En esta época, el usuario de ordenador crédulo es cada vez más raro. Con la educación sobre el malware que prevalece en Internet, la gente no se deja engañar tan fácilmente por los correos electrónicos de estafa que afirman haber ganado millones de dólares.

Sin embargo, eso no significa que los piratas informáticos se hayan vuelto menos decididos, sino que han tenido que trabajar de forma más inteligente. Desde el espionaje de la infraestructura de la empresa y el envío de correos electrónicos a los empleados desde la dirección del jefe, hasta el secuestro de las cuentas de Facebook de los usuarios y el envío de mensajes a sus amigos, el abuso de confianza es el método preferido para el pirateo hoy en día.

Uno de los métodos que se sacan de la manga es redirigir el ordenador desde una URL legítima a una copia falsa de la misma, donde pueden obtener los datos de acceso al introducir la información en el sitio falso. Esto se conoce como «pharming», y sus métodos pueden ser bastante aterradores. Aquí explicaremos qué es el pharming y cómo funciona…

¿Qué es el pharming?

Por sí mismo, el pharming es un proceso de dos pasos que combina dos vectores de ataque: el envenenamiento de DNS y el phishing. Al utilizar los puntos fuertes de ambos, crea una trampa muy creíble para que la gente caiga en ella. Mientras que el phishing funciona lanzando un cebo y esperando que la gente lo acepte, el pharming puede tomar el control de servidores DNS completos y redirigir a la gente a sitios web falsos.

Así pues, para responder a la pregunta «¿qué es el pharming?», primero tenemos que analizar los dos componentes en los que se basa y ver cómo interactúan entre sí para formar el ataque general de pharming.

RELACIONADO:  Para que sirve sierra de punta

Envenenamiento del DNS

pharming-dns-poisoning

Ya sólo con el nombre se puede saber lo nefasto que es este vector de ataque. El envenenamiento de DNS funciona secuestrando una búsqueda de DNS. Cuando se introduce una dirección web (como www.facebook.com), el ordenador tiene que convertirla en una dirección IP. Esto se debe a que los ordenadores no entienden lo que es «Facebook». Las URL están ahí para facilitarnos a los humanos el recuerdo de las direcciones de los sitios web. Los ordenadores, sin embargo, saben lo que es una dirección IP. Así que para hablar con Facebook, un ordenador convierte la URL en una dirección IP.

Para ello, consulta un servidor DNS, que actúa como una libreta de direcciones para las URL y las direcciones IP. Utilizan el servidor DNS para encontrar la dirección IP de la URL (www.facebook.com -> 157.240.1.35), y luego la utilizan para hablar con los servidores de Facebook. Cuando un ordenador ha descubierto la dirección IP de una URL, puede anotar la dirección en una caché. De este modo, puede evitar perder tiempo buscando la misma dirección IP una y otra vez. En este ejemplo, anotará en su caché que www.facebook.com se dirige a 157.240.1.35.

El envenenamiento de DNS funciona de dos maneras: entrando en la caché de un PC individual y cambiando las direcciones IP para dirigirlas a sitios web maliciosos o infectando los propios servidores DNS para que los PC que realizan la búsqueda obtengan un resultado «infectado». En cualquier caso, la próxima vez que el usuario escriba «www.facebook.com» en su navegador, acabará cargando la dirección IP falsa «envenenada».

RELACIONADO:  Como hacer muebles de madera y hierro

Phishing

pharming-phishing

El envenenamiento de DNS permite a un atacante dirigir a los usuarios desde un sitio legítimo a uno malicioso, aunque el usuario haya escrito la dirección correctamente. Sin embargo, éste es sólo el primer paso; después de todo, dirigir al usuario a un sitio web diferente no sirve de mucho. En combinación con el envenenamiento, los hackers pueden utilizar el phishing para convertir una simple redirección en una ganancia.

En nuestro ejemplo, el atacante redirige al usuario fuera de Facebook a un sitio web de su elección. Hay muchas opciones que el atacante puede elegir, pero en un ataque de pharming el atacante elegirá un sitio web que ha configurado previamente para que parezca idéntico a Facebook. Cuando el usuario escribe www.facebook.com en su navegador, el envenenamiento de DNS lo redirige al falso Facebook del hacker.

Ahora que el usuario está en el sitio falso, le pedirá sus credenciales de acceso a Facebook. Creyendo que está en el sitio real de Facebook, el usuario introduce sus datos de acceso y transmite su información a los hackers, completando el ataque de pharming.

Qué se puede hacer

En primer lugar, es útil saber que los servidores DNS suelen ser propiedad del proveedor de servicios de Internet que utilizas.

Por ello, para evitar los ataques de pharming contra los servidores DNS, asegúrate de elegir un ISP fiable. Los buenos ISP conocerán el pharming y tendrán contramedidas para proteger sus servidores de ser envenenados.

Pero, ¿cuál es el punto débil del pharming cuando se trata de infectar los archivos de tu propio ordenador? En primer lugar, asegúrese siempre de tener instalado un buen antivirus o solución antimalware. Estos deberían ser capaces de detectar una edición en el archivo de caché de direcciones de su ordenador y alertarle antes de que se produzca cualquier daño.

RELACIONADO:  Cómo aplazar o pausar la actualización de Windows 10

certificado de farmacia

Sin embargo, incluso sin antivirus, puedes detener un ataque de pharming utilizando tu ingenio. Cuando acceda a un sitio web popular o seguro, como las redes sociales o los sitios bancarios, verá un candado en la barra de direcciones y «HTTPS» al principio de la URL. Esto significa que el sitio web ha sido validado por una tercera parte autorizada para ser lo que dice ser. Como tal, se le ha concedido un certificado, y sus comunicaciones han sido encriptadas.

Por supuesto, si un ataque de pharming le ha redirigido a un sitio falso, ese sitio no debería tener un certificado que lo identifique como auténtico. Incluso si la URL parece idéntica a la real, la ausencia de un certificado es un indicio claro. Cuando acceda a un sitio popular, asegúrese de que el certificado HTTPS está presente. Si ha notado que el certificado ha «desaparecido» de repente, ¡podría haber algo en marcha!

Engañar al Pharming

Con múltiples pasos para crear un intrincado vector de ataque, el pharming puede dar un poco de miedo. Ahora ya conoces los detalles de lo que es el pharming y cómo funciona. Y lo que es mejor, si eres avispado y utilizas un ISP seguro, puede que no tengas que preocuparte por ser víctima del pharming.

¿Has sido tú o alguien que conoces engañado alguna vez por un sitio web de aspecto realista? Háganoslo saber a continuación.