Qué es el pharming y cómo protegerte

¿Cual és la definición de pharming?

El pharming, una combinación de las palabras "phishing" y "farming", es una estafa en línea similar al phishing, en la que se manipula el tráfico de un sitio web y se roba información confidencial. 

Este es un tipo de ciberataque de ingeniería social en el que los delincuentes redirigen a los internautas que intentan acceder a un sitio web específico a un sitio diferente y falso.

Estos sitios "falsos" pretenden capturar la información de identificación personal (PII) de la víctima y sus credenciales de inicio de sesión, como contraseñas, números de la seguridad social, números de cuenta, etc. o bien intentan instalar malware de pharming en su computadora.

Los ciberdelincuentes suelen atacar sitios web del sector financiero, incluidos bancos, plataformas de pago en línea o sitios de comercio electrónico, normalmente con el robo de identidad como objetivo final.

¿Cómo funciona el pharming?

El pharming se aprovecha de las bases de funcionamiento de la navegación por Internet, en concreto, del momento en el que los servidores DNS deben convertir la secuencia de letras que componen una dirección de Internet, como www.google.com, en una dirección IP para que se establezca la conexión.

El pharming ataca este proceso de una de las dos formas siguientes:

1. En primer lugar, un hacker puede enviar un código malicioso en un correo electrónico que instale un virus o troyano en la computadora de un usuario. Este código malicioso cambia el archivo de hosts de la computadora para dirigir el tráfico fuera de su objetivo previsto hacia un sitio web falso. En esta forma de pharming, conocida como pharming basado en malware, independientemente de que escriba la dirección de Internet correcta, el archivo hosts corrupto le llevará en su lugar al sitio fraudulento.
2. En segundo lugar, el hacker puede utilizar una técnica llamada envenenamiento de DNS. DNS significa "Domain Name System" (Sistema de Nombres de Dominio): los pharmers pueden modificar la tabla DNS de un servidor, provocando que varios usuarios visiten inadvertidamente sitios web falsos en lugar de legítimos. Los pharmers pueden utilizar los sitios web falsos para instalar virus o troyanos en la computadora del usuario o intentar recopilar información personal y financiera para utilizarla en robos de identidad.

Aunque los servidores DNS son más difíciles de atacar porque se encuentran en la red de una organización y detrás de sus defensas, el envenenamiento de DNS puede afectar a un número significativo de víctimas y, por tanto, ofrecer grandes recompensas a los ciberdelincuentes.

El envenenamiento también puede propagarse a otros servidores DNS. Cualquier proveedor de servicios de Internet (ISP) que reciba información de un servidor envenenado puede hacer que la entrada DNS corrupta se almacene en la caché de los servidores del ISP, propagándose a más enrutadores y dispositivos.

Lo que hace que los ataques de pharming sean una forma tan peligrosa de fraude en línea es que requieren una acción mínima por parte de la víctima.

En los casos de envenenamiento del servidor DNS, el usuario afectado puede tener una computadora completamente libre de malware y aun así convertirse en víctima. Tomar precauciones, como ingresar manualmente la dirección de un sitio web o usar siempre marcadores de confianza, no es suficiente porque la dirección errónea se da una vez que el equipo envía una solicitud de conexión.

Una vez que obtienen tus datos personales, los utilizan con fines fraudulentos o los venden a otros delincuentes en la web oscura.

¿Cuál es la principal diferencia entre phishing y pharming?

Las estafas de phishing y pharming son similares, pero no exactamente iguales.

El Phishing es una práctica fraudulenta en la que los ciberdelincuentes te envían correos electrónicos que parecen proceder de organizaciones de renombre.

Los correos electrónicos contienen vínculos maliciosos que llevan a un sitio web falso donde los usuarios desprevenidos ingresan información personal, como su nombre de usuario y contraseña.

Una vez que hayas enviado esta información, los estafadores podrán usarla con fines delictivos.

El Pharming es una forma de phishing, pero sin el elemento de incitación.

El pharming consiste de dos etapas: en la primera etapa, los hackers instalan un código malicioso en tu computadora o servidor. En la segunda etapa, el código te envía a un sitio web falso, donde puedes ser engañado para que facilites información personal.

El pharming informático no requiere ese clic inicial para llevarte a un sitio web fraudulento. En lugar de ello, se te redirige allí automáticamente, donde los pharmers tienen acceso a cualquier información personal que reveles.

El phishing utiliza el correo electrónico, las redes sociales o mensajes de texto engañosos para pedirte información financiera, mientras que el pharming no requiere ningún señuelo. Por esta razón, el pharming se describió como "phishing sin señuelo".

El pharming se considera más peligroso que el phishing, ya que puede afectar a un número significativo de computadoras sin que las víctimas realicen ninguna acción consciente. Sin embargo, los ataques de pharming son menos comunes que los de phishing porque requieren bastante más trabajo por parte de los atacantes.

Ejemplos de pharming

En 2019, se llevó a cabo un notable ataque de pharming en Venezuela.

Ese año, el Presidente de Venezuela hizo un llamamiento público solicitando voluntarios para unirse a un nuevo movimiento llamado "Voluntarios por Venezuela". El objetivo de este movimiento era conectar a los voluntarios con las organizaciones internacionales que prestaban ayuda humanitaria al país.

Se invitó a los voluntarios a inscribirse a través de un sitio web en el que se les pedía su nombre completo, identificación personal, número de teléfono, ubicación y otros datos personales.

Una semana después de la puesta en marcha del sitio web original, apareció un segundo sitio web. Este era casi idéntico, con un nombre de dominio y una estructura similares, pero falso.

En Venezuela, tanto los sitios web reales como los falsificados se resolvían en la misma dirección IP, que pertenecía al propietario del dominio falso. Esto significaba que, independientemente de que un usuario abriera el sitio web real o el falso, en última instancia, sus datos acabarían en el falso. (Fuera del país, se resolvían en una dirección IP diferente).

En 2015, en Brasil, los atacantes enviaron correos electrónicos de phishing a usuarios de enrutadores domésticos UTStarcom o TR-Link diciendo ser de la mayor empresa de telecomunicaciones de Brasil. Los vínculos de los correos descargaban malware de pharming diseñado para explotar las vulnerabilidades del enrutador y permitir a los atacantes cambiar la configuración del servidor DNS del enrutador.

Aunque no es reciente, uno de los ataques de pharming más importantes registrados y más famosos ocurrió en 2007, y fueron objetivo más de 50 empresas financieras de EE. UU., Europa y Asia. Los hackers crearon una página web de imitación para cada empresa financiera objetivo, cada una de ellas con código malicioso.

Los sitios web obligaban a las computadoras de los consumidores a descargar un troyano. Posteriormente, se recopilaba información sobre el inicio de sesión en cualquiera de las empresas financieras seleccionadas.

Se desconoce el número total de víctimas, pero el ataque se produjo durante tres días.

Señales de pharming: cómo saber si eres víctima

Entre las señales de que has sido víctima de pharming se incluyen:

1. Cargos de PayPal o de tarjetas de crédito o débito que no reconoces
2. Publicaciones o mensajes en tus redes sociales que no hayas publicado
3. Solicitudes de amistad o conexión de tus redes sociales que tú no enviaste
4. Cambio de las contraseñas de cualquiera de tus cuentas en línea
5. Aparecen nuevos programas en tu dispositivo que descargaste ni instalaste

Si crees que ya fuiste víctima de un malware de pharming o de un ataque de pharming:

• Borra la caché de tu DNS
• Ejecuta tu programa antivirus para eliminar y malware asegurarte de que tu dispositivo esté seguro
• Comunícate con tu ISP si crees que tu servidor está en riesgo
• Cambia la contraseña de todas tus cuentas en línea
• Sigue los procedimientos de denuncia de fraudes de tus plataformas de banca electrónica, correo electrónico y redes sociales, según proceda.

Cómo protegerte contra el pharming

Algunas señales importantes pueden ayudarle a detectar si ha sido víctima de pharming:

Elige un proveedor de servicios de Internet (ISP) de confianza

Un buen proveedor de servicios de Internet filtrará de manera predeterminada los redireccionamientos sospechosos para garantizar que nunca llegues a un sitio web de pharming.

Utiliza un servidor DNS confiable

Para la mayoría de nosotros, nuestro servidor DNS será nuestro ISP. Sin embargo, es posible cambiar a un servicio DNS especializado, que podría ofrecer más seguridad contra el envenenamiento.

Sigue solo los vínculos que empiecen con HTTPS en lugar de solo HTTP

La "s" significa "seguro" e indica que el sitio tiene un certificado de seguridad válido. Una vez en el sitio, comprueba si aparece el ícono del candado en la barra de direcciones, otro indicador de que el sitio es seguro.  

Nunca hagas clic en vínculos o archivos adjuntos de fuentes desconocidas

Aunque no puedes protegerte del envenenamiento de DNS, sí puedes evitar el software malicioso que permite el pharming. Evita hacer clic en vínculos o abrir archivos adjuntos en cualquier correo electrónico o mensaje del que no estés seguro.

Comprueba si hay errores en las URL

Las empresas de pharming a veces utilizan trucos ortográficos para engañar a los visitantes, sustituyendo o agregando letras a los nombres de dominio. Fíjate bien en la URL y si detectas un error de escritura, no la abras.

Evita los sitios web sospechosos en general

Aparte de la URL, las señales a las que hay que prestar atención incluyen errores ortográficos o gramaticales, tipos de letra o colores desconocidos y ausencia de contenido; por ejemplo, algunos pharmers no se molestan en rellenar la política de privacidad o los términos y condiciones. Comprueba que todo es como esperas antes de enviar cualquier información.

Evita las ofertas que parecen demasiado buenas para ser verdad

Los estafadores en línea a veces atraen a las víctimas con ofertas llamativas, por ejemplo, descuentos muy inferiores a los de la competencia legítima. Si las ofertas parecen inverosímiles, actúa con cautela.

Habilita la autenticación de dos factores cuando sea posible

Muchas plataformas ofrecen autenticación de dos factores, y cuando está disponible, es una buena idea activarla. Esto hace que tus cuentas sean más difíciles de hackear: aunque los estafadores hayan obtenido tus datos de acceso mediante pharming, no podrán acceder a tu cuenta.

Cambia la configuración predeterminada de tu enrutador Wi-Fi

Cambiar la contraseña estándar y utilizar en su lugar una contraseña segura para tu red privada te ayudará a protegerte del envenenamiento de DNS. También es esencial mantener actualizado el enrutador. Si tu enrutador no dispone de actualizaciones automáticas, considera la posibilidad de reemplazarlo por uno que sí las tenga.

Utiliza una solución antimalware y antivirus de calidad y mantenla actualizada

Kaspersky Premium te protege contra hackers, virus y malware, y funciona 24 horas al día, 7 días a la semana, para proteger tus dispositivos y datos.

La mejor manera de protegerte de ciberdelitos como el pharming y el phishing es mediante una combinación de protección antivirus y el seguimiento de las mejores prácticas de ciberseguridad más recientes.

Artículos relacionados:

¿Qué es el phishing?

Cómo evitar los sitios web de estafas

Amenazas de ingeniería social