5,6 millones de registros de huellas de empleados y contratistas federales; se les ofreció monitoreo de crédito y, más de una década después, no se añadió ningún otro remedio. Analistas señalaron que las huellas de NYC Health + Hospitals se recogieron probablemente en el alta de empleados, donde el personal suele registrar sus huellas para verificaciones de antecedentes.
El eslabón débil estaba fuera
La defensa propia del hospital no es donde falló el sistema. NYC Health + Hospitals atribuyó la intrusión a una brecha en un proveedor externo no identificado, que tenía acceso a sus sistemas. Como explicó al respecto Chris Debrunner, de CBTS, las organizaciones sanitarias están “interconectadas por diseño”, de modo que el riesgo de terceros no puede tratarse como una casilla de cumplimiento anual. El patrón es conocido: según un informe de Paubox, la exposición a través de proveedores y socios comerciales supuso el 28 por ciento de las brechas sanitarias relacionadas con el correo electrónico en 2025. El perímetro del hospital no cedió; cedió la relación de confianza con quien ya tenía la llave.
A quién afecta, y qué se ofrece
El detalle social no es menor. NYC Health + Hospitals opera más de setenta puntos de atención en los cinco distritos de la ciudad, atiende a más de un millón de pacientes al año y da empleo a unos 45.000 profesionales, y su población es en buena parte de bajos ingresos y cobertura pública. El sistema ofreció a los afectados veinticuatro meses de monitoreo de crédito sin costo, con efecto retroactivo para quienes interactuaron con la red desde 2020, y afirmó que no recibió instrucciones policiales de retrasar las notificaciones.
Lo que queda sin respuesta
El cierre honesto de esta historia es una pregunta, no una solución. El monitoreo de crédito atiende el fraude financiero, que es reversible; no atiende la exposición biométrica, que no lo es. La pregunta que el caso devuelve a empleadores y administraciones es la que la brecha de 2015 dejó sin contestar: cuando una institución obliga a entregar una huella y luego la pierde, ¿qué se le debe a la persona cuya identidad física quedó comprometida para siempre? Mientras esa pregunta no tenga respuesta, cada base de datos biométrica seguirá siendo un pasivo que la institución puede, con el tiempo, soltar, y que el ciudadano nunca.