CLAVES DEL PHARMING
El pharming es un ciberataque que redirige tráfico legítimo a sitios fraudulentos sin interacción del usuario, lo que lo hace más difícil de detectar y potencialmente más dañino que el phishing.
Se realiza mediante vulnerabilidades en DNS, modificaciones en archivos de hosts del dispositivo del usuario o manipulación de routers con seguridad débil.
La banca, el comercio electrónico, la sanidad, la educación y pequeñas empresas son objetivos principales debido a los datos sensibles que manejan o su falta de medidas avanzadas de seguridad.
URL sospechosas, problemas en certificados de seguridad, cambios en el diseño web y alertas del navegador pueden indicar ataques. Navegadores y proveedores de Internet juegan un papel clave en la protección mediante tecnologías como DNS seguros, HSTS y bloqueos automáticos.
Índice de temas
¿Podrías explicar qué es el pharming y cómo funciona?
El pharming es un tipo de ciberataque que manipula el tráfico de Internet para redirigir a los usuarios desde páginas legítimas hacia sitios fraudulentos sin que ellos lo noten. Este tipo de ataque es capaz de capturar credenciales, información bancaria y datos sensibles.
Funciona de varias maneras: vulnerabilidad de los DNS, donde los atacantes alteran las entradas DNS de un servidor para redirigir a los usuarios a sitios maliciosos aunque ingresen correctamente la URL; modificación de archivos del host en el dispositivo del usuario, donde los atacantes alteran el archivo que gestiona la correspondencia entre dominios y direcciones IP; y manipulación de routers, donde los atacantes acceden a routers con configuraciones de seguridad débiles y redirigen todo el tráfico de la red local a sus propios servidores fraudulentos.
El phishing requiere que el usuario interactúe, como hacer clic en un enlace falso en un correo. El pharming, en cambio, es automático y más difícil de detectar, ya que redirige a los usuarios a sitios falsos sin que perciban el ataque.
EUSEBIO NIEVA, CHECK POINT
¿En qué se diferencia al pharming del phishing tradicional?
Aunque tanto el pharming como el phishing tienen como objetivo engañar a los usuarios para robar información sensible, sus métodos difieren: el phishing requiere que el usuario interactúe, como hacer clic en un enlace falso en un correo. El pharming, en cambio, es automático y más difícil de detectar, ya que redirige a los usuarios a sitios falsos sin que perciban el ataque.
Además, el pharming necesita de un ataque previo, bien para insertar malware en el pc del usuario o para “envenenar” las entradas de DNS en el dispositivo del usuario, o bien una vulnerabilidad, mala configuración, etc. en el dispositivo de acceso a internet del usuario.
¿Por qué el pharming es una amenaza más sigilosa y potencialmente más peligrosa que el phishing?
El pharming no necesita que el usuario interactúe con correos o enlaces sospechosos, lo que lo hace más difícil de detectar. Además, compromete sistemas básicos como DNS o routers, afectando potencialmente a múltiples usuarios a la vez. Este alcance masivo y automatizado lo convierte en una amenaza más grave que el phishing, que generalmente se dirige a individuos específicos.
Además, ataca de forma silenciosa, ya que la redirección ocurre automáticamente y el usuario cree estar en un sitio legítimo. Este ciberataque tiene el potencial de generar un mayor impacto financiero y de reputación, especialmente en sectores críticos.
¿Qué sectores son especialmente vulnerables a ataques de pharming?
Los sectores más vulnerables incluyen:
Banca y servicios financieros: los atacantes buscan robar credenciales de cuentas bancarias para realizar transacciones fraudulentas. En octubre, se mantuvo en el sexto puesto de los sectores más atacados en España, según datos de nuestro equipo de investigadores Check Point Research.
Comercio electrónico: las tiendas online pueden ser suplantadas para capturar datos de tarjetas de crédito y credenciales de usuarios.
Sanidad y educación: instituciones que manejan grandes volúmenes de información personal son objetivos atractivos. De hecho, el mes pasado, el sector sanitario alcanzó el octavo puesto de Top Malware en España, según nuestro equipo de investigadores.
Pequeñas empresas: frecuentemente carecen de medidas avanzadas de seguridad, lo que las convierte en un blanco fácil.
¿Cuáles son algunas señales que podrían alertar a los usuarios de un posible ataque de pharming mientras navegan por internet?
Como señalaba anteriormente, es un ataque más silencioso y difícil de detectar, pero hay medidas universales que todo usuario debe aplicar para evitar ser víctima de un ataque de pharming:
URLs sospechosas: es importante comparar la dirección web completa, con el dominio oficial, ya que los atacantes pueden utilizar variaciones, no del dominio sino del resto de la URL. Ligeros cambios del diseño de las páginas, errores en la web…
Certificados de seguridad inexistentes o no válidos: asegurarse de que la URL comience con “https” y muestre un candado en la barra de navegación. Hay que tener cuidado con la firma del certificado del sitio al cual se está accediendo.
Problemas al cargar la página: errores inusuales, como lentitud o cambios en el diseño de sitios habituales, pueden indicar un ataque.
Solicitudes de datos inusuales: si se te pide información personal o financiera en un contexto que no es habitual, puede ser una señal de alerta.
Alertas del navegador: los navegadores modernos a menudo bloquean sitios sospechosos o advierten sobre problemas con el certificado SSL del sitio.
¿Qué papel juegan los navegadores y proveedores de Internet en la protección contra amenazas del estilo de pharming?
Los navegadores y los proveedores de Internet son fundamentales en la lucha contra ataques de pharming, ya que su infraestructura y herramientas contribuyen a detectar y mitigar este tipo de amenazas.
También hay que tener en cuenta que algunas veces el ataque pasa por un cambio en el router de acceso a internet que el proveedor gestiona por lo que una adecuada implementación de seguridad, acceso, configuración, parcheado… disminuye drásticamente el riesgo de este tipo de amenazas.
Además, se implementan tecnologías como HSTS (HTTP Strict Transport Security), que añaden una capa extra de seguridad y garantizan conexiones seguras; proporcionan DNS seguros que filtran posibles redirecciones maliciosas; y detectan y bloquean automáticamente sitios fraudulentos mediante listas negras y algoritmos de análisis continuo.
