¿Qué es pharming?

El pharming en informática es similar al phishing en el sentido de que es una amenaza que busca convencer a los usuarios para que divulguen información privada. Pero, en vez de usar el correo electrónico como vector de ataque, el pharming se sirve de código malintencionado ejecutado en el dispositivo de la víctima para redirigir una página web controlada por el atacante. Como el pharming ejecuta código en el ordenador de la víctima, el atacante no depende de que el usuario objetivo haga clic en un enlace o responda a un correo electrónico. En lugar de eso, el código malintencionado dirige al usuario objetivo a la página web del atacante, eliminando el paso adicional en que el usuario hace clic en un enlace.

El pharming implica secuestrar la configuración del navegador del usuario o ejecutar un proceso en segundo plano que redirige automáticamente a los usuarios a una página malintencionada. El atacante usa redireccionamientos o ventanas emergentes (pop-ups) en el escritorio del usuario, que muestran la página de phishing en un enlace enmascarado. En muchos casos, el objetivo del atacante es obtener datos financieros o las credenciales de autenticación del usuario, así que el redireccionamiento se dispara cuando el usuario navega a una página web bancaria.

Por ejemplo, un atacante puede usar código malintencionado para monitorizar la actividad web del usuario para disparar un redireccionamiento a una página bancaria suplantada. Cuando un usuario entra a su dominio bancario en la barra de direcciones del navegador, el código de pharming secuestra la actividad del usuario y redirige al navegador a una página web controlada por el atacante, que luce casi exactamente igual que la del banco. Los usuarios rara vez comprueban el dominio en la barra de direcciones del navegador, así que es un ataque eficaz para robar datos financieros de los usuarios, incluyendo sus credenciales.

Otro ejemplo común es redirigir a los usuarios a otra página web cuando se introduce un buscador en el navegador. El atacante usa un buscador malintencionado para redirigir a los usuarios a páginas de anuncios o a una web específica de phishing. Esto se puede lograr secuestrando recursos del navegador o detectando cuando los usuarios navegan a una página financiera en específico.

Como los ataques de pharming no se basan en el correo electrónico, el malware se usa para redirigir a los usuarios y robar datos. El archivo de instalación del malware debe ejecutarse antes, y después puede ejecutarse en el ordenador tras cada reinicio. El malware debe funcionar correctamente, pero los agentes de amenaza rara vez prueban sus softwares y muchas veces les introducen errores. Los errores pueden causar que el sistema se cuelgue accidentalmente, reinicios, pantallas azules de la muerte y otros problemas informáticos. Cualquier error que afecte la funcionalidad principal del malware podría volverlo ineficaz para robar datos. Pero, sin embargo, podría afectar las operaciones de su ordenador, dejándole incapacitado para usarlo.

Otro método que se usa en el pharming es el envenenamiento de DNS. El malware cambia la configuración de DNS en el ordenador local, redirigiendo a los usuarios a una página web malintencionada cuando escriben un dominio en el buscador. Todos los ordenadores que se conectan a internet usan una configuración de DNS específica, y un servidor DNS almacena la dirección IP de todos los dominios de internet. Cuando los navegadores ejecutan una búsqueda, estos redirigen a los usuarios a la dirección IP listada en un servidor DNS. En el envenenamiento de DNS, la dirección IP se vincula a un dominio ubicado en el servidor del atacante.

El pharming y phishing son similares en el sentido de que ambos procuran engañar a los usuarios para que divulguen información privada, pero la modalidad usada para engañar a las víctimas es diferente. En un ataque de phishing, un agente de amenaza redacta un correo electrónico que luce igual que un correo empresarial para despistar a los usuarios. El correo electrónico de phishing suele contener un enlace en que el usuario debe hacer clic para que el ataque funcione. El phishing también puede incorporar la ingeniería social para mejorar el ataque e incrementar la posibilidad de que se roben dinero o datos a la víctima.

En un ataque de pharming, no hace falta ningún mensaje de correo electrónico, porque el malware se ejecuta como proceso en segundo plano en el ordenador, interceptando las solicitudes web y redirigiendo a los usuarios a páginas malintencionadas. Además de la ejecución inicial del malware, no hace falta ninguna otra interacción con el usuario. Una vez que el malware se ejecuta, persiste en el ordenador incluso después de reiniciarlo. Solo las herramientas de eliminación de malware pueden eliminar los archivos usados para monitorizar la actividad de los usuarios, mostrar pop-ups o secuestrar configuraciones de navegador.

Robar datos es uno de los principales objetivos de un atacante, pero robar credenciales le brinda a un agente externo un control total sobre su cuenta. Tener el control de una cuenta podría ser mucho más valioso. Por ejemplo, obtener las credenciales de la cuenta desde una cuenta de correo electrónico ofrece mucha más información al atacante de la que obtendría robando información delicada a un usuario objetivo.

En un ataque de phishing, a los usuarios se les engaña para que envíen sus credenciales a un agente de amenaza por correo electrónico. En un ataque de pharming, a los usuarios no se les engaña para que entren a una página web malintencionada. En lugar de eso, el atacante roba datos usando procesos de respaldo de malware o envía automáticamente al usuario a una página web de phishing en su navegador.

El pharming es mucho más eficaz que el phishing, porque no necesita que el usuario haga clic en un enlace. Sin embargo, el phishing sigue siendo un vector de ataque muy popular para los agentes de amenaza. El pharming es beneficioso para los actores de amenaza con conocimientos de programación. Los autores de malware necesitan distribuir sus programas malintencionados a usuarios objetivo, así que se sirven de mensajes de correo electrónico para propagar el malware a los destinatarios objetivo. Después de que el malware se ejecuta en los ordenadores de los usuarios objetivo, un atacante puede recolectar dinero o información delicada a partir de anuncios y páginas web malintencionadas.

Tanto si se hace mediante correo electrónico o mediante pharming, los usuarios siempre deben evitar activar archivos ejecutables adjuntos a correos electrónicos o archivos de páginas de software no oficiales. Ambos, pharming y phishing pretenden robar credenciales o información bancaria, así que manténgase lejos de archivos adjuntos y software malintencionado en páginas web sospechosas.