El senador Tom Cotton (R-Ark.) presentó un proyecto de ley que sometería a controles de ciberseguridad los dispositivos médicos fabricados en China que ya han sido autorizados para su uso en Estados Unidos.
La legislación, denominada Ley para Contrarrestar las Ciberamenazas Chinas para los Pacientes (o Ley para Contrarrestar al PCCh), otorgaría a los reguladores federales de salud la flexibilidad necesaria para aplicar retroactivamente medidas de ciberseguridad. Su objetivo es combatir los "dispositivos peligrosos", según declaró Cotton.
"Los dispositivos médicos fabricados por la China comunista amenazan la privacidad y la seguridad de todos los pacientes estadounidenses", declaró Cotton en un comunicado el 25 de junio.
El proyecto de ley ordenaría al Departamento de Salud y Servicios Humanos identificar cualquier posible vulnerabilidad de ciberseguridad en los dispositivos médicos conectados a internet fabricados en China. La Administración de Alimentos y Medicamentos (FDA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también participarían en el proceso de revisión.
La legislación se dirige a los dispositivos médicos fabricados por empresas con sede en China, o controladas por personas o entidades en China, que recibieron la aprobación regulatoria de EE. UU. antes del 28 de marzo de 2023. Las empresas extranjeras con fábricas o filiales en China no estarán sujetas a esta revisión.
Desde marzo de 2023, la FDA exige a los fabricantes de dispositivos médicos que cumplan con estándares adicionales de ciberseguridad para obtener la aprobación previa a la comercialización.
"Pero este requisito no se aplicaba a los dispositivos médicos que ya estaban en el mercado antes de la entrada en vigor de las nuevas normas de ciberseguridad", escribió Cotton en una carta de mayo dirigida al comisionado interino de la FDA, Kyle Diamantas. "Por lo tanto, es necesario hacer más para proteger a los estadounidenses de los dispositivos médicos comprometidos".
De aprobarse, el proyecto de ley obligaría a los fabricantes chinos de dispositivos médicos a presentar información técnica, incluida una lista del software utilizado en el dispositivo, su proceso de desarrollo y la ubicación de los servidores.
Con información detallada, los reguladores federales tendrían que determinar si estos dispositivos médicos son suficientemente seguros contra las amenazas cibernéticas y garantizar que los datos de los pacientes estadounidenses no se almacenen ni se transmitan a través de servidores ubicados en China.
Las leyes y regulaciones chinas, incluida la legislación de inteligencia del régimen de 2017, obligan a las empresas que operan en el país a entregar datos o proporcionar otro tipo de asistencia a las agencias de inteligencia cuando se les solicite.
El senador Tom Cotton (R-Ark.)pronuncia un discurso en Washington, el 17 de marzo de 2026. (Madalina Kilroy/The Epoch Times)Las medidas legislativas propuestas otorgarían al Departamento de Salud y Servicios Humanos la autoridad para detener la distribución de dispositivos considerados riesgosos para la seguridad y notificar a los proveedores de atención médica, a los usuarios de los dispositivos y a todas las personas potencialmente expuestas a dichos riesgos.
Las empresas chinas que no proporcionen la información requerida en un plazo de tres meses también verán sus productos retirados del mercado estadounidense.
Además, el gobierno estadounidense estaría obligado a presentar un informe al Congreso sobre la evaluación de la ciberseguridad de la industria de equipos médicos, la cuota de mercado de las empresas chinas en Estados Unidos y las medidas de seguridad de datos para los dispositivos fabricados en China, junto con recomendaciones sobre cómo reforzar la preparación cibernética de la industria.
La propuesta legislativa se elaboró en un contexto de creciente preocupación por las vulnerabilidades de los equipos médicos y de otro tipo conectados a internet, especialmente los productos de fabricantes con sede en países adversarios.
El pasado mes de enero, la FDA advirtió que ciertos dispositivos del fabricante chino de monitores de pacientes Contec contenían una puerta trasera que podía permitir el acceso remoto, la manipulación del dispositivo y la transmisión de datos de los pacientes una vez conectados a Internet.
En respuesta, la FDA retiró del mercado el dispositivo de monitorización de pacientes CMS8000 de Contec, así como el Epsimed MN-120, el mismo dispositivo, que fue reetiquetado y distribuido en el mercado estadounidense por Epsimed, con sede en Miami.
En una actualización de julio de 2025, la FDA indicó que Contec lanzó un parche de software para corregir las fallas de ciberseguridad, el cual, según la agencia, eliminó la funcionalidad de red de los dispositivos afectados.
