Qué es el Pharming

tball

El pharming es un tipo de ciberataque que redirige a los usuarios desde sitios web reales a sitios falsos para robar información sensible, como contraseñas, a menudo usando emails de phishing para comprometer los equipos de cómputo o los routers y redirigir el tráfico a los sitios falsos.

Cómo funciona el pharming

Los ataques de pharming ocurren cuando los cibercriminales manipulan el DNS (Domain Name System) o comprometen el dispositivo de un usuario para dirigirlos hacia un sitio web fraudulento. El DNS es un sistema que traduce los nombres de dominio (como www.ejemplo.com) a direcciones IP para que los navegadores puedan cargar el sitio web correcto. En un ataque de pharming, los atacantes pueden corromper este proceso para redirigir a los usuarios hacia sitio web maliciosos que son una copia exacta de los legítimos. 

Los ataque de pharming generalmente ocurren de dos formas:

Pharming local

Los atacantes infectan el dispositivo de un usuario con malware que altera las configuraciones locales de DNS. Al modificar el archivo host en el dispositivo, el atacante puede redirigir al usuario hacia sitios web fraudulentos, incluso si ellos ingresan la URL correcta. 

Pharming basado en DNS

Los atacantes se van contra los mismos servidores DNS para poder redirigir el tráfico de millones de usuarios hacia sitios web maliciosos sin necesitar comprometer millones de dispositivos individuales. 

La naturaleza de los ataques de pharming los hace especialmente peligrosos, ya que los usuarios a menudo no tienen idea de que han sido redirigidos hacia un sitio web fraudulento. Estos sitios web falsos están diseñados para verse idénticos a los legítimos, engañando a los usuarios para que ingresen información sensible, la cual entonces es robada por los atacantes.

¿Qué es el Pharming?

Pharming vs. phishing

El pharming a menudo se confunde con el phishing, pero los dos tipos de ciberataque son fundamentalmente distintos. Mientras que el phishing se basa en trucos de ingeniería social para engañar a los usuarios con emails, mensajes o sitios web falsos para entregar información personal, el pharming sigilosamente redirige a los usuarios hacia sitios fraudulentos sin requerir de ninguna información directa. 

En un ataque de phishing, un usuario podría recibir un correo que dice ser del banco, solicitándoles ingresar su usuario y contraseña. Por otro lado, el pharming no requiere que los usuarios hagan nada. Ellos podrían ingresar la URL correcta de su banco, pero aún así podrían ser redirigidos hacia un sitio web fraudulanto que se ve exactamente igual al real. Esto hace que el pharming sea más difícil de detectar, ya que las víctimas no se dan cuenta de que han sido comprometidas. 

Ejemplos del mundo real de ataques de pharming

Han existido varios ataques de pharming de muy alto perfil que desafortunadamente demuestran el gran riesgo que implica este tipo de ciberataque.

El ataque de pharming en pharming.org en 2007

Los atacantes afectaron a un grupo grande de usuarios de internet al envenenar un servidor DNS. Miles de usuarios fueron redirigidos hacia sitios web falsos que se hacían pasar por bancos, donde se comprometieron sus usuarios y contraseñas. El ataque expuso debilidades en la seguridad de DNS, lo cual dio lugar a un mayor escrutinio de las vulnerabilidades en DNS.

Ataque de pharming en Brasil en 2015

Los atacantes comprometieron los routers de usuarios domésticos en Brasil, redirigiéndolos hacia versiones falsas de sitios web populares. El ataque se dirigió hacia las configuraciones de DNS de los routers, dando como resultado un número importante de víctimas que inadvertidamente les dieron sus datos bancarios a los cibercriminales.

Ataque de farming basado en DNS en 2019

Los atacantes se dirigieron hacia pequeñas empresas al envenenar servidores DNS públicos. Empleados que ingresaban a sitios web y portales empresariales se vieron redirigidos hacia versiones fraudulentos de esos sitios, permitiendo que los atacantes robaran esas credenciales y con ello información empresarial sensible. Este ataque destacó el daño potencial que el pharming basado en DNS puede causar a empresas de todos los tamaños.

Señales de un ataque de pharming

  • Es difícil reconocer las señales de un ataque de pharming podría ser complicado, pero sí hay varios elementos que puede tomar en cuenta.

Redirecciones inusuales

Si ingresa una URL familiar pero termina en un sitio web distinto, esta podría ser una señal de ataque.

URLs alteradas

Los sitios web de pharming imitarán a los sitios legítimos, y los atacantes a menudo también cambian ligeramente las URL, agregando caracteres extra o escribiendo mal las palabras. 

Certificados HTTPS o SSL faltantes

Los sitios web legítimos, especialmente aquellos que gestionan datos sensibles como información bancaria, usan conexiones HTTPS. Si usted nota que un sitio web familiar repentinamente ya no tiene el certificado HTTPS o no tiene el ícono de candado a un lado de la URL, podría encontrarse en un sitio web malicioso. 

Pop-ups o solicitudes extrañas

Algunos sitios de pharming podrían incluir pop-ups extraños solicitando información personal que un sitio legítimo jamás pediría. 

Mantenerse alerta ante estas señales puede ayudarle a evitar ser una víctima de un ataque de pharming.

Los riesgos del pharming

  • El pharming trae consigo riesgos serios, tanto para individuos como para empresas: 

Robo de identidad

Al robar información sensible como credenciales de inicio de sesión, números de tarjeta de crédito o números de seguridad social, los cibercriminales pueden cometer robo de identidad u otros tipos de fraude. 

Fraude financiero

Los ataques de pharming a menudo se dirigen hacia sitios web de bancos o a portales de pagos en línea, permitiendo que los atacantes roben los fondos de las cuentas de sus víctimas sin ser detectados. 

Brechas de datos

Para las empresas, los ataques de pharming pueden dar como resultado brechas masivas de datos, exponiendo la información de los clientes, secretos corporativos u otra información sensible. 

Daño a la reputación

Las empresas que son víctimas de ataques de pharming pueden sufrir daños severos a la reputación, especialmente si se compromete la información de los clientes. Esto puede resultar en pérdida de confianza, acciones legales o pérdidas financieras.

Previniendo los ataques de pharming

  • Afortunadamente, existen medidas que pueden tomar las personas y las organizaciones para protegerse contra los ataques de pharming:

Actualizar el software de antivirus y anti-malware

Actualizar regularmente el software de seguridad puede ayudar a detectar y a eliminar malware que podría alterar las configuraciones DNS que permiten que sucedan los ataques de pharming. 

Use servicios DNS seguros

Usar servicios DNS seguros que ofrezcan DNSSEC (DNS Security Extensions) puede ayudar a prevenir cambios no autorizados al DNS, bloqueando intentos de pharming. 

Habilite la autentificación de dos factores (2FA)

2FA agrega una capa extra de protección a las cuentas en línea, haciendo que sea más difícil para los atacantes acceder a información sensible, incluso si tienen credenciales robadas. 

Revise los certificados SSL

Siempre asegúrese de que los servicios que usan información sensible tienen certificados SSL válidos (busque "HTTPS" en la URL y el símbolo de candado). Esto asegura una conexión encriptada y segura entre su dispositivo y el sitio web. 

Monitoree regularmente las actividades de la red

Las empresas deben de implementar herramientas de monitoreo en la red para detectar cambios inusuales al DNS o redireccionamientos que pudiesen indicar un ataque de pharming. 

Cómo Prevenir Ataques de Pharming

El rol de las soluciones de ciberseguridad

  • Las soluciones avanzadas de ciberseguridad juegan un papel crítico en la prevención de los ataques de pharming: 

Filtrado de DNS

El filtrado de DNS bloquea el acceso a sitios web maliciosos analizando las solicitudes de DNS en tiempo real. Esto podría evitar que los usuarios se vean redirigidos hacia sitios fraudulentos, incluso si se han alterado las configuraciones de DNS. 

Firewalls

Un sistema robusto de firewall puede monitorear y controlar el tráfico que entra y sale de la red, deteniendo los ataques de pharming antes de que alcancen a los usuarios. 

Herramientas de protección de endpoints

Estas herramientas brindan una protección integral para dispositivos individuales al identificar y mitigar las amenazas que podrían usarse para alterar las configuraciones locales de DNS que se usarían en los ataques de Pharming. 

Adoptar un modelo de seguridad zero trust

Si no se confía por defecto en un usuario o un dispositivo, se pueden minimizar los riesgos del pharming. Al verificar continuamente la identidad de los usuarios y dispositivos, los modelos Zero Trust aseguran que solamente las configuraciones legítimas pueden acceder a la red. 

Solución de Trend Micro Email Security

Trend Vision One™ Email and Collaboration Security entrega protección líder en la industria contra las amenazas avanzadas que se dirigen hacia las plataformas de correo y de colaboración. Detiene el phishing, los ataques de business email compromise (BEC), ransomware y otros ataques dirigidos con detección de amenazas impulsada por IA y análisis dinámico en sandbox.

Al validar la identidad del remitente, escanear las URLs y los archivos adjuntos en tiempo real y aprovechando técnicas de defensa intergeneracionales, brinda visibilidad y control integrales a través de sus canales de comunicación basados en la nube.