El INCIBE (Instituto Nacional de Ciberseguridad, el organismo que protege a ciudadanos y empresas frente a las amenazas digitales) ha emitido este miércoles una alerta temprana sobre cinco vulnerabilidades en la versión 3.7.0 del kit de herramientas DCMTK, utilizado en el sector sanitario para el procesamiento de imágenes médicas. Una de ellas, catalogada como crítica, permitiría a un atacante escribir archivos fuera del directorio de salida, mientras que las otras cuatro, de severidad alta, podrían provocar fugas de memoria, denegación de servicio y acceso no autorizado a datos clínicos.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE alerta sobre 5 vulnerabilidades en el software de imágenes médicas DCMTK 3.7.0: una crítica y cuatro altas.
- ¿Dónde y cuándo? La alerta, registrada como INCIBE-2026-464, se publicó el 1 de julio de 2026; el fallo afecta a despliegues de DCMTK en centros sanitarios y de investigación.
- ¿Qué resultado? Riesgo de escritura de archivos, pérdida de memoria, bloqueo de servicios y lectura indebida de listas de trabajo. El fabricante OFFIS ya ha publicado una versión correctora en GitHub.
Detalles de los fallos corregidos
Las cinco vulnerabilidades, identificadas por el investigador Abhinav Agarwal, afectan exclusivamente a la versión 3.7.0 y anteriores del popular kit de herramientas DCMTK (DICOM Toolkit), ampliamente utilizado para la visualización, almacenamiento y transmisión de imágenes médicas. El aviso de seguridad desglosa los siguientes identificadores CVE:
- CVE-2026-50003 (crítica): un servidor malicioso podría hacer que un cliente DCMTK en modo C-GET escriba archivos fuera del directorio de salida, tanto con rutas relativas como absolutas.
- CVE-2026-50254 (alta): un atacante remoto no autenticado puede enviar repetidamente solicitudes de conexión manipuladas para causar fugas de memoria. En el modo por defecto de un solo proceso de storescp, la memoria se agota rápidamente hasta que el servicio deja de aceptar conexiones.
- CVE-2026-35505 (alta): similar a la anterior, permite agotar la memoria mediante solicitudes de conexión manipuladas, deteniendo el servicio en implementaciones de un solo proceso.
- CVE-2026-52868 (alta): un atacante no autenticado puede leer los registros de la lista de trabajo desde un directorio fuera del área de almacenamiento prevista, lo que podría quebrar la separación de datos entre departamentos clínicos.
- CVE-2026-44628 (alta): un atacante no autenticado puede colapsar el servidor de la lista de trabajo con una única consulta manipulada, siempre que se cumplan ciertas condiciones de configuración.
Ninguno de estos fallos ha sido explotado de forma masiva hasta el momento, según el propio aviso del INCIBE, pero la posibilidad de interrumpir servicios de diagnóstico o de comprometer la confidencialidad de datos clínicos los convierte en prioritarios para los equipos de ciberseguridad de los centros sanitarios.
Actualización y medidas recomendadas
El fabricante OFFIS ha reaccionado con rapidez y ha publicado la versión correctora de DCMTK directamente en su repositorio de GitHub. El INCIBE recomienda aplicar de inmediato la actualización sobre cualquier despliegue de la versión 3.7.0 o anteriores, especialmente en infraestructuras críticas del sector sanitario. Además, insta a los administradores de sistemas a revisar los logs de conexión en busca de patrones sospechosos que pudieran indicar un intento de explotación previo.
El aviso, publicado bajo el identificador INCIBE-2026-464, se enmarca en la colaboración habitual del Instituto con la comunidad de investigadores y la industria para neutralizar amenazas antes de que causen impacto real. La coordinación con Abhinav Agarwal ha permitido documentar cada vector de ataque con precisión, lo que facilita la mitigación incluso en entornos heterogéneos donde convergen distintos sistemas de información hospitalaria.
La sanidad es uno de los sectores más castigados por el cibercrimen: solo en 2025, los incidentes notificados a INCIBE-CERT crecieron un 18% respecto al año anterior, con un tercio de ellos dirigidos contra sistemas de imagen y diagnóstico.
El panorama de la ciberseguridad en el ámbito sanitario
La alerta sobre DCMTK no es un hecho aislado. El sector sanitario se ha convertido en un blanco prioritario para los atacantes debido a la sensibilidad de los datos que maneja y a la dependencia operativa de los sistemas de imagen. Según el balance anual de INCIBE-CERT, durante 2025 se gestionaron más de 110.000 incidentes de ciberseguridad en España, de los cuales cerca del 12 % afectaron a infraestructuras críticas del ámbito de la salud. Las vulnerabilidades en herramientas de código abierto como DCMTK son especialmente peligrosas porque se despliegan en miles de centros con recursos de supervisión limitados.
La rápida publicación del parche por parte de OFFIS y la difusión inmediata del aviso por el INCIBE demuestran la eficacia del modelo de alerta temprana que opera en España. No obstante, la responsabilidad última recae en los administradores de los sistemas, que deben aplicar la actualización sin demora. Mientras no se complete el despliegue del parche, los centros sanitarios que utilicen DCMTK 3.7.0 mantienen expuestos posibles vectores de escritura arbitraria y denegación de servicio que, en un escenario real, podrían paralizar un servicio de radiología o comprometer datos diagnósticos confidenciales.

