La Administración de Alimentos y Medicamentos de EE.UU. (FDA por sus siglas) ha pedido a los centros médicos y a los cuidadores que monitorizan a sus pacientes mediante algunos equipos de marca china Contec que los desconecten de Internet lo antes que puedan.
Los investigadores de seguridad han descubierto que varios modelos contienen vulnerabilidades importantes. El Contec CMS8000, que también se vende como Epsimed MN-120, contiene un trío de de ellas (CVE-2024-12248 , CVSS 9.3; CVE-2025-0626 , CVSS 7.5; y CVE-2025-0683 , CVSS 5.9).
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió hace unos días de que estas brechas podrían permitir a un atacante ejecutar código de forma remota, bloquear el dispositivo y, lo más alarmante, exfiltrar información sobre los pacientes.
"Una vez que el monitor del paciente está conectado a Internet, comienza a recopilar datos del paciente, incluyendo información de identificación personal e información de salud protegida, y a exfiltrar los datos fuera del entorno de prestación de servicios de salud", ha señalado la FDA sobre el agujero codificado.
Estos detalles se estarían mandando a universidad "de terceros" que estaría ubicada en China.
Así, el organismo recomienda que cualquier persona que esté usando un CMS800 lo desconecte de Internet y desactive su WiFi inmediatamente, para dejar de usarlo para monitorizar pacientes de forma remota.
No hay incidentes identificados
Aunque ni la FDA ni la CISA creen que haya habido incidentes de seguridad relacionados con estos dispositivos, es posible que un atacante pueda moverse lateralmente y comprometer aún más las redes conectadas.
La agencia de seguridad sospecha que las vulnerabilidades no tienen que ver con actualizaciones de software remotas, sino con una cuestión de recolección de datos, según se hace eco The Register.
"La puerta trasera no proporciona un mecanismo de comprobación de integridad ni un seguimiento de las versiones de las actualizaciones", ha señalado CISA.
"Cuando se ejecuta la función, los archivos del dispositivo se sobrescriben a la fuerza, lo que impide que el cliente final (por ejemplo, un hospital) sepa qué software se está ejecutando en el dispositivo", añade.
Es decir, la amenaza no filtra datos únicamente, sino que también oculta activamente su presencia a los hospitales y sus equipos de seguridad informática.