Ha habido un par de casos en los que se han regalado unidades USB infectadas con malware sin saberlo como artículos promocionales en conferencias, por ejemplo, IBM en 2010 .
Además de esto, si una empresa de atención médica regalara unidades USB "de marca", ¿qué otros riesgos podrían estar involucrados con tales obsequios?
Además, si el destinatario de la unidad descarga su información médica personal a la unidad y se pierde, ¿puede estar involucrado el proveedor de atención médica?
El riesgo para el destinatario es que podría haber algo allí. El mayor riesgo para usted es probablemente el daño a la reputación, ya que solo está suministrando memorias USB vacías, no entregándolas con información confidencial. Me sorprendería si pudieran responsabilizarlo por la pérdida de sus datos. No conozco ningún caso hasta el momento en que esto haya ocurrido (sin embargo, no soy abogado, no juego uno en la televisión).
Opciones de mitigación:
Como la persona que entrega las llaves USB, su riesgo se relaciona con la reputación y, posiblemente, con represalias legales; Ver la respuesta de @Rory.
Para quién recibe la clave, los riesgos son mayores, en particular porque parece una llave USB convencional puede declararse, a nivel USB, como un teclado , y comenzar a "tipear" las cosas automáticamente. Se ha demostrado . Incluso si la clave es realmente un dispositivo de almacenamiento con un sistema de archivos, un sistema de archivos adecuadamente modificado podría intentar explotar un error en el código del sistema operativo (se sabe que las implementaciones de sistemas de archivos son complejas y un poco frágiles en ese sentido). Y está todo el negocio de "ejecución automática" (consulte esta respuesta para algunos detalles).
Las unidades flash USB son un artículo promocional extraordinariamente malo. Debido al malware frecuente, la mayoría de las empresas ahora tienen reglas que prohíben que los empleados las acepten o las destruyan si ya las tienen.
Recuerde que el malware viene en muchas formas en tales unidades. Lo último en aparecer es donde los piratas informáticos reprograman el firmware en los dispositivos, de modo que aparezcan no solo como una unidad flash USB, sino también como un teclado. En momentos aleatorios, insertan pulsaciones de teclas especiales para lanzar comandos, como abrir una URL para descargar malware de un sitio web.
El único riesgo para el destinatario es que las unidades USB promocionales que distribuyas contengan malware . Esto puede sonar poco probable, pero sucede .
Es muy poco probable que sea responsable de que alguien use el disco para almacenar datos personales y perderlos.
Hay otros riesgos de que el disco de aspecto oficial pueda ser mal usado (posiblemente para un ataque a la compañía) pero estos son mínimos.
No creo que haya ningún riesgo. No les pidió que almacenaran datos de pacientes en este dispositivo.
A menos que les haya dado un dispositivo USB que apunte a almacenar datos de forma segura (encriptados) y que el cifrado no sea bueno; luego pueden reclamar que cuentan con la protección del dispositivo, pero incluso en este caso, el fabricante del USB será el responsable, no usted.
Pero no importa lo que digamos, pueden estar molestos contigo y con tu empresa si algo así sucediera. No puedes controlar los sentimientos de las personas.
Lea otras preguntas en las etiquetas data-leakage malware healthcare risk