¿Qué es el pharming?
El pharming es un tipo de ciberataque que implica la redirección del tráfico web de un sitio legítimo a un sitio falso con el propósito de robar nombres de usuario, contraseñas, datos financieros y otra información personal.
Cuando escribes una URL en la barra de direcciones de tu navegador, como www.google.com por ejemplo, se deben realizar varios procesos en segundo plano antes de que veas ese conocido logo de Google y el cuadro de búsqueda en la pantalla de tu computadora. Durante un ataque de pharming, los ciberdelincuentes manipulan discretamente esos procesos, enviando tu tráfico web a un sitio malicioso en lugar del que pretendías visitar. El sitio de destino puede cargar malware en tu computadora. Más a menudo, es un sitio de phishing falso, y es esta última actividad la que da nombre al pharming, una combinación de las palabras “phishing” y “farming”.
Un sitio de phishing típico está falsificado o imitado para parecerse a un sitio que la víctima visita rutinariamente, a menudo de naturaleza financiera o de comercio electrónico. El objetivo de un sitio de phishing es recolectar o "cultivar" nombres de usuario y contraseñas cuando la víctima desprevenida intenta iniciar sesión en su cuenta.
El pharming es una forma sofisticada de ataque de phishing y puede afectar a cualquiera en cualquier plataforma. Los usuarios de Windows y Mac, así como los usuarios móviles en Android e iOS, deben estar atentos a posibles ataques de pharming. Afortunadamente, hay algunos pasos de sentido común que puedes tomar para protegerte contra el pharming, así que sigue leyendo para aprender todo lo que necesitas saber sobre el pharming.
¿Cómo funciona el pharming?
Para entender cómo funciona el pharming, necesitamos comenzar con una breve introducción sobre nombres de dominios y direcciones IP. Los nombres de dominio y las direcciones IP son a los sitios web lo que tu nombre y ubicación son para el correo tradicional.
Si diriges una carta a “Nancy Thompson”, por ejemplo, escribiendo nada más que su nombre en el sobre con el sello, Nancy no va a recibir tu carta. La oficina de correos necesita tanto su nombre como su ubicación; por ejemplo, “Nancy Thompson, 1428 Elm Street, Springwood, Ohio”, para poder entregar tu carta con éxito.
De igual manera, la dirección IP (abreviatura de dirección de protocolo de Internet) funciona como la ubicación subyacente para el nombre de dominio al que deseas contactar. Cuando ingresas “www.facebook.com” en la barra de direcciones de tu navegador, tu solicitud se envía a un servidor DNS. El servidor DNS es una computadora con una tarea: traducir nombres de dominio en una dirección IP. Para el tipo más común de protocolo de Internet, IPv4, esta dirección será de cuatro números separados por puntos: “0.0.0.0”. En el caso de Facebook, la dirección IP se verá algo así como “66.220.159.255” aunque los números reales pueden variar, porque grandes empresas como Facebook poseen grandes bloques de direcciones IP.
Con la dirección IP en mano, el servidor DNS comunica esta información de regreso a tu computadora y tu computadora te dirige al sitio web de Facebook. Este proceso de resolución DNS, desde el momento en que presionas la tecla de retorno en la barra de direcciones hasta que la página web comienza a cargarse, normalmente ocurre en milisegundos.
Ahora, volviendo al tema del pharming, los ciberdelincuentes pueden manipular este sistema de direcciones en línea para dirigir tu solicitud de “www.facebook.com” a otra dirección controlada por el criminal. Esto puede suceder de un par de formas diferentes.
¿Cuáles son los tipos de pharming?
Hay dos tipos de pharming: malware de pharming y envenenamiento de DNS.
Malware de pharming, también conocido como cambiadores/secuestradores de DNS, infectan la computadora de la víctima y realizan cambios sigilosos en el archivo de hosts de la víctima. Ayuda pensar en el archivo de hosts de tu computadora como una agenda de sitios web. Como se mencionó, el proceso de enviar un nombre de dominio a un servidor DNS y traducir ese nombre de dominio a una dirección IP generalmente ocurre tan rápido que la mayoría de nosotros ni siquiera lo nota. "Generalmente" siendo la palabra clave aquí. Para evitar cualquier retraso al cargar una página, tu computadora almacena las traducciones de nombre de dominio a dirección IP, reduciendo el tiempo que lleva cargar cada sitio web. Con un ataque de pharming basado en malware, el malware se introduce en tu computadora (frecuentemente a través de un Troyano) y luego comienza a modificar tu archivo de hosts para que el nombre de dominio de un sitio web dado apunte a un sitio malicioso. Algunos malwares de pharming, por ejemplo, el Troyano Extenbro, también bloquearán el acceso a sitios de ciberseguridad, impidiendo que las víctimas descarguen software para eliminar el malware cambiador de DNS.
Envenenamiento de DNS, también conocido como suplantación de DNS, aprovecha exploits en el software que controla los servidores DNS para secuestrar los servidores y redirigir el tráfico web. Típicamente, el envenenamiento de DNS se dirige a las empresas que operan y mantienen los servidores DNS que traducen nombres de dominio amigables para humanos a direcciones IP listas para computadora. Como tal, el envenenamiento de DNS tiene una base mucho más amplia de víctimas potenciales, contando en decenas de miles. Dicho esto, tu router de Internet doméstico tiene una caché DNS que almacena consultas DNS previas. Cualquier dispositivo conectado a tu red doméstica puede referirse a esta caché al intentar conectarse a un sitio web que tú o alguien más en tu red ha visitado antes. Tu router funciona, en cierto modo, como un servidor DNS de pequeña escala y también puede ser envenenado.
Cómo protegerse del pharming
Crea una contraseña fuerte para tu Internet doméstico. Y definitivamente no uses la contraseña predeterminada escrita en la parte inferior de tu router. Así es como puedes proteger tu red doméstica contra el envenenamiento de DNS local. Si tienes problemas para recordar tu contraseña, considera usar una frase de contraseña. Una frase de contraseña es una cadena de palabras sin sentido que son fáciles de recordar para un humano, pero casi imposibles de forzar por fuerza bruta usando una aplicación de cracking de contraseñas. A diferencia de una contraseña convencional larga y fuerte, no hay mezcla de mayúsculas/minúsculas ni símbolos especiales. Por ejemplo, (por favor, no uses esto como tu frase de contraseña) “gatomoradozapatosaltotacon” sería una excelente frase de contraseña. Todo lo que tienes que hacer es imaginar un gato morado usando zapatos de tacón alto con una expresión pensativa en su cara.
Usa un gestor de contraseñas. Específicamente, necesitas un gestor de contraseñas que ofrezca autocompletar los campos de usuario y contraseña por ti cuando detecte una página de inicio de sesión que has visitado antes. Un sitio de phishing falsificado puede parecer real a simple vista, pero un gestor de contraseñas no se engaña tan fácilmente. Si llegas a un sitio malicioso, el gestor de contraseñas no lo reconocerá y no ofrecerá autocompletar tus credenciales de inicio de sesión.
Usa un buen programa anti-malware. El phishing no es un tipo de virus informático y las formas tradicionales de antivirus no pueden proteger contra él. El anti-malware avanzado, por otro lado, puede bloquear activamente el malware que intenta hackear el archivo de hosts de tu computadora. Malwarebytes, por ejemplo, tiene programas para Windows, Mac, Chromebook, Android e iOS que detienen adware, spyware y troyanos de interferir con tu archivo de hosts. Malwarebytes también bloqueará los sitios web sospechosos en los que puedas aterrizar como resultado de un DNS envenenado.
Considera usar un servicio de DNS diferente. Si bien los consumidores pueden usar un programa de ciberseguridad para bloquear el pharming basado en malware y sitios web maliciosos de un DNS envenenado,no pueden realmente hacer nada para evitar que el envenenamiento de DNS ocurra en primer lugar. Depende de las empresas que ofrecen los servicios de DNS mantener sus servidores seguros. Para la mayoría de las personas, su servicio de DNS por defecto es el que ofrece su proveedor de servicio de Internet (ISP), eso probablemente estará bien, pero hay otras alternativas populares, a saber, Google DNS, OpenDNS y Cloudflare. Las tres empresas afirman que sus servicios de DNS ofrecen seguridad y privacidad mejoradas sobre un DNS tradicional. OpenDNS también ofrece servidores especiales específicamente para familias que buscan bloquear contenido para adultos.
