En esta época, el usuario de computadora crédulo es cada vez más raro. Dado que la educación sobre malware prevalece en Internet, las personas no se dejan engañar tan fácilmente por los correos electrónicos fraudulentos que afirman que han ganado millones de dólares.
Sin embargo, eso no significa que los piratas informáticos se hayan vuelto menos decididos; solo significa que han tenido que trabajar de forma más inteligente. Desde espiar la infraestructura de la empresa y enviar correos electrónicos a los empleados desde la dirección del jefe, hasta secuestrar las cuentas de Facebook de los usuarios y enviar mensajes a amigos, el abuso de confianza es el método preferido para piratear en estos días.
Un método que tienen bajo la manga es redirigir su computadora desde una URL legítima a una copia falsa de la misma, donde pueden adquirir detalles de inicio de sesión cuando ingresa su información en el sitio falso. Esto se conoce como “pharming”, y sus métodos pueden dar bastante miedo. Aquí te explicamos qué es el pharming y cómo funciona.
¿Qué es el pharming?
Índice
Por sí mismo, el pharming es un proceso de dos pasos que combina dos vectores de ataque; Envenenamiento de DNS y phishing. Al utilizar las fortalezas de ambos, crea una trampa muy creíble en la que la gente puede caer. Si bien el phishing funciona arrojando cebo y esperando que las personas lo tomen, el pharming puede hacerse cargo de servidores DNS completos y redirigir a las personas a sitios web falsos.
Entonces, para responder “¿qué es pharming?” primero tenemos que analizar los dos componentes sobre los que se basa y ver cómo interactúan entre sí para formar el ataque de pharming general.
Envenenamiento por DNS
¡Puedes decir cuán infame es este vector de ataque solo por el nombre! El envenenamiento de DNS funciona secuestrando una búsqueda de DNS. Cuando ingresa una dirección web (como www.facebook.com), la computadora debe convertirla en una dirección IP. ¡Esto se debe a que las computadoras no entienden qué es “Facebook”! Las URL están ahí para facilitar que los humanos recordemos las direcciones de los sitios web. Las computadoras, sin embargo, saben qué es una dirección IP. Entonces, para hablar con Facebook, una computadora convierte la URL en una dirección IP.
Para ello, consultan un servidor DNS, que actúa como una libreta de direcciones para URL y direcciones IP. Usan el servidor DNS para encontrar la dirección IP de la URL (www.facebook.com -> 157.240.1.35) y luego lo usan para hablar con los servidores de Facebook. Cuando una computadora ha descubierto la dirección IP de una URL, puede anotar la dirección en un caché. Esto es para evitar perder tiempo buscando la misma dirección IP una y otra vez. En este ejemplo, notará que www.facebook.com va a 157.240.1.35 en su caché.
El envenenamiento de DNS funciona de dos maneras: ingresando a un caché en una PC individual y cambiando las direcciones IP para dirigirlas a sitios web maliciosos o infectando los servidores DNS para que las PC que realizan la búsqueda obtengan un resultado “infectado”. En cualquier caso, la próxima vez que el usuario escriba “www.facebook.com” en su navegador, terminará cargando la dirección IP falsa “envenenada”.
Suplantación de identidad
El envenenamiento del DNS permite que un atacante dirija a los usuarios de un sitio legítimo a uno malicioso aunque el usuario haya escrito la dirección correctamente. Sin embargo, este es solo el primer paso; después de todo, ¡simplemente dirigir al usuario a un sitio web diferente no hace mucho! En combinación con el envenenamiento, los piratas informáticos pueden utilizar el phishing para convertir una simple redirección en una ganancia.
En nuestro ejemplo, el atacante redirige al usuario fuera de Facebook a un sitio web elegido por el atacante. Hay muchas opciones que el atacante puede elegir, pero en un ataque de pharming, el atacante elegirá un sitio web que haya configurado previamente para que se vea idéntico a Facebook. Cuando el usuario escribe www.facebook.com en su navegador, el envenenamiento del DNS lo redirige al Facebook falso del hacker.
Ahora que el usuario está en el sitio falso, le solicitará sus credenciales de inicio de sesión de Facebook. Creyendo que está en el sitio real de Facebook, el usuario ingresa sus datos de inicio de sesión y transmite su información a los piratas informáticos, completando el ataque de pharming.
Qué se puede hacer
En primer lugar, es útil saber que los servidores DNS suelen ser propiedad del ISP que utiliza. Como tal, para evitar ataques de pharming contra servidores DNS, asegúrese de elegir un ISP confiable. Los buenos ISP sabrán sobre pharming y tendrán contramedidas para proteger sus servidores de ser envenenados.
Pero, ¿cuál es la debilidad del pharming cuando se trata de infectar los archivos de su propia computadora? Primero, asegúrese siempre de tener instalada una buena solución antivirus o anti-malware. Con suerte, estos deberían poder detectar una edición en el archivo de caché de direcciones de su computadora y alertarlo antes de que se produzca algún daño.
Incluso sin antivirus, sin embargo, puede detener un ataque de pharming utilizando su ingenio. Cuando acceda a un sitio web popular o seguro, como las redes sociales o los sitios bancarios, verá un candado en la barra de direcciones y “HTTPS” al comienzo de la URL. Esto significa que el sitio web ha sido validado por un tercero autorizado para que sea lo que dice ser. Como tal, ha recibido un certificado y sus comunicaciones se han cifrado.
Por supuesto, si un ataque de pharming lo ha redirigido a un sitio falso, ese sitio no debería tener un certificado que lo identifique como genuino. Incluso si la URL parece idéntica a la real, la vista de un certificado faltante es un claro indicio. Al iniciar sesión en un sitio popular, asegúrese de que el certificado HTTPS esté presente. Si ha notado que el certificado ha “desaparecido” repentinamente, ¡algo podría estar sucediendo!
Engañando a Pharming
Con varios pasos para crear un vector intrincado de ataque, el pharming puede dar un poco de miedo. Ahora conoce los detalles de qué es el pharming y cómo funciona. Aún mejor, si es inteligente y utiliza un ISP seguro, es posible que no tenga que preocuparse por ser víctima de pharming.
¿Alguna vez usted o alguien que conoce ha sido engañado por un sitio web de apariencia realista? Háganos saber a continuación.
