El pharming es uno de los métodos más empleados por los ciberdelincuentes para realizar fraudes y estafas online. En este artículo vemos en qué consiste esta técnica, sus diferencias con el phishing y las mejores maneras de protegerse frente a esta amenaza.
¿Qué es el pharming?
La definición de pharming es: «un tipo de estafa en Internet que consiste en la explotación de una vulnerabilidad en el software de los servidores DNS o los equipos de los usuarios, algo que permite que un atacante redirija el nombre de dominio a otro equipo diferente, de forma que el usuario que se encuentre en este dominio accederá en su explorador a la web del atacante«.
Supongo que con esta definición te habrás quedado como estabas ¿verdad?
Pues te lo explico.
A través del pharming se utilizan páginas web falsas disfrazándolas como auténticas para dirigir a ellas a los usuarios y conseguir de ellos determinada información. Es decir, se trata de un fraude en el que se dirige a los usuarios a una web falsa pero que en apariencia es idéntica a la web real. Una vez que el usuario accede a esa web se instala en su equipo informático un software malicioso o se recopilan los datos introducidos por ese usuario, como datos bancarios o contraseñas.
El objetivo del pharming es aprovecharse de los usuarios y actualmente se ha convertido en uno de los ataques informáticos más frecuentes a empresas.
Tipos de pharming
Existen dos tipos principales de pharming:
- Uno en el que los ciberdelincuentes emplean diversas técnicas para instalar malware en el equipo del usuario. Este virus redirige al usuario desde páginas web legítimas a otras webs falsas. Esto es especialmente peligroso en el momento en que el pharming puede afectar a webs con información privada, por ejemplo el banco online del usuario o una tienda de comercio electrónico.
- Otro en el que el hacker infecta todo el servidor DNS. De esta manera, todos los usuarios que intentan acceder a él son redirigidos a la página web fraudulenta. Este es un tipo de pharming especialmente peligroso.
Ataques de pharming
La identificación de cada ordenador conectado a Internet se realiza a través de la IP. Esta IP es un número formado por 4 grupos de 8 dígitos binarios de 0 a 255 separados por un punto. Un ejemplo de IP es 172.16.4.205
Acordarse de ese número de IP no es sencillo por lo que aparecieron los nombres de dominio que se asocian a cada dirección IP.
Existen dos maneras de realizar un ataque de pharming:
- Ataques a los servidores DNS: en este caso afectará a todos los usuarios
- Ataques a ordenadores concretos: aquí se modifica el fichero hosts que está en los equipos que funcionan con sistema operativo Windows o Unix.
Lo que se pretende al utilizar técnicas de pharming para atacar a un ordenador es realizar phishing, otra estafa de la que también os voy a hablar.
Diferencias entre pharming y phishing
Con el término phishing nos referimos a una suplantación de identidad. Es un ataque informático consistente en el engaño al usuario para conseguir información privada.
Se utiliza principalmente para obtener números de cuentas bancarias, tarjetas de crédito o contraseñas.
Quien utiliza este tipo de engaños se denomina phisher. Este se hace pasar por una empresa o persona de confianza enviando una comunicación electrónica, normalmente llamadas telefónicas, correos electrónicos o mensajes instantáneos.
Una técnica común de uso de phishing consiste en el envío de un email que parece proceder de una persona o entidad fiable con enlaces a páginas web falsas para obtener información confidencial del usuario.
El usuario piensa que está en una web de confianza e introduce sus datos personales. Esa información es captada por el ciberdelincuente.
Los ataques de phishing se producen desde ordenadores infectados con malware, llamados ordenadores zombie. Muchas veces el propietario de ese ordenador infectado no sabe que está enviando phishing o spam.
La principal diferencia que existe entre el pharming y el phising es que el primero no se realiza en el momento. La modificación realizada en el servidor DNS queda a la espera de que el usuario entre en la web infectada y entonces se produce el ataque.
El phishing no es tan peligroso como el pharming ya que con este es posible atacar a un mayor número de usuarios y ocasionar un mayor daño. Además el pharming es más difícil de reconocer.
En el caso del phishing no existe un ataque previo de malware por lo que puede producirse en ordenadores que no tengan virus y puede detectarse fijándonos en la url. El pharming, sin embargo, necesita una inyección de malware en el equipo informático para poder modificar la configuración.
Consecuencias del pharming
Las prácticas de pharming pueden tener diversas consecuencias negativas para los usuarios. Básicamente, se manipula el tráfico de un sitio web para redirigir al usuario a otra página, en la que el objetivo es robar su información confidencial.
A su vez, los ciberdelincuentes puede usar el pharming para infectar con virus u otro tipo de malware las computadoras. Por ejemplo, para crear botnets o redes de ordenadores zombies.
Uno de lo grandes peligros del pharming es que en los casos de envenenamiento del servidor DNS, los ataques son difíciles de detectar. El usuario podría tener su PC totalmente libre de virus, y aún así estar siendo objeto de pharming.
¿Cómo reconocer el pharming?
Los hackers han perfeccionado mucho las técnicas de pharming, por lo que en ocasiones puede resultar muy complicado detectar estos ataques.
Uno de los métodos para reconocer el pharming es comprobar que la URL del sitio está bien escrita y no presenta ninguna variación, por pequeña que sea, respecto a la URL auténtica.
Por otro lado, hay que asegurarse que el inicio de la URL no ha cambiado de https:// a http://. El protocolo https:// significa que el sitio web intercambia información con el servidor de forma segura.
¿Cómo evitar el pharming?
Existen diferentes métodos para protegerse del pharming. La principal es el uso de un software especializado para proteger el servidor y mediante addons para exploradores.
No es suficiente con tener un antivirus, debemos disponer de un software antipharming gratuito o de pago. Este tipo de software protege tanto frente a ataques de pharming como de phising y puede evitar que las empresas pierdan información confidencial.
Este sistema detecta y evita las modificaciones producidas por el pharming con lo que se frenaría el ataque.
Otro método para evitar el pharming es utilizar el comando traceroute, el cual permite saber a qué direcciones IP se redirigen las peticiones de acceso, y así comprobar la integridad del servidor a que se accede.
Y además es importante denunciar los intentos de ataques ante la Guardia Civil (Grupo de Delitos Telemáticos) y ante la AEPD y otras autoridades para que investiguen el caso y puedan frenar las actuaciones de esos ciberdelincuentes.
También puedes ponerte en contacto con la comisión de seguridad de la Asociación de Internautas. Si no se denuncian estos delitos será mayor el riesgo para la seguridad informática de la empresa.
Ejemplos de pharming
Existen múltiples ejemplos de ataques de pharming. A continuación vemos algunos de los más conocidos.
Los principales ataques de pharming se han producido contra entidades bancarias. Así ocurrió en el caso del Banco Banamex, en México. Se envió un email a los usuarios con un enlace a una web para ver una tarjeta de felicitación navideña. Al pulsar en el enlace aparece la web gusanito.com, bastante conocida para enviar felicitaciones. Pero al pulsar ese enlace el usuario es reconducido a un servidor trampa.
En el momento en el que se ve la tarjeta de felicitación se descarga en el ordenador un fichero de malware que cambia la configuración del equipo. A partir de ese momento, cada vez que el usuario acceda a la web del banco accederá a un servidor malicioso que sustituye a esa página web. Y los atacantes podían acceder a todos los datos bancarios cada vez que el usuario realizara una operación online.
Uno de los principales ataques de pharming a gran escala se produjo en el año 2001 cuando unos ciberdelincuentes infectaron numerosos servidores ISP en Irlanda. Una gran cantidad de empresas irlandesas se vieron afectadas y el problema no se pudo resolver hasta pasados 5 días. El responsable fue un menor de edad de Alicante que se hacía llamar DragonKing, quien fue detenido año y medio más tarde.
Otro servicio que se vio afectado por el pharming fue Hushmail, un proveedor de Secure e-mail. En abril de 2005 fue atacado por los hackers con esta técnica, lo que dio lugar a grandes problemas de seguridad en un sitio que precisamente se caracterizaba por ser muy seguro.
En definitiva, el pharming es una técnica que puede ser muy peligrosa y que los hackers utilizan con bastante frecuencia. Por ello, es importante contar con las medidas y herramientas anti-pharming adecuadas que te protejan frente a estos ataques.