Existen múltiples métodos de ataques cibernéticos que son usados para apoderarse de la información de las empresas; algunas de estas tácticas requieren meses de investigación, mientras que otras se pueden hacer en un día. Ciertos tipos de ataques tienen más éxito que otros, con métodos que van desde mensajes de correo falsos hasta la incitación de decisiones imprudentes por parte de tus empleados. En este artículo vamos a profundizar un poco acerca del método conocido como “Quid Pro Quo”, por lo que vamos a plantear respuestas a interrogantes tales como: ¿Qué es un ataque quid pro quo? Sigue leyendo y podrás descubrir y aprender lo que puedes hacer para prevenirlo, también tendrás la oportunidad de apreciar algunos ejemplos de ataques quid pro quo.
Definición de Quid Pro Quo
Técnicamente podríamos definir, un ataque quid pro quo como un ataque phishing de cebo, el cual, en vez de apelar a la curiosidad humana, la víctima recibe la oferta de un beneficio a cambio de alguna acción específica. Quid pro quo es una frase en latín que significa «un favor por un favor», y eso es esencialmente a lo que esta estafa se reduce: los atacantes te ofrecen algo a cambio de información.
¿Qué puede suceder después de un ataque Quid Pro Quo?
Si te preguntas cual es la peor parte de un ataque quid pro quo, es que la mayoría de las veces, este no es el componente final de un ataque; ya que a menudo este crea una puerta de enlace que los piratas informáticos usan para abrirse paso a los bancos de datos de una empresa o para llevar a cabo otras fechorías de mayor impacto, a continuación, te presentamos algunos ejemplos de las consecuencias de un ataque quid pro quo.
Correos phishing
Un ataque quid pro quo no siempre se siente como un intercambio, por ejemplo, tu dirección de correo electrónico, la cual puede parecer algo intrascendente, podría ser todo lo que buscan los atacantes desde el principio. Tan pronto como estos tengan dicha dirección en su poder, prepárate para recibir una avalancha de correos maliciosos, estafas y mensajes de spam.
Ataques ransomware
La amenaza puede que no provenga de algo que has intercambiado, ya que lo que recibes es lo que contiene el verdadero veneno. La mayoría de los atacantes quid pro quo tienen la pericia para convencer a sus víctimas de que están realizando un intercambio o transacción razonable a cambio de un producto o servicio genuino.
Cuando estos ofrecen un enlace para visitar o un archivo para descargar y la víctima interactúa con estos, ya es demasiado tarde. Los atacantes fácilmente pueden enviar secuencias de comandos dañinas o archivos maliciosos que desvían tu información, infectan tu hardware e incluso contaminan los sistemas de toda la empresa.
Ataques de correos electrónicos comerciales (BEC)
Si llevaste a cabo un intercambio usando cuentas de correo electrónico de tu empresa, puedes apostar a que esta será usada con fines maliciosos. Dependiendo de los correos a los que tenga acceso el atacante, este puede enviar mensajes de spam a todas las direcciones de correo disponibles de la empresa.
Peor aún, si el atacante tiene la oportunidad de dar un vistazo al correo electrónico de un alto ejecutivo, este puede intentar fácilmente un ataque de suplantación de identidad y engañar a otros empleados con esta fachada. Esta práctica es bastante común ya que los atacantes pueden manipular la confianza de los empleados haciéndose pasar por las autoridades de la empresa.
Quid Pro Quo vs. Baiting
El baiting toma cuerpo en base al miedo o la curiosidad de sus víctimas, esta táctica de ingeniería social tiene poca o ninguna interacción por parte del atacante, ya que este solo libera el cabo con la esperanza que una víctima caiga. Todo lo el atacante debe hacer es esperar a que alguien active su cebo, lo cual es su principal diferencia con ataques quid pro quo.
El quid pro quo requiere interacción directa por parte del atacante, ya que este debe ofrecer a la víctima algo a cambio, además de ofrecer confianza a la víctima para que esta sienta que recibe algo justo en el intercambio, o incluso algo que es más beneficiosos para esta.
Ejemplos de Quid Pro Quo
¿Serías capaz de identificar y evitar fácilmente un ataque quid pro quo? La dura realidad es que no siempre es tan simple. Existen muchas instancias de este tipo de ataques en las cuales, en lugar de explotar la codicia de una víctima, los atacantes no ofrecen algo con valor superficial, manteniendo más bien, a sus víctimas como rehenes con información ofrecida a cuentagotas.
Si un atacante tiene información sobre su objetivo o la empresa de este, puede amenazar con divulgar públicamente o darle la información a la persona equivocada, por lo que esta táctica es idónea para hacer demandas.
“Tengo información de valor relevante de tu empresa, dame los datos de tu cuenta de usuario o esta se hará pública”.
Incluso si la afirmación es falsa, la víctima no puede saberlo, ya que los piratas informáticos siempre suenan confiados y evitan dar más detalles de los necesarios.
Este escenario es uno de los ejemplos de quid pro quo más extremos, pero también es bastante factible, dada la cantidad de empresas que pierden información cuando intentan apaciguar a estos depredadores.
¿Cómo prevenir los ataques Quid Pro Quo?
Los ataques quid pro quo pueden complicarse rápidamente, pero no son inevitables. Podemos tomar ciertas precauciones y aplicar diversos métodos de prevención que reducen las posibilidades de que un ataque quid pro quo drásticamente; ten en cuenta las siguientes pautas indicadas a continuación para evitar este tipo de ataques a futuro.
¿Has iniciado un intercambio de información?
Una de las normas más importantes que debes tener presente al estar en línea es nunca intercambiar información a menos que tú mismo hayas iniciado la interacción. Ya sea a través de una llamada o un mensaje, nunca proporciones información personal o confidencial de ningún tipo si no has iniciado contacto.
Asume siempre que los servicios de atención al cliente o servicios similares no te contactan por su cuenta. Si tú te comunicas con representantes oficiales de soporte, eso es una cosa; pero si estos te contactan por voluntad propia y exigen información, entonces algo no anda bien.
Usa los números de contactos oficiales de la empresa
Los números de teléfono de confianza están disponibles en los sitios web oficiales de las empresas, por lo que no es recomendable que uses números no oficiales o que sean diferentes a las vías de comunicación regulares. Si lo haces, expones tu número a riesgo de llamadas y mensajes maliciosos que buscarán estafarte. Procura ser tan cauteloso como puedas al momento de dar tu número y procura que este lo tenga únicamente la gente en tu lista de contactos, cuantos más ojos se fijen en tu número, mayor será el riesgo de ataques.
Mantén tus contraseñas actualizadas
Una óptima gestión de contraseñas es una de las formas más subestimadas de protección contra los ataques cibernéticos, por lo que te recomendamos mantener tus contraseñas actualizadas, para que estas sean difíciles de adivinar. Procura no reutilizarlas y asegúrate de poder recordarlas con facilidad.
Una de las formas más importantes en que los atacantes adquieren influencia sobre sus víctimas en un ataque quid pro quo es reteniendo información a modo de rehén, la cual obtienen infiltrándose en cuentas con contraseñas débiles.
Pensamientos de cierre
Los ataques quid pro quo tienen similitudes con otros métodos de ataques cibernéticos, ya que una oferta tentadora puede atraer a las víctimas de manera más fácil que la creación de falso sentido de urgencia. En muchos escenarios, la tentación es un impulso fuerte, comparado con el miedo instintivo y a menudo, también resulta más confiable.
Recuerda tener cuidado al tratar con ofertas que suenan muy atractivas en Internet. Investiga y toma precauciones, recuerda que, si algo suena demasiado bueno para ser verdad, probablemente es porque así lo sea.