¿Qué es el pharming?

Pharming (se pronuncia como “fárming”) es un término utilizado para describir un tipo de ciberataque que redirige a los usuarios a sitios web fraudulentos o manipula sus sistemas informáticos para recopilar información delicada. También conocido como “phishing farmacéutico” o “phishing sin señuelo”, “pharming” es una combinación de las palabras “phishing” y “farming” (en inglés: “agricultura” o “cultivo”), que indica la naturaleza a gran escala del ataque.

En los ataques de pharming, individuos o grupos malintencionados utilizan diversas técnicas para engañar a los usuarios y conducirlos a sitios web falsificados que se asemejan mucho a los legítimos, como portales de banca online, plataformas de compras al por menor o redes de medios sociales. La intención última de estos ataques es engañar a los usuarios para que divulguen su información personal, como nombres de usuario, contraseñas, datos de tarjetas de crédito u otros datos delicados.

El pharming se parece al phishing en que es una amenaza que engaña a los usuarios para que divulguen información privada, pero en lugar de basarse en el correo electrónico como vector de ataque, el pharming utiliza código malicioso ejecutado en el dispositivo de la víctima para redirigirla a un sitio web controlado por el atacante. Dado que el pharming ejecuta el código en el ordenador de la víctima, el atacante no depende de que el usuario objetivo haga clic en un enlace o responda a un correo electrónico. En su lugar, el código malintencionado dirige al usuario objetivo al sitio web del atacante, eliminando el paso adicional de que el usuario haga clic en un enlace.

El pharming en informática, es un tipo sofisticado de actividad fraudulenta que redirige a los usuarios de Internet a sitios web falsos para robar información personal o financiera, como credenciales de inicio de sesión, datos de tarjetas de crédito o números de la seguridad social. Aunque el pharming puede adoptar muchas formas, generalmente se lleva a cabo utilizando una de las siguientes técnicas:

• Infección por malware: Para ejecutar ataques de pharming pueden utilizarse programas malintencionados como virus informáticos, troyanos o registradores de pulsaciones de teclas. Estos programas malintencionados pueden infectar el ordenador o la red de un usuario, alterar la configuración DNS o manipular el archivo del host. Cuando los usuarios intentan acceder a un sitio web legítimo, son redirigidos sin saberlo a un sitio malintencionado.
• Envenenamiento de la caché DNS: Explotar las vulnerabilidades del Sistema de Nombres de Dominio (DNS) es otra forma en que los ciberatacantes llevan a cabo el pharming. El DNS es responsable de traducir los nombres de dominio en direcciones IP que los ordenadores entiendan. Envenenando la caché del DNS, los atacantes pueden manipular la correspondencia entre los nombres de dominio y las direcciones IP.
• Modificación de archivos del host: Otra técnica consiste en alterar el archivo del host en el ordenador de un usuario o la configuración DNS en una red local. El archivo del host es un archivo local en un ordenador que asigna nombres de dominio a direcciones IP específicas. Los atacantes pueden modificar este archivo para redirigir a los usuarios a sitios web malintencionados en lugar de legítimos.
• Servidores DNS fraudulentos: Los atacantes pueden instalar servidores DNS fraudulentos o comprometer los existentes. Cuando los usuarios intentan visitar un sitio web legítimo, sus peticiones son redirigidas a estos servidores DNS malintencionados. A continuación, los servidores proporcionan direcciones IP falsas, lo que conduce a los usuarios a sitios web fraudulentos que imitan las versiones reales.

Una vez que los usuarios son redirigidos a los sitios web fraudulentos, a menudo se les pide que envíen información confidencial que los atacantes capturan a continuación. Los atacantes explotan esta información para diversos fines malintencionados, como el robo de identidad, el fraude financiero o el acceso no autorizado a cuentas.

Existen dos tipos principales de ataques de pharming: el pharming basado en DNS y el pharming basado en host. Dentro de cada tipo hay métodos específicos que utilizan los atacantes. Echemos un vistazo más de cerca a cada uno:

Pharming basado en DNS

Los ataques de pharming basados en DNS aprovechan las vulnerabilidades de la infraestructura DNS para redirigir a los usuarios a sitios web malintencionados. Este tipo de ataque suele implicar los siguientes métodos:

• Envenenamiento de la caché DNS: Los atacantes manipulan la caché DNS de los servidores DNS o de los routers para redirigir la asignación de nombres de dominio a direcciones IP. Al inyectar registros DNS falsos en la caché, pueden redirigir a los usuarios a sitios web fraudulentos.
• Vulneración de servidores DNS: Con el acceso no autorizado a los servidores DNS, los atacantes modifican la configuración DNS para alterar la dirección IP asociada a un nombre de dominio, redirigiendo así a los usuarios a un sitio web malintencionado.
• Secuestro de DNS: Los atacantes comprometen la configuración DNS del ordenador o del router de un usuario para redirigir sus peticiones DNS a servidores DNS malintencionados. Estos servidores proporcionan direcciones IP falsas, conduciendo a los usuarios a sitios web fraudulentos.
• Pharming de credenciales: También conocido como recolección de credenciales o robo de credenciales de inicio de sesión, este tipo de ataque de pharming roba las credenciales de inicio de sesión de los usuarios manipulando la configuración DNS y los archivos del host o empleando otras técnicas para redirigir a los usuarios a sitios web falsos que imitan a los legítimos.

Pharming basado en hosting

Este tipo de ataque de pharming implica la manipulación del archivo del host en el ordenador de un usuario o la configuración DNS en una red local a través de los siguientes métodos:

• Modificación del archivo del host local: Cuando un atacante modifica el archivo del host en el ordenador de una víctima, puede redirigir las peticiones del usuario de sitios web legítimos a direcciones IP malintencionadas.
• Manipulación de la configuración DNS del router: Los atacantes pueden atacar a la configuración DNS del router de una red local. Cuando los usuarios se conectan a la red, sus solicitudes de DNS se redirigen a servidores DNS malintencionados que apuntan a sitios web falsos.
• Pharming de malware: Los atacantes pueden utilizar malware como virus informáticos, troyanos o keyloggers para infectar el ordenador o la red de un usuario. Este malware modifica la configuración DNS o el archivo host, redirigiendo a los usuarios a sitios web malintencionados.

Los distintos tipos de ataques de pharming pueden combinarse con otras técnicas de ingeniería social, como correos electrónicos de phishing o diseños engañosos de sitios web, para aumentar su eficacia. Al canalizar a los usuarios sin saberlo hacia sitios web fraudulentos, los atacantes aumentan sus posibilidades de robar información.

El pharming es una ciberamenaza frecuente desde hace varias décadas. He aquí algunos de los ejemplos más notables de pharming en el mundo real:

• El malware DNSChanger: Este ataque de pharming infectó millones de ordenadores en todo el mundo y redirigió el tráfico web de los usuarios a sitios fraudulentos. Modificaba la configuración DNS de las máquinas infectadas, redirigiendo a los usuarios a servidores malintencionados controlados por los atacantes. Esto les permitió interceptar información delicada y llevar a cabo diversas actividades fraudulentas.
• El ataque a los voluntarios venezolanos: En 2014, un grupo de hackers lanzó un ataque de pharming contra una organización de voluntarios venezolana. Los atacantes redirigieron a los usuarios a un sitio web falso que parecía el sitio legítimo de la organización y robaron su información personal.
• Un ataque dirigido a 50 bancos: En 2007, un sofisticado ataque de pharming tuvo como objetivo más de 50 instituciones financieras. Los atacantes utilizaron una combinación de malware y envenenamiento de servidores DNS para redirigir a los usuarios a sitios web falsos y robar sus credenciales de acceso.
• Operación Ghost Click: En 2011, el FBI descubrió la operación Ghost Click (en español, “clic fantasma”). Se trataba de un ataque a gran escala basado en DNSChanger que infectó más de cuatro millones de ordenadores en todo el mundo, redirigiendo a los usuarios a sitios web y anuncios falsos. Los atacantes se lucraron con los ingresos publicitarios generados por las actividades fraudulentas.
• El primer ataque de Pharming Drive-By: En 2008, Symantec informó del primer caso de ataque de pharming “drive-by” contra un banco mexicano. Los atacantes utilizaron una vulnerabilidad en el router del banco para redirigir a los usuarios a un sitio web falso y robar su información personal.

La naturaleza en constante evolución de las ciberamenazas significa que es probable que surjan nuevas variaciones y avances en los ataques de pharming. Esta inevitabilidad subraya la importancia de mantenerse alerta y emplear las prácticas recomendadas de ciberseguridad para protegerse contra este tipo de ataques.

Dado que los ataques de pharming no aprovechan el correo electrónico, se utiliza malware para redirigir a los usuarios y robar datos. Primero debe ejecutarse el archivo de instalación del malware, que puede ejecutarse en el ordenador después de cada reinicio. El malware debería funcionar bien, pero los autores de las amenazas rara vez prueban su software y a menudo introducen errores en el mismo. Los bugs pueden provocar bloqueos involuntarios, reinicios, pantallas azules de la muerte y otros problemas informáticos. Cualquier error que afecte a la funcionalidad principal del malware podría hacerlo ineficaz a la hora de robar datos. Aun así, podría dejar su ordenador inutilizable.

Otro método utilizado con el pharming es el envenenamiento de DNS. El malware cambia la configuración DNS del ordenador local, redirigiendo a los usuarios a un sitio malintencionado cuando teclean un dominio en el navegador. Cada ordenador que se conecta a Internet utiliza una configuración DNS, y un servidor DNS almacena la dirección IP de cada dominio de Internet. Cuando los navegadores realizan una búsqueda, dirigen a los usuarios a la dirección IP que figura en un servidor DNS. En el envenenamiento DNS, la dirección IP se vincula a un dominio del servidor del atacante.

Detectar los ataques de pharming es cada vez más difícil, ya que se han vuelto cada vez más engañosos para los usuarios. Sin embargo, diversas señales pueden indicar un posible ataque de pharming:

• Comportamiento inusual o cambios inesperados al visitar un sitio web conocido, como diseños diferentes, logotipos ausentes o alterados, o avisos sospechosos solicitando información personal.
• Recepción de correos electrónicos o mensajes de texto no solicitados que contengan un enlace a un sitio web.
• Ventanas emergentes o avisos que le piden que introduzca su información personal.
• Direcciones web incorrectas o URL en la barra del navegador que tienen un aspecto diferente del que usted espera o incluyen caracteres inusuales, subdominios adicionales o faltas de ortografía.
• Su navegador le redirige a una página web o URL diferente de la que pretendía visitar.
• Errores o advertencias del certificado SSL que aparecen al visitar un sitio web que anteriormente tenía un certificado SSL válido sin tales errores o advertencias.
• Los problemas repentinos de conectividad a la red o a Internet podrían indicar una configuración de DNS comprometida.
• Actividades inusuales en la cuenta, como transacciones financieras, que usted no inició.

Además de mantenerse alerta ante estas señales de advertencia, evite hacer clic en enlaces de correos electrónicos o mensajes de texto no solicitados y sea precavido al introducir información personal en Internet.

El phishing y el pharming se parecen en que engañan a los usuarios para que divulguen información privada, pero el modo utilizado para engañar a las víctimas difiere.

En un ataque de phishing, un agente de amenaza elabora un correo electrónico que parece oficial para engañar a los usuarios. El correo electrónico de phishing suele contener un enlace en el que el usuario debe hacer clic para que el atacante tenga éxito. El phishing también puede incorporar ingeniería social para mejorar la eficacia del ataque y aumentar la posibilidad de robar con éxito dinero o datos de la víctima prevista.

En un ataque de pharming, no es necesario enviar un mensaje de correo electrónico porque el malware se ejecuta como un proceso en segundo plano en el ordenador, interceptando las solicitudes web y redirigiendo a los usuarios a sitios web malintencionados. Aparte de la ejecución inicial del malware, no es necesaria ninguna interacción con el usuario. Una vez que el malware se ejecuta, persiste en el ordenador incluso después de reiniciarlo. Solamente las herramientas de eliminación de malware pueden eliminar los archivos que monitorizan la actividad del usuario, muestran ventanas emergentes o secuestran la configuración del navegador.

Para evitar ser víctima del pharming, los pasos y las prácticas recomendadas son similares a la prevención de virus y otro malware de máquina local. Sospeche siempre de los correos electrónicos con archivos adjuntos, especialmente los archivos ejecutables. Los archivos que contienen macros, como los de Microsoft Word o Excel, también podrían ejecutar código malintencionado. Debería bloquear las macros a menos que sepa que el archivo procede de una fuente de confianza.

Algunas prácticas recomendadas adicionales para evitar convertirse en víctima son:

• Utilizar un servicio DNS seguro para protegerse contra el envenenamiento del servidor DNS, un método común utilizado en los ataques de pharming.
• Mantener sus sistemas actualizados con los últimos parches de seguridad. Los ataques de pharming se basan en vulnerabilidades conocidas del software, por lo que mantener su software actualizado puede ayudarle a prevenir estos ataques.
• Ser precavido al introducir información personal en Internet. Asegúrese de que se encuentra en un sitio web legítimo y seguro antes de enviar cualquier información confidencial, como credenciales de inicio de sesión o datos financieros.
• Comprobar dos veces las direcciones URL de los sitios web antes de hacer clic en cualquier enlace o de introducir su información. Busque HTTPS en la URL y asegúrese de que la dirección del sitio web coincide con el sitio legítimo.
• Utilizar la autenticación de dos factores o de múltiples factores, siempre que sea posible para añadir una capa adicional de seguridad a sus cuentas.
• Proteger las redes wifi de su casa u oficina, cambiando las contraseñas de administrador predeterminadas de los routers, activando el cifrado (como WPA2) para las redes wifi y comprobando regularmente si hay actualizaciones del firmware.
• Evitar conectarse a redes wifi públicas arbitrarias o a puntos de acceso desconocidos, incluso cuando navegue por Internet de forma casual.
• Sacar partido a los softwares antivirus de confianza y un servicio VPN (o una alternativa VPN) para protegerse contra el malware y proteger su privacidad online.

Seguir estas medidas preventivas y mantener una sólida concienciación sobre ciberseguridad puede minimizar significativamente el riesgo de ser víctima de ataques de pharming.

Aunque la aplicación de medidas técnicas y prácticas de seguridad es crucial para prevenir los ataques de pharming, la concienciación es una de las mejores defensas contra el pharming. Reconocer las señales de advertencia sospechosas, verificar la autenticidad de los sitios web e identificar las tácticas de ingeniería social son las mejores formas de prevenir los ataques de pharming y las ciberamenazas relacionadas.

El pharming es mucho más eficaz que el phishing porque no requiere que el usuario haga clic en un enlace. No obstante, el phishing sigue siendo un vector de ataque popular para los agentes de amenaza. El pharming es beneficioso para los agentes de amenaza con conocimientos de programación. Los autores de malware siguen necesitando difundir programas malintencionados a los usuarios seleccionados, por lo que se utilizan mensajes de correo electrónico para propagar el malware a los destinatarios previstos. Una vez que el malware se ejecuta en los ordenadores de las víctimas, el agresor puede recaudar dinero o información confidencial a través de anuncios y sitios web malintencionados.

Ya sea a través del correo electrónico o del pharming, los usuarios deben evitar siempre ejecutar archivos ejecutables adjuntos a correos electrónicos o archivos de sitios de software no oficiales. El pharming y el phishing tienen como objetivo robar credenciales o información bancaria, así que evite los archivos adjuntos y el software malintencionado en sitios web sospechosos.