El daño ya está hecho. El mayor proveedor de salud pública de Nueva York admite que los piratas informáticos estuvieron dentro de su sistema durante meses. Robo de datos. Toma de huellas dactilares. El recuento asciende a 1,8 millones de personas afectadas.
NYCHHC se encarga de la atención médica de más de un millón de residentes de la ciudad. En su mayoría personas sin seguro o con Medicaid. La red informó de la intrusión al Departamento de Salud y Servicios Humanos. Lo convierte en uno de los mayores robos de datos médicos de este año.
Los objetivos sanitarios son puntos débiles para los ciberdelincuentes. Quieren información de facturación. Quieren identidades. El dinero lo impulsa todo.
Esto es lo que pasó
Detectado el 2 de febrero. Fue entonces cuando NYCHHC vio el ataque y bloqueó la red. Pero el acceso comenzó mucho antes.
Desde noviembre de 2024 hasta febrero de 2025, los piratas informáticos se desplazaron por los sistemas. Archivos copiados. Humillar.
Un proveedor externo dejó la puerta abierta. NYCHHC no dirá cuál.
Lo que falta
Los datos tomados varían según el paciente. Algunos resultaron más afectados que otros.
* Registros médicos, incluidos diagnósticos, medicamentos, pruebas.
Detalles de facturación y reclamos.
* Números de Seguro Social. Licencias de conducir. Pasaportes.
* Datos de geolocalización. * Sí. Incluso el lugar exacto donde alguien subió una foto de identificación.
Luego está la biometría.
Huellas dactilares. Huellas de palma. Estos no cambian. No puedes restablecerlos como una contraseña. NYCHHC no explicó por qué se almacenaron los datos biométricos de los pacientes en primer lugar. Los controles de los empleados utilizan huellas dactilares, pero ¿los pacientes optaron por participar? Nadie sabe si sus datos biométricos fueron un objetivo específico o simplemente fueron barridos.
Silencio en la cima
El sitio web de NYCHHC quedó fuera de línea brevemente. Lunes por la mañana. Cuando TechCrunch envió un correo electrónico con preguntas, silencio de radio.
¿Por qué tardar meses en darse cuenta del incumplimiento?
¿Los piratas informáticos enviaron una demanda de rescate?
No hay noticias del portavoz. Los servidores de correo electrónico podrían incluso estar caídos. Difícil de verificar.
Este no otra vez
A principios de este año, una infracción separada en NADAP (Asociación Nacional sobre Problemas de Abuso de Drogas) tomó datos de más de 5000 pacientes de NYCHHC. No mezcles esto con ese incidente. No están relacionados.
Queda una pregunta. Con la geolocalización y los datos biométricos permanentes disponibles, ¿qué queda realmente por ocultar?
