El pharming es un tipo de ciberataque que redirige a los usuarios desde sitios web reales a sitios falsos para robar información sensible, como contraseñas, a menudo usando emails de phishing para comprometer los equipos de cómputo o los routers y redirigir el tráfico a los sitios falsos.
Índice
Los ataques de pharming ocurren cuando los cibercriminales manipulan el DNS (Domain Name System) o comprometen el dispositivo de un usuario para dirigirlos hacia un sitio web fraudulento. El DNS es un sistema que traduce los nombres de dominio (como www.ejemplo.com) a direcciones IP para que los navegadores puedan cargar el sitio web correcto. En un ataque de pharming, los atacantes pueden corromper este proceso para redirigir a los usuarios hacia sitio web maliciosos que son una copia exacta de los legítimos.
Los ataque de pharming generalmente ocurren de dos formas:
Los atacantes infectan el dispositivo de un usuario con malware que altera las configuraciones locales de DNS. Al modificar el archivo host en el dispositivo, el atacante puede redirigir al usuario hacia sitios web fraudulentos, incluso si ellos ingresan la URL correcta.
Los atacantes se van contra los mismos servidores DNS para poder redirigir el tráfico de millones de usuarios hacia sitios web maliciosos sin necesitar comprometer millones de dispositivos individuales.
La naturaleza de los ataques de pharming los hace especialmente peligrosos, ya que los usuarios a menudo no tienen idea de que han sido redirigidos hacia un sitio web fraudulento. Estos sitios web falsos están diseñados para verse idénticos a los legítimos, engañando a los usuarios para que ingresen información sensible, la cual entonces es robada por los atacantes.
El pharming a menudo se confunde con el phishing, pero los dos tipos de ciberataque son fundamentalmente distintos. Mientras que el phishing se basa en trucos de ingeniería social para engañar a los usuarios con emails, mensajes o sitios web falsos para entregar información personal, el pharming sigilosamente redirige a los usuarios hacia sitios fraudulentos sin requerir de ninguna información directa.
En un ataque de phishing, un usuario podría recibir un correo que dice ser del banco, solicitándoles ingresar su usuario y contraseña. Por otro lado, el pharming no requiere que los usuarios hagan nada. Ellos podrían ingresar la URL correcta de su banco, pero aún así podrían ser redirigidos hacia un sitio web fraudulanto que se ve exactamente igual al real. Esto hace que el pharming sea más difícil de detectar, ya que las víctimas no se dan cuenta de que han sido comprometidas.
Han existido varios ataques de pharming de muy alto perfil que desafortunadamente demuestran el gran riesgo que implica este tipo de ciberataque.
Los atacantes afectaron a un grupo grande de usuarios de internet al envenenar un servidor DNS. Miles de usuarios fueron redirigidos hacia sitios web falsos que se hacían pasar por bancos, donde se comprometieron sus usuarios y contraseñas. El ataque expuso debilidades en la seguridad de DNS, lo cual dio lugar a un mayor escrutinio de las vulnerabilidades en DNS.
Los atacantes comprometieron los routers de usuarios domésticos en Brasil, redirigiéndolos hacia versiones falsas de sitios web populares. El ataque se dirigió hacia las configuraciones de DNS de los routers, dando como resultado un número importante de víctimas que inadvertidamente les dieron sus datos bancarios a los cibercriminales.
Los atacantes se dirigieron hacia pequeñas empresas al envenenar servidores DNS públicos. Empleados que ingresaban a sitios web y portales empresariales se vieron redirigidos hacia versiones fraudulentos de esos sitios, permitiendo que los atacantes robaran esas credenciales y con ello información empresarial sensible. Este ataque destacó el daño potencial que el pharming basado en DNS puede causar a empresas de todos los tamaños.
Si ingresa una URL familiar pero termina en un sitio web distinto, esta podría ser una señal de ataque.
Los sitios web de pharming imitarán a los sitios legítimos, y los atacantes a menudo también cambian ligeramente las URL, agregando caracteres extra o escribiendo mal las palabras.
Los sitios web legítimos, especialmente aquellos que gestionan datos sensibles como información bancaria, usan conexiones HTTPS. Si usted nota que un sitio web familiar repentinamente ya no tiene el certificado HTTPS o no tiene el ícono de candado a un lado de la URL, podría encontrarse en un sitio web malicioso.
Algunos sitios de pharming podrían incluir pop-ups extraños solicitando información personal que un sitio legítimo jamás pediría.
Mantenerse alerta ante estas señales puede ayudarle a evitar ser una víctima de un ataque de pharming.
Al robar información sensible como credenciales de inicio de sesión, números de tarjeta de crédito o números de seguridad social, los cibercriminales pueden cometer robo de identidad u otros tipos de fraude.
Los ataques de pharming a menudo se dirigen hacia sitios web de bancos o a portales de pagos en línea, permitiendo que los atacantes roben los fondos de las cuentas de sus víctimas sin ser detectados.
Para las empresas, los ataques de pharming pueden dar como resultado brechas masivas de datos, exponiendo la información de los clientes, secretos corporativos u otra información sensible.
Las empresas que son víctimas de ataques de pharming pueden sufrir daños severos a la reputación, especialmente si se compromete la información de los clientes. Esto puede resultar en pérdida de confianza, acciones legales o pérdidas financieras.
Actualizar regularmente el software de seguridad puede ayudar a detectar y a eliminar malware que podría alterar las configuraciones DNS que permiten que sucedan los ataques de pharming.
Usar servicios DNS seguros que ofrezcan DNSSEC (DNS Security Extensions) puede ayudar a prevenir cambios no autorizados al DNS, bloqueando intentos de pharming.
2FA agrega una capa extra de protección a las cuentas en línea, haciendo que sea más difícil para los atacantes acceder a información sensible, incluso si tienen credenciales robadas.
Siempre asegúrese de que los servicios que usan información sensible tienen certificados SSL válidos (busque "HTTPS" en la URL y el símbolo de candado). Esto asegura una conexión encriptada y segura entre su dispositivo y el sitio web.
Las empresas deben de implementar herramientas de monitoreo en la red para detectar cambios inusuales al DNS o redireccionamientos que pudiesen indicar un ataque de pharming.
El filtrado de DNS bloquea el acceso a sitios web maliciosos analizando las solicitudes de DNS en tiempo real. Esto podría evitar que los usuarios se vean redirigidos hacia sitios fraudulentos, incluso si se han alterado las configuraciones de DNS.
Un sistema robusto de firewall puede monitorear y controlar el tráfico que entra y sale de la red, deteniendo los ataques de pharming antes de que alcancen a los usuarios.
Estas herramientas brindan una protección integral para dispositivos individuales al identificar y mitigar las amenazas que podrían usarse para alterar las configuraciones locales de DNS que se usarían en los ataques de Pharming.
Si no se confía por defecto en un usuario o un dispositivo, se pueden minimizar los riesgos del pharming. Al verificar continuamente la identidad de los usuarios y dispositivos, los modelos Zero Trust aseguran que solamente las configuraciones legítimas pueden acceder a la red.
Trend Vision One™ Email and Collaboration Security entrega protección líder en la industria contra las amenazas avanzadas que se dirigen hacia las plataformas de correo y de colaboración. Detiene el phishing, los ataques de business email compromise (BEC), ransomware y otros ataques dirigidos con detección de amenazas impulsada por IA y análisis dinámico en sandbox.
Al validar la identidad del remitente, escanear las URLs y los archivos adjuntos en tiempo real y aprovechando técnicas de defensa intergeneracionales, brinda visibilidad y control integrales a través de sus canales de comunicación basados en la nube.