¿Qué es el pharming?
El pharming es un tipo de ciberataque que consiste en redirigir el tráfico web de un sitio legítimo a otro falso con el fin de robar nombres de usuario, contraseñas, datos financieros y otra información personal.
Cuando escribes una URL en la barra de direcciones de tu navegador, como www.google.com por ejemplo, se deben realizar varios procesos en segundo plano antes de que veas ese conocido logo de Google y el cuadro de búsqueda en la pantalla de tu computadora. Durante un ataque de pharming, los ciberdelincuentes manipulan discretamente esos procesos, enviando tu tráfico web a un sitio malicioso en lugar del que pretendías visitar. El sitio de destino puede cargar malware en tu computadora. Más a menudo, es un sitio de phishing falso, y es esta última actividad la que da nombre al pharming, una combinación de las palabras “phishing” y “farming”.
Un sitio de phishing típico está falsificado o imitado para parecerse a un sitio que la víctima visita rutinariamente, a menudo de naturaleza financiera o de comercio electrónico. El objetivo de un sitio de phishing es recolectar o "cultivar" nombres de usuario y contraseñas cuando la víctima desprevenida intenta iniciar sesión en su cuenta.
El pharming es un tipo sofisticado de ataque de phishing y puede afectar a cualquier persona en cualquier plataforma. Windows y Mac así como a los usuarios móviles de Android e iOS deben tener cuidado con los posibles ataques de pharming. Afortunadamente, hay algunas medidas de sentido común que puede tomar para protegerse contra el pharming, así que siga leyendo para aprender todo lo que necesita saber sobre el pharming.
¿Cómo funciona el pharming?
Para entender cómo funciona el pharming, necesitamos comenzar con una breve introducción sobre nombres de dominios y direcciones IP. Los nombres de dominio y las direcciones IP son a los sitios web lo que tu nombre y ubicación son para el correo tradicional.
Si diriges una carta a “Nancy Thompson”, por ejemplo, escribiendo nada más que su nombre en el sobre con el sello, Nancy no va a recibir tu carta. La oficina de correos necesita tanto su nombre como su ubicación; por ejemplo, “Nancy Thompson, 1428 Elm Street, Springwood, Ohio”, para poder entregar tu carta con éxito.
Del mismo modo, la dirección IP (abreviatura de dirección de protocolo de Internet) funciona como la ubicación subyacente del nombre de dominio con el que desea ponerse en contacto. Cuando escribe "www.facebook.com" en la barra de direcciones de su navegador, su petición se envía a un servidor DNS. El servidor DNS es un ordenador con un único trabajo: traducir los nombres de dominio en una dirección IP. Para el tipo más común de protocolo de Internet, IPv4, esta dirección serán cuatro números separados por puntos: "0.0.0.0". En el caso de Facebook, la dirección IP será algo así como "66.220.159.255", aunque los números reales pueden variar, porque las grandes empresas como Facebook poseen grandes bloques de direcciones IP.
Con la dirección IP en mano, el servidor DNS comunica esta información de regreso a tu computadora y tu computadora te dirige al sitio web de Facebook. Este proceso de resolución DNS, desde el momento en que presionas la tecla de retorno en la barra de direcciones hasta que la página web comienza a cargarse, normalmente ocurre en milisegundos.
Ahora, volviendo al tema del pharming, los ciberdelincuentes pueden manipular este sistema de direcciones en línea para dirigir tu solicitud de “www.facebook.com” a otra dirección controlada por el criminal. Esto puede suceder de un par de formas diferentes.
¿Cuáles son los tipos de pharming?
Existen dos tipos de pharming: el malware pharming y el envenenamiento de DNS.
El malware Pharming, también conocido como DNS changers/hijackers, infecta el ordenador de la víctima y realiza cambios sigilosos en su archivo hosts. Es útil pensar en el archivo hosts de su ordenador como un Rolodex de sitios web. Como ya se ha mencionado, el proceso de enviar un nombre de dominio a un servidor DNS y traducir ese nombre de dominio en una dirección IP suele ocurrir tan rápido que la mayoría de nosotros ni siquiera nos damos cuenta. "Normalmente" es la palabra clave. Para evitar cualquier problema al cargar una página, su ordenador almacena traducciones de nombres de dominio a direcciones IP, reduciendo el tiempo que tarda en cargar cada sitio web. Con un ataque de pharming basado en malware, el malware se cuela en tu ordenador (a menudo a través de un troyano) y empieza a modificar tu archivo hosts para que el nombre de dominio de un sitio web determinado apunte a un sitio malicioso. Algunos programas maliciosos de pharming, como el troyano Extenbro, también bloquean el acceso a sitios de ciberseguridad, impidiendo que las víctimas descarguen software para eliminar el programa malicioso de cambio de DNS.
El envenenamiento de DN S, también conocido como suplantación de DNS, aprovecha las vulnerabilidades del software que controla los servidores DNS para secuestrarlos y redirigir el tráfico web. Por lo general, el envenenamiento de DNS persigue a las empresas que gestionan y mantienen los servidores DNS que traducen los nombres de dominio a direcciones IP. Como tal, el envenenamiento de DNS tiene una base mucho más amplia de víctimas potenciales, que se cuentan por decenas de miles. Dicho esto, el router de Internet de su casa tiene una caché DNS que almacena las búsquedas DNS anteriores. Cualquier dispositivo conectado a su red doméstica puede consultar esta caché cuando intente conectarse a un sitio web que usted u otra persona de su red haya visitado antes. Tu router funciona, en cierto modo, como un servidor DNS a pequeña escala y también puede ser envenenado.
Cómo protegerse del pharming
Crea una contraseña segura para tu Internet doméstico. Y definitivamente no utilice la contraseña por defecto escrita en la parte inferior de su router. Así protegerás tu red doméstica contra el envenenamiento local de DNS. Si tienes problemas para recordar tu contraseña, considera la posibilidad de utilizar una frase de contraseña. Una frase de contraseña es una cadena de palabras sin sentido que son fáciles de recordar para un ser humano, pero casi imposibles de forzar mediante una aplicación de descifrado de contraseñas. A diferencia de una contraseña larga y fuerte convencional, no hay mezcla de mayúsculas/minúsculas ni símbolos especiales. Por ejemplo, (por favor, no uses esto como frase de contraseña) "pensivepurplecathighheelshoes" sería una frase de contraseña excelente. Todo lo que tienes que hacer es imaginarte un gato morado con zapatos de tacón alto y una mirada pensativa.
Utiliza un gestor de contraseñas. Concretamente, necesitas un gestor de contraseñas que te ofrezca rellenar automáticamente los campos de nombre de usuario y contraseña cuando detecte una página de inicio de sesión que hayas visitado antes. Un sitio de phishing falsificado puede pasar por real tras una inspección superficial, pero un gestor de contraseñas no se deja engañar tan fácilmente. Si llegas a un sitio malicioso, el gestor de contraseñas no lo reconocerá y no te ofrecerá autocompletar tus credenciales de inicio de sesión.
Usa un buen programa anti-malware. El phishing no es un tipo de virus informático y las formas tradicionales de antivirus no pueden proteger contra él. El anti-malware avanzado, por otro lado, puede bloquear activamente el malware que intenta hackear el archivo de hosts de tu computadora. Malwarebytes, por ejemplo, tiene programas para Windows, Mac, Chromebook, Android e iOS que detienen adware, spyware y troyanos de interferir con tu archivo de hosts. Malwarebytes también bloqueará los sitios web sospechosos en los que puedas aterrizar como resultado de un DNS envenenado.
Considera usar un servicio de DNS diferente. Si bien los consumidores pueden usar un programa de ciberseguridad para bloquear el pharming basado en malware y sitios web maliciosos de un DNS envenenado,no pueden realmente hacer nada para evitar que el envenenamiento de DNS ocurra en primer lugar. Depende de las empresas que ofrecen los servicios de DNS mantener sus servidores seguros. Para la mayoría de las personas, su servicio de DNS por defecto es el que ofrece su proveedor de servicio de Internet (ISP), eso probablemente estará bien, pero hay otras alternativas populares, a saber, Google DNS, OpenDNS y Cloudflare. Las tres empresas afirman que sus servicios de DNS ofrecen seguridad y privacidad mejoradas sobre un DNS tradicional. OpenDNS también ofrece servidores especiales específicamente para familias que buscan bloquear contenido para adultos.
