Los ataques quid pro quo son una forma de ingeniería social en la que los atacantes ofrecen algo aparentemente útil, como asistencia informática, software u oportunidades laborales, a cambio de información confidencial o acceso a sistemas internos. Aunque estas ofertas puedan parecer genuinas, están diseñadas para manipular a las víctimas y comprometer la seguridad de la organización.
El término «quid pro quo» procede del latín y significa literalmente «algo por algo». Es decir: Tú me das algo, yo te doy algo.
¿Cómo funciona el ataque Quid Pro Quo?
Suplantación de identidad: el atacante se hace pasar por una entidad legítima, como soporte técnico o un proveedor de servicios.
Oferta: Ofrecen ayuda, una solución o una recompensa, como solucionar un problema técnico o proporcionar un servicio gratuito.
Solicitud: A cambio, le piden algo a la víctima, generalmente credenciales de inicio de sesión, información personal o acceso a un sistema.
Manipulación: El atacante utiliza tácticas de ingeniería social, como crear una sensación de urgencia, parecer informado y autoritario y explotar la voluntad de la víctima de ayudar o el miedo a las consecuencias para ganarse su confianza y su obediencia.
Explotación: Una vez que la víctima proporciona la información o el acceso solicitado, el atacante la utiliza para realizar actividades maliciosas, como robar datos, instalar malware u obtener acceso no autorizado a los sistemas.
¿Cómo prevenirlo?
- Capacitación en seguridad: Se debe de enseñar a los empleados como identificar eventos de ingeniería social para que no caigan en este tipo de trampas.
- Verificar la identidad: Confirmar la identidad de las personas que soliciten acceso o información, esto se puede hacer mediante el directorio corporativo o haciendo preguntas sobre a que área pertenece o quien es su jefe inmediato.
- Uso de canales oficiales: Evitar compartir información fuera de los canales corporativos autorizados.
- Desconfianza: Si alguien nos contacta ofreciéndonos algo que no hemos solicitado a cambio de algo, es mejor reportarlo al área de riesgos o microinformática.
