Blog

¿Qué es el pharming? Definición, ejemplos y prevención

Debounce
Artículos
21 minutos de lectura
Temas

Comparte este artículo

Copiar URL

Puntos Clave

  • A diferencia del phishing, el pharming funciona corrompiendo los sistemas DNS o los archivos de host del dispositivo para que al escribir una dirección correcta los usuarios sean dirigidos automáticamente a sitios fraudulentos.
  • Hay dos tipos principales de pharming: el envenenamiento de DNS apunta a una infraestructura compartida que afecta a muchos usuarios simultáneamente, y la manipulación de archivos del host apunta a dispositivos individuales a través de malware.
  • Verifique siempre los certificados HTTPS válidos y busque irregularidades sutiles en las URL, ya que los sitios de pharming pueden carecer de los certificados de seguridad adecuados incluso cuando replican visualmente sitios legítimos.

Abres tu navegador, escribes con cuidado la dirección web de tu banco y pulsas Intro. La página se ve perfecta. El mismo logo. El mismo diseño. El mismo cuadro de inicio de sesión. Introduces tu nombre de usuario y contraseña sin pensarlo dos veces. Más tarde, descubres que no era tu banco y que tus credenciales ya estaban en manos de otra persona.

Eso es pharming. Es un ataque que redirige tu tráfico de internet incluso antes de que veas la página cargada, enviándote silenciosamente a un sitio falso diseñado para parecer idéntico al real. A diferencia del phishing, que intenta engañarte para que hagas clic en un enlace sospechoso, el pharming no depende de un error obvio. Puedes escribir la dirección correcta, evitar correos electrónicos sospechosos, incluso comprobar la URL y, aun así, acabar en el lugar equivocado sin darte cuenta.

Comprender cómo funciona el pharming permite detectar con mayor facilidad señales de advertencia sutiles y tomar medidas para proteger su información antes de que quede expuesta.

¿Qué es el Pharming?

Pharming en ciberseguridad

El pharming es un ciberataque que redirige a los usuarios de sitios web legítimos a réplicas fraudulentas sin requerir ninguna acción ni engaño por parte del usuario, más allá de la vulneración inicial de la infraestructura. El término combina "phishing" y "farming", lo que refleja cómo los atacantes recopilan credenciales y datos confidenciales de forma masiva. En lugar de engañar a los usuarios uno por uno, el pharming permite a los atacantes capturar información de muchos usuarios a la vez manipulando los sistemas que dirigen el tráfico web.

Al escribir una dirección web como "mybank.com", su dispositivo no sabe directamente dónde se encuentra ese sitio web en internet. Consulta un servidor del Sistema de Nombres de Dominio (DNS) para traducir el dominio legible a una dirección IP numérica que localiza el servidor real. El pharming corrompe este proceso de traducción, sustituyendo direcciones IP legítimas por direcciones IP controladas por el atacante.

Los usuarios llegan a sitios fraudulentos a través de su propia navegación, no a través de enlaces o advertencias sospechosas. Sin una inspección minuciosa de los certificados de seguridad y los detalles sutiles de las URL, a menudo no hay indicios visuales de que algo ande mal.

Cómo funciona el pharming

El pharming explota el proceso de resolución de DNS que subyace a cada visita a un sitio web, ya sea a nivel de infraestructura o en dispositivos individuales.

Cada sitio web tiene una dirección IP numérica (como 203.0.113.42) que identifica la ubicación de su servidor. Los servidores DNS mantienen bases de datos que traducen los nombres de dominio (mybank.com) a direcciones IP. Al escribir una dirección, el navegador consulta el DNS, recibe la dirección IP y se conecta a ese servidor.

Los ataques de pharming corrompen este proceso en uno de dos puntos: los servidores DNS que sirven a muchos usuarios o los archivos de host en dispositivos individuales que realizan traducciones locales antes de consultar los servidores DNS.

Por qué los sitios web falsos parecen legítimos

Los sitios de pharming están diseñados para engañar. Los atacantes crean réplicas que copian el HTML, CSS, imágenes y funcionalidades de los sitios legítimos. Utilizan los mismos esquemas de color, diseños y elementos de marca. Los formularios de inicio de sesión aceptan credenciales y, a veces, incluso redirigen a los usuarios al sitio real después de capturar su información, para que las víctimas no se den cuenta de lo sucedido.

Tipos de ataques de pharming

¿Qué es el pharming en ciberseguridad?

Los ataques de pharming se dividen en dos categorías principales según dónde se produce la corrupción del DNS y cuántos usuarios se ven afectados.

Pharming basado en DNS

Los ataques basados ​​en DNS apuntan a la infraestructura compartida que sirve a muchos usuarios, lo que los convierte en una categoría más peligrosa en términos de escala.

envenenamiento de caché DNS

Los atacantes aprovechan vulnerabilidades en el software del servidor DNS para inyectar registros falsos en las cachés del servidor. Una vez almacenada, la traducción falsa persiste hasta que la caché caduque o se borre manualmente, lo que podría afectar a todos los usuarios de ese servidor DNS durante horas o días.

Este tipo de ataque se conoce desde la década de 1990, pero se siguen descubriendo vulnerabilidades en la infraestructura DNS. La vulnerabilidad Kaminsky de 2008 reveló debilidades fundamentales en el DNS, lo que permitió el envenenamiento de caché a gran escala, lo que obligó a la aplicación urgente de parches en toda la industria. Desde entonces se han encontrado vulnerabilidades similares.

Secuestro de DNS a nivel de registrador

Los atacantes que obtienen acceso a los registradores de dominios (las empresas que administran los registros de dominios) pueden modificar los registros DNS oficiales de dominios legítimos, apuntando mybank.com a servidores controlados por el atacante en el nivel autorizado en lugar de simplemente envenenar los cachés.

Este ataque es más difícil de ejecutar, pero afecta a todos los usuarios a nivel mundial, no solo a quienes usan un servidor DNS específico. Incidentes de secuestro de dominios de alto perfil han redirigido el tráfico hacia grandes organizaciones antes de ser detectados y revertidos.

Redirección a nivel de ISP

Los proveedores de servicios de Internet comprometidos o los ISP maliciosos pueden redirigir las consultas DNS de forma transparente, afectando a todos los clientes sin tocar los dispositivos individuales ni los servidores DNS externos.

Pharming basado en archivos de host

Los ataques a archivos host se dirigen a dispositivos individuales en lugar de a una infraestructura compartida, lo que limita su escala pero los hace accesibles a atacantes menos sofisticados.

Modificación impulsada por malware

Los virus, troyanos y otro malware que infectan ordenadores suelen incluir funciones para modificar el archivo hosts como parte de su carga útil. Una vez modificado, el dispositivo infectado redirige sistemáticamente los dominios objetivo a sitios controlados por el atacante, independientemente de lo que indique cualquier servidor DNS.

Instalación de ingeniería social

Se puede engañar a los usuarios para que ejecuten scripts o software que modifiquen directamente su archivo de hosts mediante archivos adjuntos de correo electrónico, descargas de software falsas o infecciones de sitios web no autorizadas. A diferencia del envenenamiento de DNS, que requiere acceso al servidor, cualquier persona que logre engañar a un usuario para que ejecute código malicioso puede implementar ataques a archivos de host.

Señales comunes de un ataque de pharming

¿Qué es el farmeo?

El pharming está diseñado para ser invisible, pero ciertas señales de advertencia indican que es posible que haya sido redirigido a un sitio fraudulento.

Problemas con el sitio web y el certificado de seguridad:

  • Sin HTTPS o certificado no válido: El navegador muestra una advertencia como "Su conexión no es privada", falta el icono del candado o muestra un error. Los sitios de pharming suelen fallar la validación del certificado.
  • Certificado emitido a entidad incorrecta: Haga clic en el candado e inspeccione el certificado; debe estar emitido a la organización cuyo sitio está visitando, no a una entidad desconocida.
  • HTTP en lugar de HTTPS: Los sitios legítimos de banca, finanzas y gestión de cuentas siempre utilizan HTTPS; el HTTP sin cifrar es una señal de advertencia seria en sitios sensibles.

Irregularidades en la URL:

  • Diferencias sutiles de dominio que no notaste al escribir: mybank-secure.com en lugar de mybank.com
  • Números de puerto inesperados en la barra de direcciones (mybank.com:8080)
  • Direcciones IP en la URL en lugar de nombres de dominio

Anomalías del comportamiento:

  • Los sitios familiares de repente se ven ligeramente diferentes: cambios de diseño, cambios de logotipo, elementos faltantes
  • Páginas de inicio de sesión que no coinciden con lo que recuerdas
  • Solicitudes de información que el sitio normalmente nunca solicita (preguntas de seguridad en una página que normalmente no las solicita)
  • Las páginas se cargan de forma inusualmente lenta o se comportan de forma inesperada

Problemas posteriores al inicio de sesión:

  • Se le solicitará que inicie sesión nuevamente inmediatamente después de ingresar las credenciales
  • Actividad inusual en la cuenta o transacciones no autorizadas después de visitar un sitio
  • Notificaciones de cambio de contraseña que usted no inició

Señales de advertencia técnica:

  • El software antivirus alerta sobre cambios de DNS o modificaciones de archivos del host
  • Advertencias del navegador sobre errores de certificado en sitios que antes eran de confianza
  • Herramientas de seguridad de red que detectan anomalías de DNS

Riesgos y consecuencias del pharming

Pharming en ciberseguridad

Los ataques de pharming exitosos generan daños graves y a menudo duraderos en las dimensiones financiera, de privacidad y organizacional.

Robo financiero

El robo de credenciales bancarias mediante pharming permite el acceso directo a cuentas. Los atacantes acceden a las cuentas secuestradas, realizan transferencias bancarias, vacían sus ahorros y realizan compras antes de que las víctimas se den cuenta de que algo anda mal. El fraude financiero derivado del pharming puede ser difícil de recuperar, especialmente cuando se trata de transferencias internacionales.

La información de tarjetas de pago capturada en sitios de comercio electrónico falsos permite compras fraudulentas y la clonación de tarjetas que continúan generando pérdidas hasta que las tarjetas son canceladas y reemplazadas.

Robo de credenciales y apropiación de cuentas

Las credenciales de inicio de sesión capturadas rara vez se limitan a una sola cuenta. Muchas personas reutilizan sus contraseñas en varios servicios, por lo que una contraseña bancaria robada también podría abrir la puerta al correo electrónico, el almacenamiento en la nube, las redes sociales y más. Desde allí, los atacantes pueden activar el restablecimiento de contraseñas y acceder a las cuentas conectadas paso a paso, convirtiendo una única vulneración en un ataque mucho mayor.

El robo de identidad

La información personal obtenida mediante pharming, como nombres, direcciones, números de la Seguridad Social y fechas de nacimiento, puede utilizarse para cometer robo de identidad. Una vez expuesta, estos datos pueden permitir a los delincuentes abrir cuentas fraudulentas, presentar declaraciones de impuestos falsas o usar indebidamente el crédito en nombre de la víctima. El daño financiero puede tardar años en detectarse y resolverse por completo.

Impactos empresariales y organizacionales

Las organizaciones afectadas por el pharming se enfrentan a interrupciones operativas, exposición de datos de clientes y consecuencias regulatorias. Un secuestro de DNS exitoso que afecte el dominio de una empresa puede redirigir a todos los clientes a sitios fraudulentos, dañando la confianza incluso cuando la empresa no se vio comprometida. La recuperación requiere tiempo de propagación del DNS, lo que genera incertidumbre entre los usuarios sobre qué sitios son legítimos.

Daño a la reputación a largo plazo

Las empresas cuyos clientes fueron víctimas de pharming, incluso cuando los responsables fueron los atacantes, y no la empresa, enfrentan consecuencias reputacionales. Es difícil recuperar la confianza del cliente después de incidentes de seguridad, en particular aquellos que afectan a datos financieros o personales.

Correo electrónico no deseado y el pharming a menudo se utilizan juntos: los correos electrónicos de phishing llevan a los usuarios a URL comprometidas por el pharming, combinando mecanismos de entrega para lograr el máximo impacto.

Cómo protegerse del pharming

Pharming

La protección contra el pharming requiere precauciones técnicas, hábitos de comportamiento y prácticas de seguridad organizacional.

Utilice servicios DNS seguros

Los servidores DNS estándar proporcionados por los ISP ofrecen una seguridad mínima. Cambiar a proveedores de DNS centrados en la seguridad que implementan Extensiones de Seguridad DNS (DNSSEC) y utilizan protocolos DNS cifrados reduce el riesgo de envenenamiento. DNSSEC firma digitalmente los registros DNS, lo que dificulta considerablemente que los atacantes inyecten entradas falsas.

Verifique los certificados HTTPS antes de ingresar las credenciales

Antes de iniciar sesión en cualquier sitio sensible, como banca, correo electrónico o servicios financieros, verifique el certificado HTTPS:

  • Confirme que el icono del candado esté presente y no muestre advertencias
  • Haga clic en el candado y verifique que el certificado se haya emitido a la organización correcta
  • Asegúrese de que el certificado sea válido y no esté vencido

Nunca ingrese credenciales de inicio de sesión en páginas que muestren errores de certificado, incluso si el sitio parece correcto.

Mantenga los dispositivos y el software actualizados

Los parches de seguridad para sistemas operativos, navegadores y antivirus abordan vulnerabilidades conocidas que el malware de pharming explota para modificar archivos del host o interceptar consultas DNS. La activación de actualizaciones automáticas garantiza la aplicación inmediata de los parches sin necesidad de supervisión manual.

Utilice software antivirus y antimalware de buena reputación

El software de seguridad detecta modificaciones de archivos del host, cambios sospechosos de DNS y malware que permite ataques de pharming basados ​​en el host. La protección en tiempo real que monitorea los cambios del sistema detecta las modificaciones en el momento en que ocurren, en lugar de después de que se produzca el daño.

Habilitar la autenticación de dos factores (2FA)

Incluso si el pharming captura tus credenciales de inicio de sesión, la 2FA impide que los atacantes accedan a las cuentas sin el segundo factor de verificación. Las contraseñas de un solo uso basadas en el tiempo (TOTP) y las claves de seguridad de hardware son especialmente eficaces, ya que los atacantes que capturaron las credenciales de un sitio de pharming no pueden reproducirlas.

Supervisar la configuración de DNS del enrutador

Los routers domésticos son un objetivo común de pharming. El malware o los atacantes que comprometen las credenciales de administrador del router pueden modificar la configuración DNS para redirigir todo el tráfico doméstico. Revise periódicamente la configuración DNS del router para asegurarse de que apunte a su proveedor de DNS deseado y no a servidores controlados por el atacante.

Practique una verificación de URL cuidadosa

Revise las URL cuidadosamente antes de ingresar sus credenciales, especialmente después de seguir enlaces de cualquier fuente. Busque variaciones sutiles en el dominio, asegúrese de usar HTTPS y verifique el certificado antes de iniciar sesión.

Implementar la autenticación de correo electrónico

Configuración adecuada de los registros SPF DMARC ayuda a prevenir los ataques por correo electrónico que suelen acompañar a las campañas de pharming, reduciendo los correos electrónicos de phishing que dirigen a los usuarios a sitios web comprometidos. La protección conjunta de la infraestructura de correo electrónico y web reduce los vectores de ataque combinados que los atacantes utilizan con mayor frecuencia.

Mantener los listas de correo electrónico limpias reduce la exposición organizacional de correos electrónicos rebotados y contactos no válidos que los atacantes pueden explotar en tareas de reconocimiento antes de lanzar campañas de pharming dirigidas.

Resumen

El pharming redirige a los usuarios de sitios web legítimos a réplicas fraudulentas corrompiendo los sistemas DNS o manipulando los archivos host del dispositivo, sin necesidad de un enlace sospechoso ni un engaño evidente. Los usuarios que introducen direcciones correctas pueden acceder a sitios falsos perfectamente replicados y perder credenciales, datos financieros e información personal sin percatarse de que algo salió mal.

La protección requiere capas: servicios de DNS seguros que implementan DNSSEC, verificación cuidadosa del certificado HTTPS antes de ingresar las credenciales, dispositivos y software de seguridad actualizados, autenticación de dos factores que sigue siendo válida incluso cuando se capturan las contraseñas y seguridad del enrutador que evita la modificación del DNS a nivel de red.

Cambie hoy mismo la configuración de DNS de su dispositivo y router a un proveedor centrado en la seguridad que admita DNSSEC y consultas DNS cifradas. Después, habilite la autenticación de dos factores en todas las cuentas financieras, de correo electrónico y confidenciales, para garantizar que las credenciales capturadas por sí solas no sean suficientes para que los atacantes completen su trabajo.

Mantenga una sólida seguridad de correo electrónico junto con la seguridad web. Utilice Debounce Para mantener sus listas de correo electrónico limpias y su infraestructura de envío en buen estado, reduciendo la exposición al phishing y al spam que suelen acompañar las campañas de pharming. Un entorno de correo electrónico seguro que llega a destinatarios verificados forma parte de la misma estrategia de seguridad que protege contra ataques web como el pharming.

Preguntas frecuentes

Respuestas a preguntas comunes sobre este tema.
01

¿Es ilegal el pharming?

Sí, el pharming es ilegal según las leyes de fraude informático y delitos cibernéticos en la mayoría de los países, incluida legislación como la Ley de Abuso y Fraude Informático de Estados Unidos.

02

¿Qué tan comunes son los ataques de pharming?

El pharming es menos común que el phishing, pero significativamente más peligroso cuando ocurre. Incidentes de envenenamiento de DNS a gran escala han afectado a millones de usuarios simultáneamente, mientras que el pharming basado en archivos de host mediante malware afecta continuamente a usuarios individuales como parte de campañas de malware más amplias.

Quizás te interese

Encuentre respuestas rápidas a sus preguntas sobre nuestros precios y planes.

Cómo configurar G Suite y Office 365

Tener un dominio personalizado para los correos electrónicos de tu empresa añade un nivel de profesionalidad y credibilidad que las direcciones de correo electrónico genéricas como gmail.com u outlook.com no pueden igualar.

   
Nirbhay Singh

Cómo enviar correos electrónicos masivos en Gmail

El envío masivo de correos electrónicos es una forma eficaz de comunicar un mensaje a un público amplio. El objetivo puede ser cualquiera, desde aumentar las conversiones hasta realizar un seguimiento rápido...

   
Debounce

¿Qué es la tecnología anti-listas grises?

Para empezar, es importante comprender el concepto de la tecnología de listas grises. Una vez que la entendamos claramente, podremos explorar métodos para sortearla...

   
Debounce