¿Qué es un ataque de pharming?

El término «pharming» proviene de dos conceptos: phishing y pharming. Es un tipo de ciberataque de ingeniería social que manipula el tráfico de un sitio web para hacerse con la información personal del usuario o instalar malware en sus equipos.

Para ello, los pharming crean un sitio web falso que es una copia del sitio de destino y utilizan varios métodos para redirigir a los usuarios al sitio falso. Los ciberdelincuentes suelen crear copias falsas de bancos y sitios web de comercio electrónico para recopilar nombres de usuario, contraseñas, números de seguro social y detalles de tarjetas de crédito/débito. Los usuarios pueden firmar código utilizando la función de firma de código de verificación avanzada.

¿Cómo se hace el pharming?

El pharming aprovecha la navegación web; en particular, la serie de letras que componen una dirección de Internet debe traducirse a una dirección IP mediante un servidor DNS (Sistema de nombres de dominio) para que la conexión continúe.

El pharming se realiza cambiando la configuración del host en el sistema de la víctima o manipulando el servidor DNS. Esto es conseguido en dos formas: Cambios en el archivo de hosts locales. El archivo de hosts locales se refiere al directorio de direcciones IP y nombres de dominio que se almacenan en el ordenador local del usuario.

Por ejemplo, en los sistemas MacOS y Linux, este archivo se encuentra en /etc/hosts. El pharming ocurre cuando los ciberdelincuentes ingresan al sistema de una víctima y modifican el archivo hosts para redirigir a las personas a un sitio web falso cada vez que intentan acceder a uno legítimo.

Los ciberdelincuentes pueden ser muy hábiles para crear un sitio web falso que se parece mucho al real. De esta manera, las víctimas son atrapadas con la guardia baja y revelan sus credenciales o información financiera a los estafadores.

Los ataques cibernéticos suelen utilizar técnicas de phishing para enviar malware al ordenador de la víctima, provocando cambios en el archivo host. Un pharming puede expandir un correo electrónico que contiene un código malicioso y cuando la víctima hace clic en él, el malware se descarga e instala en su pc.

Suplantación de identidad del sistema de nombres de dominio (DNS)

Otro método importante que utilizan los pharming para redirigir el tráfico es explotar los puntos débiles del servidor DNS y falsificar sus respuestas a las consultas de DNS. Como resultado, la víctima es redirigida a un sitio web falso controlado por el pharming incluso si se muestra la dirección correcta en la barra de direcciones del navegador.

Los sitios web falsos luego se utilizan para recopilar datos financieros e información confidencial de la víctima, y también pueden instalar virus en el sistema. Lo que hace que la suplantación de DNS sea más peligrosa que cambiar los archivos de los hosts es que no debería depender de las acciones de la víctima y tiene consecuencias potencialmente peores, ya que los servidores DNS responden a consultas de muchos usuarios y pueden «envenenar» a otros servidores DNS con los cambios de pharming.

Además, con la falsificación de DNS, la víctima puede tener un ordenador libre de virus, pero puede ser atacada por pharming. Incluso si los anfitriones toman precauciones, como ingresar manualmente la dirección de un sitio web o usar regularmente marcadores de confianza, aún no son suficientes para combatir la suplantación de DNS, porque una redirección maliciosa ocurre después de que un ordenador envía una solicitud de conexión. Cuando los pharming roban datos financieros y personales de sus víctimas, pueden usarlos para estafar o venderlos en la dark web.

¿En qué se diferencia el pharming del phishing?

A pesar de los resultados deseados similares entre pharming y phishing, los métodos utilizados difieren. El pharming se centra más en atacar el sistema DNS, mientras que el phishing se centra más en manipular a los usuarios. Aunque el phishing puede jugar un papel importante en el pharming.

Suplantación de identidad.- Como mencionamos anteriormente, el phishing es un tipo de estafa cibernética en la que los atacantes publican correos electrónicos que parecen ser de organizaciones confiables, como bancos y compañías de tarjetas de crédito.

Los correos electrónicos contienen enlaces maliciosos que, al hacer clic, llevan a la víctima a un sitio web falso. Debido a que el sitio web falso se parece engañosamente al legítimo, se engaña a las víctimas para que ingresen sus credenciales de inicio de sesión, detalles de la tarjeta y otra información confidencial.

El pharming se puede considerar como una forma de phishing sin el factor de seducción.- Esto significa que la víctima no necesita hacer clic en un enlace malicioso para ir a un sitio web falso. En cambio, la víctima es enviada inmediatamente allí usando una entrada de DNS falsa o una entrada de archivo de host. Por lo tanto, el pharming puede describirse como “phishing sin cebo”.