La Asociación Dental Americana (ADA) ha inadvertidamente enviado dispositivos USB con malware a miles de consultorios dentales en todo el país. 

La organización envió 37 mil dispositivos a sus miembros antes de revelar en un foro de discusión de seguridad que el malware estaba presente en algunas de las unidades.

Las unidades contaminadas con un archivo PDF de códigos de procedimientos dentales, pero algunos de ellas, las cuales eran originarios de China, también tenía un código malicioso embebido que redirigía a los destinatarios a un sitio web malicioso con el fin de obtener control de la computadora de los usuarios de Windows.

La ADA dijo a Brain Krebs, investigador de seguridad independiente, que la cadena de suministro es la culpable y sólo una fracción de las unidades está realmente infectadas.

"Es de destacar la especulación de que una de las varias máquinas duplicadoras que uso el fabricante se había infectado durante una campaña de producción con otro cliente", dijo ADA. "Esa máquina infecta nuestra imagen durante uno de nuestros tres ciclos de producción. Nuestra prueba de control de calidad al azar no alcanzó a los dispositivos infectados. Desde este incidente, ADA ha comenzado a revisar si se debe continuar a utilizar medios físicos para distribuir el producto".

"El envío de medios físicos, sin importar con cuanta apariencia oficial pueda parecer, no es sustituto para ofrecer una descarga segura de cualquier material", dijo Tod Bearsley, director de investigación de seguridad de Rapid7, a través de correo electrónico. "Si se obtiene una unidad USB a través del correo, no se debe confiar en absoluto. No hay manera de determinar la confiabilidad del origen o el contenido de una unidad de USB enviando por ese medio antes de insertarlo en la computadora. Esta estrategia sigue siendo popular hoy en día, ya que el acceso directo a una máquina de usuario final no pasa por todos sistemas de detección e intrusión de malware de una red de las organizaciones de TI que han puesto en marcha para proteger sus activos".

Ertl dijo a Infosecurity que toda la esta situación viola las mejores prácticas. 

"Al igual que el intercambio de contraseñas, la conexión de memorias USB no probadas en los sistemas de información que contiene datos sensibles como la información personal de salud (PHI) viola las normas más fundamentales de INFOSEC", dijo. "La industria del cuidado de la salud, la cual incluye la odontología, está plagada de violaciones de datos y la razón es clara: robando la PHI el valor es hasta 50 veces el de una tarjeta de crédito robada en el mercado negro."