U.S. flag An official website of the United States government

On Oct. 1, 2024, the FDA began implementing a reorganization impacting many parts of the agency. We are in the process of updating FDA.gov content to reflect these changes.

U.S. Food and Drug Administration
  1. Home
  2. Medical Devices
  3. Medical Device Safety
  4. Safety Communications
  5. Vulnerabilidades de Ciberseguridad en Monitores de Pacientes de Contec y Epsimed: Comunicación de Seguridad de la FDA
  1. Safety Communications

Vulnerabilidades de Ciberseguridad en Monitores de Pacientes de Contec y Epsimed: Comunicación de Seguridad de la FDA

Fecha de emisión: 30 de enero de 2025

La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA, por sus siglas en inglés) está generando conciencia entre los proveedores y las instalaciones de atención médica, los pacientes y los cuidadores sobre las vulnerabilidades de ciberseguridad en los monitores de paciente Contec CMS8000 y Epsimed MN-120 (que son monitores de paciente Contec CMS8000 reetiquetados como MN-120) que pueden poner en riesgo a los pacientes después de conectarse a Internet.

Se han identificado tres vulnerabilidades de ciberseguridad:

  • Un usuario sin autorización puede controlar el monitor de paciente de forma remota o el monitor puede funcionar de manera imprevista.
  • El software de los monitores de paciente incluye una puerta trasera. Esto significa que el dispositivo o la red a la que está conectado puede haber quedado vulnerable o podría estar expuesto.
  • Una vez que el monitor de paciente está conectado a Internet, comienza a recopilar datos del paciente, incluidas la información de identificación personal (PII, por sus siglas en inglés) y la información de salud protegida (PHI, por sus siglas en inglés), y a exfiltrarlos (transferirlos) fuera del entorno de prestación de atención médica.

Estas vulnerabilidades de ciberseguridad pueden permitir que actores sin autorización eludan los controles de ciberseguridad, obtengan acceso y potencialmente manipulen el dispositivo.

La FDA no tiene conocimiento de ningún incidente de ciberseguridad, lesiones o muertes relacionados con estas vulnerabilidades de ciberseguridad en este momento. 

Recomendaciones para pacientes y cuidadores  

  • Hable con su proveedor de atención médica sobre si su dispositivo depende de funciones de monitoreo remoto. El monitoreo remoto se produce cuando el dispositivo utiliza una conexión a Internet para permitir que un proveedor de atención médica evalúe los signos vitales del paciente desde otra ubicación (como en un sistema de monitoreo remoto o de monitoreo central).
    • Si su proveedor de atención médica confirma que su dispositivo depende de funciones de monitoreo remoto, desconéctelo y deje de usarlo. Hable con su proveedor de atención médica para que le indique cómo encontrar un monitor de paciente alternativo. 
    • Si su dispositivo no depende de funciones de monitoreo remoto, solo utilice las funciones de monitoreo local del monitor de paciente. Esto implica desconectar el cable Ethernet del dispositivo y desactivar las capacidades inalámbricas (es decir, WiFi o celular), para que un cuidador o proveedor de atención médica observe los signos vitales del paciente mientras se encuentra presente físicamente. 
      • Si no puede desactivar las capacidades inalámbricas, desconecte el dispositivo y deje de usarlo. Hable con su proveedor de atención médica para que le indique cómo encontrar un monitor de paciente alternativo.   
  • Tenga en cuenta que la FDA no tiene conocimiento de ningún incidente de ciberseguridad, lesiones o muertes relacionados con esta vulnerabilidad en este momento.
  • Notifique a la FDA sobre cualquier problema o complicación con los monitores de paciente Contec CMS8000 o Epsimed MN-120. 

Recomendaciones para proveedores de atención médica

  • Consulte con el personal de la instalación de atención médica para determinar si los monitores de paciente Contec CMS8000 o Epsimed MN-120 pueden verse afectados y para saber cómo reducir cualquier riesgo asociado.  
  • Lea y siga las recomendaciones para pacientes y cuidadores en este comunicado de seguridad. 
  • Verifique los monitores de paciente Contec CMS8000 y Epsimed MN-120 para detectar cualquier signo de funcionamiento inusual, como inconsistencias entre los signos vitales mostrados y el estado físico real del paciente. 
  • Notifique a la FDA sobre cualquier problema con los monitores de paciente Contec CMS8000 o Epsimed MN-120. 

Recomendaciones para el personal de las instalaciones de atención médica (incluido el personal de tecnología de la información [TI] y ciberseguridad)  

  • Utilice solo las funciones de monitoreo local del dispositivo.
    • Si su monitor de paciente depende de funciones de monitoreo remoto, desconecte el dispositivo y deje de usarlo. 
    • Si su dispositivo no depende de funciones de monitoreo remoto, desconecte el cable Ethernet del dispositivo y desactive las capacidades inalámbricas (es decir, WiFi o celular). Si no puede desactivar las capacidades inalámbricas y continúa usando el dispositivo, esto lo expondrá a la puerta trasera y a una posible exfiltración continua de datos del paciente.
  • Revise la sección "Mitigations" (Mitigaciones) de la Cybersecurity and Infrastructure Security Agency (CISA, por sus siglas en inglés) [Agencia de Seguridad Cibernética y de Infraestructura] en el aviso relacionado con las vulnerabilidades.  
  • Tenga en cuenta que, en este momento, no hay ningún parche de software disponible para permitir mitigar este riesgo.
  • Verifique los monitores de paciente Contec CMS8000 y Epsimed MN-120 para detectar cualquier signo de funcionamiento inusual, como inconsistencias entre los signos vitales mostrados y el estado físico real del paciente. 
  • Notifique a la FDA sobre cualquier problema con los monitores de paciente Contec CMS8000 o Epsimed MN-120.

Descripción del dispositivo

Los monitores de paciente se utilizan en entornos domésticos y de atención médica para mostrar información, como los signos vitales de un paciente, incluida la temperatura, los latidos del corazón y la presión arterial.

Ciertas vulnerabilidades de ciberseguridad podrían afectar a los monitores de paciente Contec CMS8000 y Epsimed MN-120

Se identificaron tres vulnerabilidades de ciberseguridad, cuyos posibles impactos se dividen en dos categorías principales. Un dispositivo vulnerable podría manipularse para lo siguiente:

  • Negar el acceso al dispositivo, como para provocar que se bloquee y no pueda funcionar como debería.
  • Tomar el control del dispositivo y así controlarlo de forma remota y realizar acciones inesperadas o adversas, como dañar los datos.

Las vulnerabilidades podrían permitir que todos los monitores de paciente Contec y Epsimed vulnerables en una red determinada se manipulen al mismo tiempo.

Además, el software de los monitores de paciente incluye una puerta trasera. "Puerta trasera" es el término que se utiliza para describir una funcionalidad oculta que no se informa a los usuarios del dispositivo y que puede permitir que actores sin autorización eludan los controles de ciberseguridad. Dichos actores podrían acceder y potencialmente manipular el dispositivo. Debido a la existencia de una puerta trasera, el dispositivo o la red a la que está conectado puede haber quedado vulnerable o podría estar expuesto.

Además, la FDA ha autorizado estos monitores de paciente solo para su funcionalidad cableada (es decir, con conectividad Ethernet). Sin embargo, la FDA sabe que algunos monitores de paciente pueden estar disponibles con capacidades inalámbricas (es decir, WiFi o celular) sin su autorización.

La Agencia de Seguridad Cibernética y de Infraestructura (CISA, por sus siglas en inglés) identificó que, una vez que el monitor de paciente se conecta a Internet, comienza a recopilar y exfiltrar (transferir) datos del paciente fuera del entorno de prestación de atención médica, incluso cuando el dispositivo se utiliza en un entorno doméstico. La FDA y la CISA continúan trabajando con Contec para que estas vulnerabilidades se corrijan lo antes posible.

Identificador único de dispositivo (UDI, por sus siglas en inglés)

El identificador único de dispositivo ayuda a identificar dispositivos o aparatos médicos en particular, incluidos los monitores de paciente vendidos en los Estados Unidos, desde que se fabrican hasta que se distribuyen y los usan los pacientes. El UDI permite notificar, revisar y analizar de manera más precisa los reportes de eventos adversos para que puedan identificarse los dispositivos y se puedan corregir los problemas con más rapidez.

Puede identificar los dispositivos afectados comprobando el identificador único de dispositivo (UDI, por sus siglas en inglés), que es un código numérico o alfanumérico único que, por lo general, incluye un identificador de dispositivo (DI, por sus siglas en inglés) que identifica el fabricante y la versión o el modelo específico de un dispositivo.

Nombre de marcaVersión o modeloUDI-DI
ContecCMS8000 06945040100034
EpsimedMN-120N/C

Medidas de la FDA 

La FDA considera con seriedad cualquier reporte de vulnerabilidades de ciberseguridad en dispositivos médicos y continuará trabajando con Contec y la CISA para que se corrijan estas vulnerabilidades lo antes posible.

La FDA continuará evaluando la nueva información sobre las vulnerabilidades y mantendrá al público al tanto si surge información actualizada significativa.

Obtenga más información sobre la ciberseguridad de los dispositivos médicos.

Notificar problemas con su dispositivo

Si cree que tuvo un problema con un monitor de paciente Contec CMS8000 o Epsimed MN-120, la FDA le recomienda notificar el problema a través del Formulario de notificación voluntaria de MedWatch.

El personal de atención médica que sea empleado de las instalaciones que están sujetas a los requisitos de reportes de las instalaciones de usuarios de la FDA debe seguir los procedimientos de reporte establecidos por sus instalaciones.

¿Tiene alguna pregunta?

Si tiene preguntas, comuníquese con la División de Industria y Educación del Consumidor (DICE, por sus siglas en inglés) del Centro de Dispositivos y Salud Radiológica (CDRH, por sus siglas en inglés).

Back to Top