Mientras los ciberdelincuentes siguen evolucionando sus métodos y tácticas, una de las amenazas menos conocidas pero peligrosas han sido los ataques pharming.

A diferencia de las formas tradicionales de piratería informática, el pharming no depende de correos electrónicos maliciosos o hipervínculos sospechosos. En su lugar, secuestra el tráfico web para enviar a usuarios desprevenidos a sitios fraudulentos. Estos sitios están tan bien diseñados que parecen lo suficientemente legítimos como para que el usuario introduzca información confidencial, como contraseñas, datos de tarjetas de crédito o números de la seguridad social.

En este artículo, explicaremos qué son los ataques de pharming, cómo funcionan, cuáles son las implicaciones del pharming en la ciberseguridad y cómo puede uno protegerse para no ser presa de este peligro encubierto.

¿Cree que puede haber amenazas dañinas acechando en su aplicación móvil? Verimatrix XTD proporciona una supervisión 24/7 contra las amenazas para que pueda centrarse en el crecimiento, no en las infracciones. Compruébelo aquí¡!

Significado y definición de Pharming

Básicamente, pharming es un término derivado de la combinación de las palabras "phishing" y "farming". Mientras que el phishing consiste en engañar a los usuarios a través de correos electrónicos o enlaces falsos, el pharming es realmente de naturaleza más avanzada, ya que se produce incluso cuando los usuarios teclean la URL correcta en sus navegadores.

El pharming es otra forma de ciberataque en la que la configuración del Sistema de Nombres de Dominio (DNS) es manipulada por un hacker o se compromete el dispositivo del usuario para redirigir el tráfico web procedente de un sitio válido a otro falso. Su objetivo es obtener información sensible, como credenciales de acceso o datos financieros, sin que los usuarios sospechen nada.

Pharming vs. phishing: ¿Cuál es la diferencia?

Comprender los diferentes conceptos de phishing y pharming es importante para protegerse en Internet.

Phishing

Se trata de un método de engañar a alguien para que divulgue información personal mediante el envío de correos electrónicos fraudulentos, mensajes o sitios web falsos. El phishing requiere algún tipo de respuesta activa por parte de la víctima para que haga clic en un enlace o descargue un archivo adjunto.

Pharming

Por otro lado, el pharming es un ataque en el que los usuarios son desviados pasivamente a un sitio web falso sin que el usuario lo sepa. A diferencia del phishing, no requiere ninguna interacción del usuario más allá de introducir la dirección de un sitio web legítimo.

En otras palabras, el phishing se basa en la ingeniería social, mientras que el pharming consiste en manipular la configuración DNS o los archivos host para redirigir a los usuarios.

¿Qué es el pharming en ciberseguridad? Cómo funcionan los ataques de pharming

El pharming elude las medidas de seguridad tradicionales por dos vías principales:

  • Envenenamiento DNS: Esto ocurre cuando los hackers acceden al servidor DNS y alteran sus registros. Lo que esto hace es que una vez que cualquier usuario escribe la URL de un sitio web, el DNS le dirigirá al sitio fraudulento en lugar de al objetivo correcto.
  • Manipulación de archivos host: Esto ocurre cuando los archivos host locales de cualquier dispositivo de usuario son alterados por los atacantes. Si un usuario intenta abrir cualquier sitio web, a través del archivo de host cambiado, se les lleva a algún sitio web falso en lugar de la real.

Tipos de ataques pharming

Un diagrama que muestra 4 tipos de ataques pharming.

Aunque los ataques pharming puedan parecer una amenaza sencilla, pueden manifestarse de diferentes maneras, con diversas técnicas y tácticas para comprometer los sistemas. 

El conocimiento de los siguientes tipos de ataques pharming será beneficioso tanto para las organizaciones como para los individuos a la hora de encontrarlos y, a su vez, protegerse contra ellos.

pharming basado en DNS

El pharming basado en DNS es un ataque a gran escala que tiene como objetivo el DNS, el sistema responsable de convertir nombres de dominio fáciles de usar (como www.example.com) en direcciones IP que los ordenadores utilizan para comunicarse. Al corromper el servidor DNS, los atacantes pueden redirigir a los usuarios desde sitios web legítimos a otros maliciosos sin alterar nada en los dispositivos de los usuarios.

Imagine un escenario en el que un atacante comprometiera los registros DNS de cualquier servicio de banca online. En tal escenario, los intentos urgentes de los usuarios de acceder al sitio web del banco escribiendo correctamente su URL serían redirigidos a un sitio web falso diseñado para capturar las credenciales de inicio de sesión. Esta campaña maliciosa podría dirigirse a miles de usuarios a través de un ataque de pharming y es muy complicada de rastrear, ya que ocurre justo a nivel de DNS.

Cómo funciona el pharming basado en DNS:

  1. Los atacantes comprometen el servidor DNS de un proveedor de servicios de Internet (ISP) o un servidor DNS interno de la organización.
  2. Manipulan los registros DNS para conectar al usuario a un sitio falso gestionado por el atacante después de teclear la URL correcta de un sitio de confianza, como un banco.
  3. El sitio falso tendría el mismo aspecto que el original pero, a su vez, solicita información sensible/contraseña/números de tarjetas de crédito a sus usuarios.

pharming local (envenenamiento de archivos host)

El pharming local, también conocido como envenenamiento de archivos host, es un ataque dirigido a dispositivos de usuarios individuales. En un ataque de este tipo, se crea una determinada modificación en el archivo host de un ordenador perteneciente a una víctima. El archivo host es un archivo de texto plano que guarda una asignación de nombres de dominio a direcciones IP antes de consultar un servidor DNS. 

La forma en que los atacantes acceden al dispositivo del usuario para manipular este archivo host es mediante la entrega de malware o un troyano a través de un correo electrónico de phishing o la descarga de software infectado. Una vez infectado el dispositivo, el troyano edita silenciosamente el archivo host, lo que permite dirigir el tráfico web sin manipular el servidor DNS.

Cuando la víctima intenta acceder a un sitio web de confianza -como www.examplebank.com, por ejemplo- es redirigida automáticamente a un sitio de phishing que se parece exactamente al sitio original, capturando las credenciales de inicio de sesión.

Cómo funciona el pharming local:

  1. Los atacantes suelen utilizar malware, troyanos o descargas maliciosas para entrar en el sistema de un usuario.
  2. Abren el archivo host para editarlo y sustituyen los dominios de confianza -un banco o una red social, por ejemplo- por la dirección IP de un sitio falso.
  3. Cuando los usuarios intentan visitar el sitio web real, son redirigidos al sitio falso, aunque hayan introducido la dirección URL correcta.

Ataques híbridos de pharming

Algunos atacantes combinan elementos tanto del pharming basado en DNS como del pharming local para aumentar sus posibilidades de éxito. 

Un atacante puede atacar el servidor DNS de un ISP y, al mismo tiempo, propagar malware a través de campañas de phishing que infectan los dispositivos de los usuarios individuales. Este doble enfoque puede utilizarse para garantizar que a los usuarios se les presenten sitios maliciosos desde el servidor DNS comprometido o confiando en su archivo host.

Cómo funcionan los ataques de pharming híbrido:

  1. Los atacantes pueden comprometer primero un servidor DNS para realizar redireccionamientos de tráfico a gran escala.
  2. Instalan malware en los dispositivos de los usuarios que manipula los archivos host de los mismos, de modo que siguen siendo redirigidos a estos sitios web falsos incluso cuando cambian a otra red o servidor DNS.

Ataques de envenenamiento de caché (DNS cache poisoning)

Una variante del pharming basado en DNS es el envenenamiento de la caché DNS, en el que la caché DNS dentro de un router o dispositivo individual se convierte en el objetivo de un atacante. 

El almacenamiento en caché de DNS es un medio de navegación web más rápida porque las búsquedas de DNS se almacenan localmente dentro de la máquina. Sin embargo, si un atacante puede envenenar esta caché, podría redirigir a los usuarios a un sitio falso sin comprometer el servidor DNS principal.

Por ejemplo, los usuarios que intentan acceder a su proveedor de correo electrónico en el caso de un ataque de envenenamiento de caché pueden ser redirigidos a una página de inicio de sesión falsa en la que los atacantes recopilan las credenciales de correo electrónico de usuarios desprevenidos. Esto puede ser muy peligroso en el caso de redes compartidas, como las de oficinas o puntos de acceso Wi-Fi públicos abiertos.

Cómo funcionan los ataques de envenenamiento de caché:

  1. Los atacantes devuelven respuestas maliciosas a las consultas DNS que, a su vez, hacen que la caché DNS almacene direcciones IP no válidas para un dominio legítimamente solicitado.
  2. Los usuarios de la caché DNS envenenada son enviados a sitios maliciosos, incluso cuando el servidor DNS autoritativo no está comprometido.

Ejemplos reales de ataques pharming

En el pasado, los ataques de pharming se han dirigido a muchos sectores, causando enormes daños financieros y de reputación. Algunos ejemplos notables son:

Ataque a las instituciones financieras mundiales (2007)

En 2007, los ciberdelincuentes llevaron a cabo un ataque de pharming altamente organizado dirigido a 50 instituciones financieras diferentes en diversas partes de Estados Unidos, Europa y Asia. Los atacantes consiguieron redirigir a los usuarios a sitios web falsos con el fin de capturar información sensible, provocando así importantes pérdidas económicas.

Incidente en un banco brasileño (2017)

En 2017, uno de los principales bancos brasileños sufrió un ataque de pharming en el que todo el tráfico entrante de su sitio web legítimo se redirigía a uno falsificado. Los datos de sus clientes se vieron fácilmente comprometidos, lo que apunta a alguna vulnerabilidad en la seguridad de DNS.

Violación de datos de voluntarios venezolanos (2019)

En 2019, se perpetró un ataque de pharming contra la página web de inscripción de voluntarios de la campaña "Voluntarios por Venezuela" para redirigir a los usuarios hacia un registro falso. Esto dio lugar a la recopilación no autorizada de datos personales de muchos voluntarios.

Cómo prevenir los ataques de pharming

Los ataques de pharming pueden prevenirse adoptando medidas de ciberseguridad, aumentando la concienciación de los usuarios y realizando un seguimiento proactivo. He aquí algunas estrategias eficaces:

Implantar extensiones de seguridad DNS (DNSSEC)

 DNSSEC añade una capa de autenticación a DNS, que ayuda a dirigir a los usuarios a direcciones IP exactas; esta técnica permite la protección contra la suplantación de DNS.

Realice auditorías DNS periódicas

 Compruebe periódicamente la configuración DNS en busca de cambios no autorizados que puedan indicar un intento de pharming.

Actualización del software

 Actualice los sistemas operativos, los navegadores y el resto del software de forma rutinaria para estar al día de los parches en las vulnerabilidades que podría aprovechar un pirata informático.

Actualizaciones de firmware

 Los dispositivos de red, como routers y switches, deben tener el firmware más reciente; esto también ayudará a evitar ataques de exploits conocidos.

Software antivirus y antimalware

 Implemente un software de seguridad acreditado capaz de detectar y bloquear, o al menos poner en cuarentena, el código malicioso que pudiera afectar a la configuración de los archivos host o DNS.

Sistemas de detección de intrusos (IDS)

 Se pueden implementar IDS para supervisar el tráfico de red y buscar actividades sospechosas que puedan mostrar indicios de ataques de pharming.

Sensibilización en materia de seguridad

 Forme a los empleados y usuarios para reconocer un ataque de pharming, como redireccionamientos inesperados de sitios web o advertencias de certificados de seguridad.

Prácticas de navegación segura

 Verifique la autenticidad de las URL de los sitios web para comprobar la inclusión de HTTPS antes de introducir información confidencial.

Seguridad estricta de transporte HTTP (HSTS)

 Aplique HSTS para garantizar que los usuarios se conectan a través de una conexión segura y evitar que se conecten a sitios a través de HTTP no seguro.

Detección de anomalías

 Establecer mecanismos para detectar flujos de tráfico anormales que puedan conducir a indicios de envenenamiento de DNS o redireccionamientos no autorizados.

Análisis de registros

 Revise regularmente los registros del servidor y de la red para detectar signos de manipulación o intentos de acceso no autorizados.

Cambiar las credenciales por defecto

 Al igual que ocurre con otros dispositivos de red, los nombres de usuario y contraseñas por defecto de los routers deben cambiarse para evitar accesos no autorizados.

Desactivar servicios innecesarios

 Desactive los servicios y puertos que no utilice para reducir los posibles puntos de entrada de los atacantes.

Conclusión

Los ataques de pharming tienen el potencial de causar graves daños si no se manejan correctamente. Comprender cómo funcionan estos ataques de pharming y las diferencias entre phishing y pharming puede situarle en una mejor posición para protegerse a sí mismo y a su organización de una posible amenaza. 

Tanto si está desarrollando una aplicación móvil como si desea mantener al día su postura de ciberseguridad, Verimatrix XTD puede ayudarle. Experimente las ventajas de una detección de amenazas completa y sin preocupaciones, y asegúrese de que sus aplicaciones permanecen protegidas 24/7.