Ingeniería Social: ataques de Quid pro Quo

quid pro quo social engineering attack

Tabla de contenidos

Comparte el artículo:

Los ataques de quid pro quo son un tipo de ataque de ingeniería social en los que un hacker promete a la víctima un beneficio a cambio de información que se puede usar posteriormente para robar dinero, datos o tomar el control de la cuenta de un usuario en una página web.

Mailfence - Obtenga su email seguro y gratuito.

4,1 basado en 177 opiniones de usuarios

Mailfence - Obtenga su email seguro y gratuito.

4.1 basado en 177 opiniones de usuarios

¿Qué es un ataque de quid pro quo?

Los ataques de quid pro quo se caracterizan por un intercambio «equitativo«. Literalmente, el término significa «algo a cambio de algo«. Esta noción de intercambio es crucial, porque los seres humanos obedecemos al principio psicológico de la reciprocidad. Esto significa que cada vez que alguien nos da algo o nos hace un favor, nos sentimos obligados a devolver este favor.

En el caso de los ataques de quid pro quo, los beneficios o ventajas prometidos a cambio de información suelen ser un servicio (cuando el beneficio es un bien, entonces se habla de un ataque de baiting).

Digamos que le contacta un empleado de TI que le ofrece hacer una auditoría en su PC para eliminar potenciales virus que podrían afectar al rendimiento de su ordenador. Pero para esto, necesita su inicio de sesión y contraseña. ¡Todo suena muy natural! Usted le brinda la información sin discutir más: después de todo, ya lleva meses quejándose de lo lento que va su ordenador. El detalle es que este intercambio de buenas voluntades podría no ser beneficioso, y que posiblemente usted acabe de caer en la trampa de un ataque de quid pro quo.

Los ataques de quid pro quo se basan en la manipulación y el abuso de confianza. Por tanto, caen dentro de la categoría de las técnicas de ingeniería social, como los ataques de phishing (incluyendo al spear phishing y al whaling), baiting o pretexting.

¿Cuál es la diferencia entre quid pro quo y pretexting?

La técnica de pretexting también es un tipo de ingeniería social. Pero se basa en un escenario muy elaborado (un buen pretexto) para obtener información delicada de la víctima. Con frecuencia, este escenario implica la intervención de personas con una autoridad específica (gerentes, técnicos, oficiales de policía, etc.) y/o implica una cierta urgencia para obligar a la víctima a actuar con rapidez y sin pensar. Por ejemplo, los hackers afirman que necesitan obtener algún tipo de información para confirmar la identidad de la víctima.

Este escenario es más elaborado que el caso del ataque de quid pro quo, y a diferencia de este, no está basado en un intercambio.

¿Cuál es la diferencia entre el quid pro quo y el baiting?

Al igual que ocurre con el baiting, los ataques de quid pro quo son técnicas de ingeniería social. Estas dos ciberamenazas se basan en la manipulación psicológica y en la creación de confianza para obtener información delicada de una víctima incauta. Sin embargo, en los ataques de quid pro quo, el hacker ofrece un servicios a su víctima a cambio de información delicada. En el caso del baiting, a la víctima se le pone un «cebo» con una oferta irresistible: un regalo o recompensa en efectivo, por ejemplo.

Adicionalmente, los ataques de quid pro quo suelen ser más sencillos que los de baiting. Y no requieren de mucha preparación ni de herramientas sofisticadas.

Algunos ejemplos

Uno de los casos más comunes para los ataques de quid pro quo son en los que los impostores se hacen pasar un empleado de TI. El hacker contacta a la mayor cantidad posible de empleados de la empresa en su línea directa para ofrecer, supuestamente, soporte de TI.

El hacker promete resolver un problema rápidamente a cambio de que el usuario desactive el antivirus. Una vez desactivado, el falso técnico puede instalar malware en los ordenadores de las víctimas, disfrazándolos de actualizaciones de software.

En otro escenario muy común, el hacker procura robarse las credenciales de un empleado. En este caso, vuelve a ocurrir que el estafador contacta al empleado presentándose como especialista en tecnología de una compañía de TI especializada en resolución de problemas de software. Después de hacerle algunas preguntas a la víctima para determinar qué problemas está teniendo con su PC, le ofrece darle un vistazo:

 ¡No hay problema, se lo resuelvo en un periquete! Solo necesito su inicio de sesión y contraseña

¡Esta es una señal de alerta a la que hay que prestar atención!

Cómo evitar los ataques de quid pro quo

Al igual que con otros tipos de ingeniería social, es importante tomar las medidas de seguridad adecuadas para protegerse tanto a usted mismo como a sus datos delicados.

  • Adopte una actitud cautelosa: un «regalo» o «servicio» nunca es gratuito del todo. ¡Si suena demasiado bueno para ser verdad, lo más probable es que así sea! En el peor caso posible, es un ataque de quid pro quo.
  • Nunca revele información personal o de su cuenta, a menos que sea usted quien haya iniciado la conversación. Después de una posible intervención en la que usted habrá proporcionado su información de inicio de sesión, cambie su contraseña para evitar posteriores usos.
  • Cuando una empresa le contacte, devuélvales la llamada usando el número de teléfono que aparece en su página web. Nunca les devuelva la llamada a través de un número suministrado por la persona con la cual ha conversado.
  • Si la llamada que recibió no le deja muy seguro, es mejor dejarla así.
  • Use contraseñas seguras y cambie sus contraseñas periódicamente. Revise nuestro artículo acerca de las contraseñas para desarrollar buenos hábitos.
  • Fórmese para poder reconocer las técnicas de ingeniería social y otras ciberamenazas. Dele un vistazo a nuestro curso de concienciación acerca de la seguridad y la privacidad del E-mail para más detalles.

Proteja a su organización

También se puede usar un ataque de quid pro quo para obtener información o lanzar un ataque más peligroso sobre una empresa, como un ataque de phishing o de ransomware. Por tanto, no se debe ignorar a este tipo de ataques, y su empresa debe tomar medidas para protegerse contra estos:

  • Todos sus empleados deben estar conscientes de las ciberamenazas y la ciberseguridad. Deben ser capaces de identificar las tácticas de manipulación empleadas en ataques de quid pro quo u otros tipos de técnicas de ingeniería social. También deben evitar el transmitir datos delicados por teléfono o correo electrónico.
  • Adopte herramientas de ciberseguridad para proteger sus sistemas informáticos, tales como cortafuegos y software antivirus.
  • Use herramientas seguras para almacenar su información. No olvide su correo electrónico: un correo electrónico protegido por cifrado de extremo a extremo le garantiza que solamente los destinatarios que haya validado podrán leer los mensajes que le enviarán sus colaboradores.
  • Active la autenticación de dos factores (2FA) cada vez que una página web o aplicación se la ofrezcan.
  • Asegúrese de respaldar frecuentemente sus datos en diversos medios de almacenamiento, uno de los cuales debe permanecer fuera de su empresa. Si le es posible, implemente también un plan de recuperación ante desastres. Si sus datos quedan expuestos, le será más fácil continuar con sus actividades y evitar pérdidas financieras.

Conclusión

Un ataque de quid pro quo es una ciberamenaza basada en un intercambio de buena voluntad. Esto lo vuelve más insidioso, porque los seres humanos consideramos que tenemos que retribuir cualquier servicio recibido, de una forma u otra. Por último, es posible usar un ataque como este para obtener credenciales que se puedan explotar en acciones mucho más malintencionadas, como los ataques de ransomware. Como siempre, es importante ser cauteloso y revisar bien cualquier punto de contacto inesperado. Y por último, pero no por ello menos importante: use un servicio de correo electrónico seguro como el paquete de correo electrónico de Mailfence.

¿Necesita más información? Envíenos un correo electrónico a support@mailfence.com

Recupera la privacidad de tu correo.

Cree hoy mismo su correo electrónico gratuito y seguro.

Picture of M Salman Nadeem

M Salman Nadeem

Salman trabaja como analista de seguridad de la información en Mailfence. Sus áreas de interés incluyen criptografía, arquitectura y diseño de seguridad, control de acceso y seguridad de operaciones. Puedes seguirle en LinkedIn @mohammadsalmannadeem.

Recomendado para usted