Entre los diferentes ataques en Internet a los que los usuarios están expuestos, encontramos el pharming; en esta entrada vamos a ver en qué consiste este tipo de ataque cibernético y cómo podemos protegernos de él.
En este artículo hablamos de:
¿Qué es el pharming y por qué se llama así?
El pharming informático consiste en redirigir las solicitudes de un usuario a sitios web fraudulentos que son prácticamente iguales que el sitio web al que intentaba acceder. El nombre proviene de server farm, granja en inglés, porque los atacantes manejan enormes granjas de servidores donde alojan los sitios fraudulentos. La “ph” proviene de phishing, otra de las técnicas para robar datos e información.
Así que, por definición, el pharming es un ataque que se produce cuando el “pharmer” (o hacker) dirige a un usuario hacia un sitio web falso, en los que pueden capturar información confidencial de la victima (nombre de usuario, contraseñas, datos bancarios, etc.) o pueden instalar malware en su ordenador.
Es habitual que los ataques de pharming se centren en sitios web financieros, plataformas de pago en línea y otros sitios de comercio electrónico, con el fin habitual de robar la identidad del objetivo y su dinero.
Así, el pharming no deja de ser una forma de hacking en la que se engaña tanto a la víctima como a su ordenador, tal y como veremos en el siguiente epígrafe.
¿Cómo funciona el pharming?
Como hemos dicho, el pharming consiste en redirigir al usuario hacia un sitio web falso. Para esto se pueden emplear diferentes técnicas, aunque las más habituales son bien la instalación de malware en el ordenador de la víctima o bien atacando el servidor DNS, que detallaremos más adelante.
El sitio falso al que se es redirigido suele ser prácticamente indistinguible del sitio web que la víctima tenía intención de visitar, por lo que no es difícil acabar compartiendo los datos que los hackers buscan obtener.
¿Qué tipos de pharming existen?
Como señalábamos, la informática permite varios tipos de pharming, pudiendo hablar de tres tipos concretos:
- Pharming local: Este tipo de pharming consigue introducir un virus o un troyano en el equipo de la víctima, es decir, es pharming mediante malware instalado al descargar archivos adjuntos de algún email fraudulento o de un sitio web de poca confianza. Este virus o troyano se encarga de alterar los registros de nombres en el archivo “hosts” cambiando las direcciones de IP almacenadas, de manera que el ordenador envíe el tráfico al sitio falsificado del pharmer. Este tipo de ataque solo afecta un ordenador.
- Envenenamiento del a caché DNS: Este método se centra en dañar el propio servidor DNS, de manera que el hacker reescribe las reglas que marcan el flujo del tráfico hasta un dominio especificado para redirigirlo a una dirección IP del sitio web falsificado. En este caso, el ataque se dirige contra un servidor y no contra un único ordenador, por lo que tiene el potencial de afectar a muchos usuarios a la vez. Esta técnica es menos habitual, por la complejidad que entraña y porque los proveedores de Internet corrigen las vulnerabilidades existentes en los servidores, pero de tener éxito, es especialmente nociva.
- Drive-By pharming: Esta técnica ataca directamente los firewalls o routers y cambia la dirección del servidor DNS a la de un servidor DNS bajo el poder del pharmer, quien resolverá las direcciones como desee. Es una técnica de uso más reciente debido al uso de plataformas Wi-Fi, que en muchos casos utilizan enrutadores con claves administrativas que los usuarios no han cambiado.
¿Cómo saber si has sufrido un ataque de pharming?
En muchas ocasiones, no sabremos que hemos sufrido un ataque de pharming hasta después de enterarnos de que ha ocurrido. Por ejemplo, actualmente es habitual que nuestro banco o nuestro proveedor de correo electrónico nos avisen mediante e-mail de que se ha producido un inicio de sesión desde otro dispositivo. Ese correo nos pide que confirmemos o no que hemos sido nosotros y si estamos seguros de que no hemos sido nosotros, debemos confirmarlo de manera inmediata, siguiendo los pasos que nos indique el proveedor para denunciar el fraude.
Otras formas de saber si hemos sido víctimas de pharming son las siguientes:
- Que se hayan producido cargos desconocidos en nuestra tarjeta de crédito o débito o en PayPal.
- Que se nos solicite confirmar un cambio de contraseña que no hemos hecho nosotros.
- Publicaciones en redes sociales o aplicaciones de mensajería que no hemos enviado nosotros.
- Aparición de nuevos programas en nuestros dispositivos o equipos que nosotros no hemos descargado.
¿Cómo protegerse contra el pharming?
Ya sabemos cómo funciona esta técnica, pero ¿cómo podemos aumentar nuestra seguridad informática contra el pharming?
Hay diferentes consejos que podemos seguir para minimizar las posibilidades de sufrir un ataque de pharming.
Quizás el primer consejo sea el de escoger un proveedor de servicios de Internet (ISP) de confianza, puesto que la gran mayoría de los grandes ISP filtran automáticamente las redirecciones fraudulentas de los pharmers. No es que queden exentos de sufrir un ataque, pero sí que dan más confianza que IPS nuevos con ofertas atractivas para capar muchos clientes nuevos.
Al visitar un sitio web debemos fijarnos en dos cosas: primero, asegurarnos que la URL está bien escrita; es habitual que la URL de un sitio falso tenga alguna letra cambiad (por ejemplo, “ez.com” en vez “es.com”). Y segundo, asegurarnos de que la URL empieza por HTTPS; esa “S” significa seguro y que la web se cifra, por lo que un tercero no puede interceptarlo. Si no veis el HTTPS en la barra, buscad el icono del candado, que indica esa misma función.
Evitar sitios web sospechosos o de poca confianza es clave para evitar ataques de pharming, sobre todo si vais a descargar archivos de ellos. Lo mismo podemos decir de evitar pinchar en vínculos y archivos de origen desconocido, de manera que no acabemos instalando malware en nuestro ordenador para ser explotado por un pharmer.
No ignorar al antivirus es importante, tanto como tener uno instalado. Un buen antivirus, que se actualice con regularidad, nos avisará cuando entramos en sitios web sospechosos o infectados, de manera que lo mejor que podremos hacer será abandonarlos lo antes posible.
Finalmente, cuidado con las ofertas demasiado buenas para ser verdad; no es poco habitual que los pharmer creen ofertas atractivas fraudulentas para atraer víctimas. Mira y compara antes de clickar en nada.
¿Cómo se dio a conocer? Primer caso
El pharming no es precisamente una herramienta nueva, sus primeros ataques conocidos se remontan a los primeros años de la década de 2000; quizás uno de los primeros casos más sonados fue en 2004, cuando un adolescente alemán logró realizar una transferencia de DNS de eBay.de, lo que provocó un importante caos en la empresa y sus usuarios.
Pero podemos remontarnos un poco más atrás en el tiempo, ya en julio de 2001, varios servidores IPS de Irlanda se vieron atacados mediante esta técnica, sin lograr resolverse hasta 5 días después y al culpable, un menor de edad no se le detuvo hasta año y medio después.
Desde entonces, este tipo de ataques se han seguido sucediendo contra diferentes organismos, empresas y usuarios privados.
Otros grandes casos de pharming
El banco mexicano Banamex sufrió un ataque de pharming mediante el que sus usuarios recibieron un enlace para ver una tarjeta de felicitación navideña; al pulsar en el enlace aparecía una conocida web para realizar felicitaciones navideñas, sin embargo el usuario era reconducido a un servidor trampa.
En el momento en que se descargaba la felicitación al ordenador, se instalaba un fichero de malware que cambiaba la configuración del equipo de la víctima. A partir de ese momento, cada vez que el usuario accedía a la web del banco accedía en realidad una web fraudulenta con la misma apariencia, donde los atacantes podrían acceder a todos los datos bancarios del usuario en el momento en que este realizara un operación online.
En 2015, en Brasil se produjo un ataque contra usuarios de routers de determinadas marcas; los atacantes crearon archivos que parecían enviados desde una empresa de telecomunicaciones conocida y que contenían enlaces maliciosos. Al pinchar en esos enlaces, los atacantes intentaban acceder al router de la víctima y altera la configuración DNS para redirigirla a los sitios de pharming.
Pharming y phishing. Diferencias fundamentales
Aunque los resultados que buscan los hackers suelen ser los mismos a través del pharming y el phishing, emplean técnicas ligeramente distintas.
En el phising los atacantes utilizan métodos de ingeniería social en correos electrónicos fraudulentos, de manera que estos correos, a primera vista, parecen legítimos. Normalmente solicitan el comprobar una contraseña, verificar nuestra cuenta o nos avisan de que hay algún problema con nuestro método de pago y debemos solucionarlo pinchando en el enlace proporcionado.
Sin embargo, en el pharming, como ya hemos visto, el ataque no se produce a través del correo electrónico necesariamente, de hecho es bastante más sutil, puesto que se puede atacar directamente al navegador o el propio servidor.
La diferencia no es muy grande y al final phising y pharming tienen el mismo objetivo, conseguir el usuario envíe sus datos confidenciales a los atacantes.