¿Qué es el pharming?
El pharming es un tipo de ciberataque que consiste en redirigir el tráfico web de un sitio legítimo a otro falso con el fin de robar nombres de usuario, contraseñas, datos financieros y otra información personal.
Cuando escribes una URL en la barra de direcciones de tu navegador, como por ejemplo www.google.com, tienen que ocurrir varios procesos en segundo plano antes de que veas el familiar logotipo de Google y el cuadro de búsqueda en la pantalla de tu ordenador. Durante un ataque de pharming, los ciberdelincuentes manipulan discretamente esos procesos, enviando su tráfico web a un sitio web malicioso en lugar del que pretendía visitar. El sitio de destino puede cargar malware en su ordenador. En la mayoría de los casos, se trata de un sitio falso de phishing. Es esta última actividad la que da nombre al pharming, una mezcla de las palabras "phishing" y "farming".
Un sitio típico de phishing se falsifica para que parezca un sitio que la víctima visita habitualmente, a menudo de naturaleza financiera o de comercio electrónico. El objetivo de un sitio de phishing es recopilar nombres de usuario y contraseñas cuando la víctima desprevenida intenta acceder a su cuenta.
El pharming es un tipo sofisticado de ataque de phishing y puede afectar a cualquier persona en cualquier plataforma. Windows y Mac así como los usuarios móviles de Android y iOS deben tener cuidado con los posibles ataques de pharming. Afortunadamente, hay algunas medidas de sentido común que puedes tomar para protegerte contra el pharming, así que sigue leyendo para aprender todo lo que necesitas saber sobre el pharming.
¿Cómo funciona el pharming?
Para entender cómo funciona el pharming, debemos empezar con una breve introducción a los nombres de dominio y las direcciones IP. Los nombres de dominio y las direcciones IP son para los sitios web lo que su nombre y su ubicación son para el correo tradicional.
Si diriges una carta a "Nancy Thompson", por ejemplo, sin escribir nada en el sobre franqueado aparte de su nombre, Nancy no va a recibir tu carta. La oficina de correos necesita tanto su nombre como su ubicación; por ejemplo, "Nancy Thompson, 1428 Elm Street, Springwood, Ohio", para entregar correctamente tu carta.
Del mismo modo, la dirección IP (abreviatura de dirección de protocolo de Internet) funciona como la ubicación subyacente del nombre de dominio con el que desea ponerse en contacto. Cuando escribe "www.facebook.com" en la barra de direcciones de su navegador, su petición se envía a un servidor DNS. El servidor DNS es un ordenador con un único trabajo: traducir los nombres de dominio en una dirección IP. Para el tipo más común de protocolo de Internet, IPv4, esta dirección serán cuatro números separados por puntos: "0.0.0.0". En el caso de Facebook, la dirección IP será algo así como "66.220.159.255", aunque los números reales pueden variar, porque las grandes empresas como Facebook poseen grandes bloques de direcciones IP.
Con la dirección IP en la mano, el servidor DNS comunica esta información a tu ordenador y éste te dirige a la página web de Facebook. Este proceso de resolución DNS, desde el momento en que pulsas la tecla de retorno en la barra de direcciones hasta que empieza a cargarse la página web, suele ocurrir en milisegundos.
Volviendo al tema del pharming, los ciberdelincuentes pueden manipular este sistema de direcciones en línea para dirigir su solicitud de "www.facebook.com" a otra dirección controlada por el delincuente. Esto puede ocurrir de dos maneras diferentes.
¿Cuáles son los tipos de pharming?
Existen dos tipos de pharming: el malware pharming y el envenenamiento de DNS.
El malware Pharming, también conocido como DNS changers/hijackers, infecta el ordenador de la víctima y realiza cambios sigilosos en su archivo hosts. Es útil pensar en el archivo hosts de su ordenador como un Rolodex de sitios web. Como ya se ha mencionado, el proceso de enviar un nombre de dominio a un servidor DNS y traducir ese nombre de dominio en una dirección IP suele ocurrir tan rápido que la mayoría de nosotros ni siquiera nos damos cuenta. "Normalmente" es la palabra clave. Para evitar cualquier problema al cargar una página, su ordenador almacena traducciones de nombres de dominio a direcciones IP, reduciendo el tiempo que tarda en cargar cada sitio web. Con un ataque de pharming basado en malware, el malware se cuela en tu ordenador (a menudo a través de un troyano) y empieza a modificar tu archivo de hosts para que el nombre de dominio de un sitio web determinado apunte a un sitio malicioso. Algunos programas maliciosos de pharming, como el troyano Extenbro, también bloquean el acceso a sitios de ciberseguridad, impidiendo que las víctimas descarguen software para eliminar el programa malicioso de cambio de DNS.
El envenenamiento de DNS, también conocido como suplantación de DNS, aprovecha las vulnerabilidades del software que controla los servidores DNS para secuestrarlos y redirigir el tráfico web. Por lo general, el envenenamiento de DNS persigue a las empresas que gestionan y mantienen los servidores DNS que traducen los nombres de dominio en direcciones IP. Como tal, el envenenamiento de DNS tiene una base mucho más amplia de víctimas potenciales, que se cuentan por decenas de miles. Dicho esto, el router de Internet de su casa tiene una caché DNS que almacena las búsquedas DNS anteriores. Cualquier dispositivo conectado a su red doméstica puede consultar esta caché cuando intente conectarse a un sitio web que usted u otra persona de su red haya visitado antes. Tu router funciona, en cierto modo, como un servidor DNS a pequeña escala y también puede ser envenenado.
Cómo protegerse contra el pharming
Crea una contraseña segura para tu Internet doméstico. Y definitivamente no utilice la contraseña por defecto escrita en la parte inferior de su router. Así protegerás tu red doméstica contra el envenenamiento local de DNS. Si tienes problemas para recordar tu contraseña, considera la posibilidad de utilizar una frase de contraseña. Una frase de contraseña es una cadena de palabras sin sentido fáciles de recordar para un ser humano, pero casi imposibles de forzar mediante una aplicación de descifrado de contraseñas. A diferencia de una contraseña larga y fuerte convencional, no hay mezcla de mayúsculas/minúsculas ni símbolos especiales. Por ejemplo, (por favor, no uses esto como frase de contraseña) "pensivepurplecathighheelshoes" sería una frase de contraseña excelente. Todo lo que tienes que hacer es imaginarte un gato morado con zapatos de tacón alto y una mirada pensativa.
Utiliza un gestor de contraseñas. Concretamente, necesitas un gestor de contraseñas que te ofrezca rellenar automáticamente los campos de nombre de usuario y contraseña cuando detecte una página de inicio de sesión que hayas visitado antes. Un sitio de phishing falsificado puede pasar por real tras una inspección superficial, pero un gestor de contraseñas no se deja engañar tan fácilmente. Si llegas a un sitio malicioso, el gestor de contraseñas no lo reconocerá y no te ofrecerá autocompletar tus credenciales de inicio de sesión.
Utiliza un buen programa antimalware. El phishing no es un tipo de virus informático y las formas tradicionales de antivirus no pueden proteger contra él. En cambio, los antimalware avanzados pueden bloquear activamente los programas maliciosos que intentan piratear el archivo hosts de tu ordenador. Malwarebytes, por ejemplo, tiene programas para Windows, Mac, Chromebook, Androidy iOS que impiden que el adware, el spyware y los troyanos se metan con tu archivo de hosts. Malwarebytes también bloqueará los sitios web sospechosos a los que puedas acceder como resultado de un DNS envenenado.
Considere la posibilidad de utilizar un servicio DNS diferente. Aunque los consumidores pueden utilizar un programa de ciberseguridad para bloquear el pharming basado en malware y los sitios web maliciosos de un DNS envenenado, realmente no pueden hacer nada para evitar que el envenenamiento de DNS ocurra en primer lugar. Depende de las empresas que ofrecen los servicios DNS mantener sus servidores seguros. Para la mayoría de la gente, su servicio DNS predeterminado es el que ofrece su proveedor de servicios de Internet (ISP), que probablemente esté bien, pero hay otras alternativas populares, a saber, Google DNS, OpenDNS y Cloudflare. Las tres empresas afirman que sus servicios DNS ofrecen mayor seguridad y privacidad que los DNS tradicionales. OpenDNS también ofrece servidores especiales para familias que desean bloquear contenidos para adultos.