Si sabes latín seguramente conozas cuál es el significado de la expresión quid pro quo. Esta podría traducirse literalmente como "una cosa por otra" o "algo sustituído por otra cosa". La frase se utiliza para hacer referencia a una equivocación consistente en tomar una cosa por otra distinta o a una persona por otra.
En el ámbito de la ciberseguridad, quid pro quo se usa para definir un determinado tipo de ciberataque, en concreto uno de ingeniería social. Para algunos también es un tipo de método de baiting (cebo) porque se proporciona un supuesto beneficio si se realizan ciertas tareas.
En los ataques quid pro quo los cibermalos ofrecen una cosa a las víctimas a cambio de cierta información o dato sensible. Puede ser un descuento, un regalo o una contraprestación.
Estas amenazas se caracterizan por una suerte de intercambio y se basan en el principio de reciprocidad. Es decir, psicológicamente los seres humanos nos vemos impelidos a devolver un favor cuando nos hacen uno.
En muchos casos lo que proporcionan es "soporte técnico" a cambio de brindar acceso a información segura. Ellos nos hacen una auditoría o análisis de nuestro equipo para eliminar potenciales virus y nosotros solo debemos proporcionar nuestro usuario y contraseña.
Este último caso es el ejemplo más claro. Los ciberdelincuentes se hacen pasar por representantes del servicio técnico de una compañía proveedora de algún tipo. En principio parece que prestan ayuda y a cambio tú les das acceso a tu ordenador. Sin embargo, aprovechan este para plantar malware, instalar un ransomware, etc.
Desde O´Reilly afirman que se trata de un ataque de ingeniería social que suelen llevar a cabo atacantes de bajo nivel. "Estos atacantes no tienen herramientas avanzadas a su disposición y no investigan sobre los objetivos", aseguran.
Qué pueden implicar estos ataques
Pese a este último los ataques quid pro quo pueden tener consecuencias desastrosas para sus víctimas. En TechSlang se citan algunas de ellas:
Suplantación de identidad
Los usuarios pueden ser conducidos fácilmente a páginas de phising donde tengan que ingresar sus credenciales de inicio de sesión o incluso dan estos datos de acceso directamente a los atacantes, pensando que son auténticos representantes de la organización.
Ransomware
Las víctimas de estos ataques pueden ser engañadas para que instalen una variante de ransomware en sus equipos. Si estos están conectados a una red doméstica o corporativa ya se ha liado 'la de San Quintín'. La infección puede propagarse fácilmente y los datos y activos de la compañía pueden mantenerse cifrados e inaccesibles a cambio de un supuesto rescate, cuyo pago en la mayoría de los casos no solucionada nada.
Compromiso de email comercial (BEC)
Si la víctima es un ejecutivo de nivel C la organización puede sufrir un grave riesgo. Su cuenta de correo puede ser secuestrada y usada por los cibermalos para convencer a los empleados del departamento administrativo o de finanzas a que hagan una transferencia o ingreso a la cuenta del atacante.