Los ataques quid pro quo no son una nueva forma de ingeniería social. Sin embargo, en 2025 se han vuelto más sofisticados que nunca.
En esta guía veremos qué son los ataques quid pro quo, cómo detectarlos y cómo evitar ser víctima de ellos.
Si quiere saber más sobre los ataques de ingeniería social, consulte nuestro curso de concienciación sobre seguridad y privacidad del correo electrónico.
¿Qué es un ataque Quid Pro Quo?
Un ataque quid pro quo es una técnica de ingeniería social en la que un hacker promete un beneficio a cambio de información que más tarde puede utilizar para robar dinero y datos, o tomar el control de una cuenta de usuario en un sitio web.
El término «quid pro quo» procede del latín y significa literalmente «algo por algo». Es decir: Tú me das algo, yo te doy algo.
Frases similares son «un favor por un favor» o «dar y recibir». En esencia, todas ellas significan que existe un acuerdo entre dos partes para un intercambio de bienes o servicios.
Esta noción de intercambio es crucial porque, como seres humanos, obedecemos a la ley de la reciprocidad psicológica. Esto significa que siempre que alguien nos da algo o nos hace un favor, nos sentimos obligados a devolvérselo.
Entonces, ¿cómo utilizan los atacantes este concepto en un contexto de ingeniería social?
He aquí un escenario muy sencillo:
- Se pone en contacto con usted un (supuesto) empleado informático que se ofrece a realizar una auditoría en su ordenador.
- Le ofrece eliminar posibles virus que puedan reducir el rendimiento de su ordenador.
- Pero para ello necesita su nombre de usuario y contraseña.
- Que usted le proporciona sin cuestionamientos.
Y así de fácil, acaba de convertirse en víctima de un ataque quid pro quo.
Los ataques quid pro quo se basan en la manipulación y el abuso de confianza. Como tales, entran en la categoría de técnicas de ingeniería social, como los ataques de phishing (incluidos los ataques de spear phishing y whaling), baiting o pretexting.
Ataques Quid Pro Quo: Ejemplos reales
Veamos ahora algunos casos de ataques quid pro quo, y lo que podemos aprender de ellos.
Estafa de criptomonedas Axie Infinity
En 2022, Business Insider informó de una de las mayores estafas de criptomonedas hasta la fecha. El ataque, basado en la técnica quid pro quo, se saldó con el robo de 617 millones de dólares.
Hackers asociados al Grupo Lazarus de Corea del Norte ejecutaron un sofisticado ataque contra Sky Mavis, desarrollador del juego Axie Infinity, basado en NFT. Haciéndose pasar por reclutadores en LinkedIn, atacaron a un ingeniero senior, haciéndole participar en múltiples entrevistas de trabajo falsas. Tras estas entrevistas, el ingeniero recibió una carta de oferta fraudulenta con software espía.
Al descargar esta oferta falsa, los atacantes obtuvieron acceso a la red blockchain de la empresa, que facilita la transferencia de criptomonedas basadas en Ethereum dentro y fuera del juego. Desde allí, los atacantes pudieron desviar millones de dólares en criptomonedas.
El aumento de las estafas en el soporte técnico
Durante la pandemia, y con el auge del teletrabajo, han aumentado los fraudes de soporte técnico falso.
En este tipo de quid pro quo, los atacantes se hacen pasar por personal de soporte técnico informático, ofreciendo ayuda a los empleados. A cambio de esta «ayuda», solicitan credenciales de inicio de sesión. También pueden dirigir a las víctimas para que instalen software malicioso, comprometiendo la seguridad de la organización.
Esta técnica de estafa utiliza una combinación de quid pro quo y «vishing». El vishing es un tipo de ingeniería social que combina «voz» y «phishing». Se refiere a las estafas de phishing realizadas por teléfono.
En diciembre de 2024, el FBI reiteró las advertencias, especialmente para personas mayores. He aquí un rápido resumen de cómo se desarrollan estos ataques según el FBI:
- Los estafadores se ponen en contacto con las víctimas haciéndose pasar por el servicio técnico de una empresa legítima (Microsoft, McAfee, Norton, etc.), con el pretexto de que hay un problema con su dispositivo.
- Se pide a la víctima que vuelva a llamar a un número y se le asegura que el problema podría resolverse. Sin embargo, el atacante dice entonces a su víctima que sus cuentas financieras han sido hackeadas. Por motivos de seguridad, deben trasladar inmediatamente su dinero a una cuenta de terceros.
- A continuación, se ordena a las víctimas que vendan activos, compren oro (para que lo recoja un mensajero) o transfieran dinero a otras cuentas bajo el control de los estafadores.
Si quieres conocer más sobre este tipo de estafas de soporte técnico de una forma divertida y entretenida, le recomendamos que eche un vistazo a los canales de YouTube Scammer Payback y Kitboga.
¿Qué podemos aprender de estos ataques quid pro quo?
Entonces, ¿qué podemos aprender de estos ejemplos de ataques quid pro quo?
En primer lugar, no confíe: verifique.
La frase deriva de un antiguo proverbio ruso que dice: «Confía, pero verifica». La idea es que nunca se debe confiar ciegamente en lo que dice alguien, sino que siempre se debe verificar sus afirmaciones.
El hackeo de Axie Infinity, por ejemplo, ilustra cómo los atacantes pueden crear ataques muy selectivos e hiperpersonalizados. Por eso hay que verificar cualquier forma de oferta de trabajo no solicitada (o comunicación no solicitada). Puede solicitar identidades, funciones laborales y volver a comprobarlas en el sitio web oficial de la empresa.
En segundo lugar, nunca comparta información delicada por teléfono o correo electrónico.
Los empleados que trabajan a distancia son objetivos principales para los atacantes que se hacen pasar por personal de soporte técnico informático. Recuerde que el personal informático oficial nunca le pedirá su contraseña, número de tarjeta de crédito, etc. por teléfono o correo electrónico.
Estrategias de Prevención: Cómo evitar los ataques Quid Pro Quo
En la sección anterior, hemos abordado algunas lecciones clave para evitar los ataques quid pro quo. Explorémoslas un poco más.
Formación y sensibilización
Como en todos los ataques de ingeniería social, la concienciación es la principal línea de defensa.
- Realice talleres para educar a los empleados sobre la naturaleza de los ataques quid pro quo, haciendo hincapié en las tácticas utilizadas por los atacantes que ofrecen servicios o beneficios a cambio de información delicada.
- Enseñe al personal a identificar las ofertas no solicitadas, especialmente las que parecen demasiado buenas para ser verdad o proceden de una fuente desconocida.
Protocolos de verificación
No confíe, verifique.
- Establezca procedimientos para verificar la identidad de las personas que solicitan información o acceso sensibles. Esto puede incluir volver a llamar al soporte informático a través del número oficial.
- Permita la AMF para añadir una capa adicional de seguridad, garantizando que las solicitudes de acceso son legítimas.
Políticas de seguridad sólidas
- Desarrolle y difunda políticas de seguridad exhaustivas que describan los comportamientos aceptables, los procedimientos para manejar información sensible y los protocolos para informar de actividades sospechosas.
- Cree un sistema fácil de usar para que los empleados informen de intentos de quid pro quo u otros incidentes de seguridad.
Otras buenas prácticas para evitar los ataques quid pro quo
- Sea siempre precavido. Nunca nada es totalmente gratis. Y si algo suena demasiado bueno para ser verdad, probablemente lo sea.
- Nunca otorgue información personal a menos que haya iniciado el intercambio. Si tiene que facilitar sus credenciales de acceso a un informático legítimo, asegúrese de cambiarlas después.
- Utilice contraseñas seguras y cámbielas regularmente. Revise nuestro artículo sobre contraseñas para adquirir buenos hábitos.
El auge de la IA en los ataques Quid Pro Quo
La inteligencia artificial (IA) ha reconfigurado la forma en que los ciberdelincuentes organizan sus estafas de ingeniería social.
Hasta hace muy poco, los ataques quid pro quo se basaban en el engaño a través de la interacción humana. Pero ahora la IA permite a los estafadores automatizar y perfeccionar sus métodos con una precisión alarmante.
Los modelos de aprendizaje automático procesan enormes cantidades de información. Esto permite a los atacantes elaborar interacciones altamente engañosas. Publicaciones en redes sociales, bases de datos filtradas, registros públicos… La IA permite ahora a los atacantes generar comunicaciones hiperpersonalizadas que parecen totalmente legítimas.
Por ejemplo, un chatbot con IA puede imitar de forma convincente a un agente de soporte informático, ofreciendo asistencia falsa a cambio de credenciales confidenciales.
Además de la manipulación basada en texto, la tecnología deepfake y el software de voz sintética añaden otra capa de engaño. Los atacantes pueden fabricar grabaciones de audio y vídeo que imiten a personas reales, haciendo que las solicitudes fraudulentas parezcan irrefutablemente auténticas.
Como resultado, es mucho más probable que la gente cumpla, creyendo que está interactuando con un colega o supervisor de confianza.
El creciente uso de la IA en estas estafas exige una mayor concienciación y mejores defensas de seguridad. Las empresas y los particulares deben adelantarse a las amenazas emergentes adoptando la autenticación multifactor, examinando las solicitudes no solicitadas y fomentando un enfoque escéptico ante las ofertas inesperadas de ayuda.
Conclusión sobre los ataques Quid Pro Quo
Un ataque quid pro quo es una ciberamenaza basada en un intercambio de buena voluntad. Esto lo hace más insidioso porque, como humanos, pensamos que tenemos que devolver cualquier servicio prestado de una forma u otra.
Esperamos que con este artículo haya comprendido mejor qué son los ataques quid pro quo y cómo protegerle. Por último, pero no por ello menos importante, utilice servicios seguros como una suite de correo electrónico como Mailfence.
¿Quiere saber más? Consulte estos cursos y estudios online sobre el tema de la ingeniería social:
- Comprender los ataques de ingeniería social proporcionado por TEEX
- Curso de Ingeniería Social y Phishing de 1 día de duración impartido por la Academia CQURE
- Informe 2024 de IBM sobre el coste de una vulneración de datos
- Informe de Verizon sobre la investigación de las vulneraciones de datos en 2024
