¿Qué es pharming? Todo lo que necesita saber

¿Qué es pharming? 

Imagine este escenario. Usted tiene instalado en su ordenador un software que utiliza desde hace años. De vez en cuando, ese software le dirige a una página web en la que introduce datos personales. Todo eso es legítimo y le permite seguir utilizando el software.

Un día, recibe otra de esas solicitudes. Así que sigue las instrucciones y envía los datos solicitados. Pero empieza a notar problemas en los días siguientes. Puede que se hagan cargos en sus tarjetas de crédito que usted no autorizó o se da cuenta de que sus cuentas en las redes sociales están enviando solicitudes de amistad que usted no hizo.

Acaba de ser víctima del pharming. En este artículo le explicamos en qué consiste y compartimos algunos ejemplos de los principales ataques de pharming.

Resumen

• El pharming, un tipo de ciberdelincuencia, redirige a los visitantes de un sitio web a sitios fraudulentos sin su conocimiento, normalmente mediante la explotación de servidores DNS o la modificación del archivo host de un usuario, con la intención de recopilar datos personales como contraseñas y números de tarjetas de crédito.
• Se diferencia del phishing por ser indiscriminado y automatizado, lo que supone una amenaza a mayor escala. Los usuarios pueden no darse cuenta de que están en un sitio fraudulento, ya que parece idéntico al auténtico, de ahí que mantengan su comportamiento en línea habitual, lo que pone en peligro sus datos.
• Para mitigar las amenazas de pharming, uno debe asegurar su red, actualizar regularmente el software, utilizar programas antivirus fiables e implementar protocolos seguros como HTTPS. Verifique siempre las URL de los sitios web y utilice la autenticación de dos factores siempre que sea posible.

No se convierta en víctima del cibercrimen. Proteja sus dispositivos con el mejor antivirus y su privacidad con la mejor VPN.

¿Qué es el pharming? – En profundidad

Las estafas de pharming son un tipo de ciberataque que permite a los piratas informáticos redirigir a los internautas a sitios web falsos. Estos sitios sospechosos suelen ser copias al carbón de los sitios legítimos que se utilizan normalmente. El hacker pretende convencer a los usuarios de que están en un sitio web legítimo imitando un sitio real. A menudo, el único indicio de que se encuentra en un sitio web fraudulento proviene de que la dirección web o los nombres de dominio son diferentes de lo que deberían ser.

Una vez que le tienen en su sitio malicioso, el pirata le pedirá que introduzca información confidencial. Comúnmente, esto implica pedirle sus credenciales de inicio de sesión. Una vez introducidos los datos, el sitio web puede mostrar un mensaje de error para indicarle que el inicio de sesión no se ha realizado correctamente. Entonces, usted sigue con su día.

Por desgracia, ese inicio de sesión “fallido” fue un éxito por parte del pirata informático. Ahora disponen de los datos que usted introdujo, lo que les permite realizar actividades fraudulentas, como el robo de identidad y el fraude en línea.

Los ciberdelincuentes suelen dirigirse a sitios web que recopilan información personal y financiera delicada, como los gestionados por bancos y plataformas de pago en línea.

¿Cómo funciona el pharming?

Para entender cómo funciona el pharming, primero necesita una comprensión básica de cómo funcionan los navegadores web.

Cuando abre un navegador web, como Google Chrome o Microsoft Edge, su primer paso es introducir una dirección web. Sin embargo, estos nombres de dominio no son los que permiten una conexión directa. En su lugar, un servidor del Sistema de Nombres de Dominio (DNS) tiene que convertir el nombre de dominio en una dirección IP para permitir la conexión.

Es este proceso de conversión el que explotan los piratas informáticos en los ataques de pharming. Existen dos tipos de ataques que un delincuente puede utilizar para aprovecharse de este proceso:

• Pharming basado en malware
• Envenenamiento DNS

Agricultura basada en malware

El primer paso del pharming basado en malware implica que un pirata informático encuentre alguna forma de introducir software malicioso en su ordenador. Este software suele ser un virus, un troyano o un tipo similar de malware de pharming que opera en segundo plano y no presenta signos visibles de su presencia en el ordenador de la víctima. Los pharmers suelen utilizar el phishing para conseguirlo, enviando un código a través de un correo electrónico en el que usted hace clic.

Una vez instalado el malware de pharming, su código cambia los archivos host de su ordenador para dirigirle lejos de los sitios web legítimos. En su lugar, los intentos de acceder a un sitio real le envían a uno de los sitios maliciosos del pirata informático. Esto sucede incluso si teclea el nombre de dominio correcto en su navegador web.

Envenenamiento DNS

Los servidores DNS cooperan entre sí manteniendo listas de sitios web con sus correspondientes direcciones IP adjuntas. Estas listas se guardan en servidores y se denominan tablas DNS.

Con el envenenamiento del servidor DNS, un pirata informático obtiene acceso a la tabla DNS de un servidor y cambia las direcciones IP asociadas a varios nombres de dominio. El resultado es que cualquier usuario que teclee el nombre de dominio es redirigido a un sitio web de pharming. Los delincuentes pueden utilizar estos sitios para instalar malware y virus en el ordenador de la víctima, con el consiguiente robo de información personal o financiera.

Los signos de un ataque Pharming y lo que puede hacer al respecto

Es extraordinariamente fácil ser víctima de los sitios web de pharming. Si no presta atención al nombre de dominio del sitio web, no se dará cuenta de que algo va mal hasta que sea demasiado tarde. Para entonces, un pirata informático puede tener acceso a varias de sus cuentas en línea.

Aun así, hay varias señales a las que puede estar atento y que sugieren que puede ser víctima de un sitio de pharming:

• Empiezan a aparecer en sus cuentas de redes sociales publicaciones y mensajes que usted no ha hecho.
• Se han cambiado las contraseñas de sus cuentas en línea.
• Ha aparecido un nuevo software en su ordenador personal o dispositivo que usted no había instalado.
• Se realizan cargos en su tarjeta de crédito o en sus cuentas de pago en línea que usted no ha efectuado.
• Sus cuentas en las redes sociales empiezan a enviar solicitudes de amistad y conexión que usted no ha enviado.

Si nota alguno de estos signos, hay algunas cosas que puede hacer que pueden ayudar a resolver el problema:

• Cambie las contraseñas de todas sus cuentas en línea. También es una buena idea configurar la autenticación multifactor para que los piratas informáticos no puedan acceder a las cuentas sólo con una contraseña.
• Borre la caché DNS de su dispositivo.
• Ejecute el software antivirus para eliminar el malware y los virus del ordenador del usuario.
• Póngase en contacto con su proveedor de servicios de Internet para tratar el problema.
• Póngase en contacto con su banco o proveedor de cuentas en línea para denunciar el fraude y siga sus procedimientos para protegerse y restablecer el acceso.

Ejemplos reales de pharming

El pharming es extremadamente común. Los sitios falsos que los hackers utilizan para estas estafas se crean a un ritmo de uno cada 20 segundos. Y algunos de los más exitosos de estos sitios web de pharming han causado grandes problemas, como demuestran los siguientes ejemplos.

Ejemplo nº 1 – El ataque de los voluntarios venezolanos

En 2019, un grupo humanitario que operaba en Venezuela tuvo la idea de crear una nueva campaña. Utilizarían un sitio web para que la gente se inscribiera, permitiéndoles abrir cuentas personales a través de las cuales podrían gestionar donaciones y actividades similares. El sitio web tenía un formulario en el que se solicitaban datos personales, como el nombre del usuario, su identificación personal, la ubicación de su domicilio y su número de teléfono.

Pocos días después de la creación del sitio web legítimo, un pharmer creó un sitio web malicioso que imitaba casi exactamente al sitio original. Aún más aterrador, el pharmer fue capaz de crear su dominio falso utilizando la misma dirección IP que el sitio web real, haciéndolo prácticamente indistinguible del auténtico.

Por supuesto, el sitio falso también tenía el formulario presente en el sitio web legítimo. El resultado de esta estafa fue que a miles de voluntarios se les robó su información personal y se utilizó potencialmente con fines fraudulentos.

Ejemplo nº 2 – Un ataque dirigido a 50 bancos

No cometa el error de pensar que el pharming es un fenómeno nuevo. Una estafa de 2007 implicaba a piratas informáticos que utilizaban sitios web fraudulentos dirigidos a empresas financieras de varios países. En total, al menos 50 bancos que operan en Europa, Norteamérica y la región Asia-Pacífico fueron objetivo del ataque.

El pharming se aprovechó de una vulnerabilidad de seguridad en el software de Microsoft. Aunque Microsoft había identificado el problema y creado un parche para solucionarlo, muchos no lo habían instalado en el momento del ataque. Los hackers aprovecharon esta vulnerabilidad para atraer a usuarios desprevenidos a un sitio web falso donde podían instalar un archivo llamado “iexplorer.exe”. Una vez pulsado, el enlace conectaba al usuario con servidores rusos, que descargaban cinco archivos adicionales en el dispositivo de la víctima.

Observe el nombre de archivo utilizado en este ataque. Es fácil confundir ese nombre de archivo con el que se utilizó para descargar Internet Explorer, uno de los navegadores web más populares en 2007.

Una vez descargados los archivos fraudulentos, los piratas informáticos sólo tenían que esperar a que el usuario visitara su sitio web bancario. Tras teclear la dirección del sitio web real en la barra de direcciones de su navegador, el usuario era redirigido a un sitio web falso. Introducían sus credenciales de acceso, que los hackers robaban, y a continuación eran redirigidos al sitio legítimo en el que los hackers habían iniciado sesión con las credenciales robadas del usuario.

El resultado fue un ataque casi invisible que duró tres días y se cree que infectó unos 1.000 ordenadores al día.

Ejemplo nº 3 – El primer Drive-By Pharming

En 2008 se produjo el primer ejemplo de lo que la empresa de ciberseguridad Symantec denominó “drive-by pharming”. Se trataba de piratas informáticos que conseguían cambiar la configuración DNS almacenada en el router o en el punto de acceso inalámbrico de un usuario para dirigirlo a sitios falsos.

El primer ataque drive-by se lanzó contra un banco mexicano y consistió en el envío por parte de los hackers de un correo electrónico que simulaba proceder de una empresa de tarjetas de felicitación electrónica llamada gusanito.com. Ese correo electrónico parecía contener una etiqueta de imagen HTML, aunque en realidad se trataba de una pieza oculta de código que enviaba una solicitud al router del usuario. Una vez aceptada la solicitud, los piratas informáticos pudieron manipular la configuración DNS del router para redirigir a los usuarios afectados a sus sitios web maliciosos.

Estas páginas web imitaban las del banco en cuestión. A partir de ahí, el ataque se producía tal y como se describe en este artículo. Los usuarios que intentaban acceder al sitio web legítimo del banco eran redirigidos al sitio falso, que robaba todos los datos que introducían.

Cómo mantenerse seguro en línea:

• Utilice contraseñas seguras: Utilice una contraseña única y compleja para cada cuenta. Un gestor de contraseñas puede ayudarle a generarlas y almacenarlas. Además, active la autenticación de dos factores (2FA) siempre que esté disponible.
• Invierta en su seguridad: Comprar el mejor antivirus para Windows 11 es clave para su seguridad en línea. Un antivirus de alta calidad como Norton, McAfee o Bitdefender salvaguardará su PC de varias amenazas en línea, incluyendo malware, ransomware y spyware.
• Tenga cuidado con los intentos de phishing: Sea precavido cuando reciba comunicaciones sospechosas que le pidan información personal. Las empresas legítimas nunca le pedirán datos confidenciales por correo electrónico o mensaje de texto. Antes de hacer clic en cualquier enlace, asegúrese de la autenticidad del remitente.
• Manténgase informado: En nuestro blog cubrimos una amplia gama de temas de ciberseguridad. Y hay varias fuentes creíbles (en inglés) que ofrecen informes y recomendaciones sobre amenazas, como NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike y muchas más.

¡Manténgase seguro en Internet!

Preguntas más frecuentes

A continuación encontrará las preguntas más frecuentes.