Las nuevas tecnologías ofrecen un alto nivel de comodidad y eficiencia lo que ha fomentado enormemente el uso de las mismas. Pagar las cuentas, realizar transferencias bancarias, consultar nuestro estado financiero, inclusive pedir una pizza o rentar un DVD, etc. Son sólo unas pocas de las tantas actividades que podemos hacer en Internet, la parte delicada es cuando para hacer uso de estos servicios debemos compartir información personal o privada.
Es aquí donde podríamos preguntarnos: ¿Cómo no dar mi dirección a una tienda si quiero que me envíen un paquete? o ¿Cómo pedirle a mi banco que transfiera el dinero de mi cuenta a otra sin proporcionarle una serie de datos confidenciales?
Por supuesto que no siempre podemos exigir información sin antes compartir un poco, al final de todo, nuestra contraparte debe de estar segura que somos quienes decimos ser. ¿Pero nosotros estamos seguros de que ellos son quienes dicen ser? Aquí es donde comienza este ataque llamado pharming y la muy estrecha relación que guarda con el phishing.
Objetivos del pharming
El fraude hoy en día es uno de los crímenes que encabezan la lista de delitos informáticos en nuestro país y los objetivos del pharming en su mayoría se dirigen a obtener beneficios económicos e información privilegiada, muchas veces para la generación de estafas. Este tipo de ataque generalmente busca la obtención de:
- Información bancaria.
- Credenciales de acceso (nombre de usuarios y contraseñas).
- Información personal (números telefónicos, direcciones, e-mail, etc).
Es importante recalcar que en la mayoría de los casos el pharming se dirige a la creación de fraudes, pero tiene un campo de acción mayor, por ejemplo puede emplearse para dirigir a los clientes de un DNS comprometido a páginas web donde se les descargará código malicioso forzando la generación visitas en algún sitio cuando los clientes tecleen la dirección de algún portal conocido, valiéndose de su popularidad. En fin, los objetivos pueden ser muchos y tan variados como los deseos que tenga el atacante.
¿Qué es el pharming?
Cuando ingresamos la dirección de una página de Internet por ejemplo www.seguridad.unam.mx esta dirección debe traducirse a su correspondiente numérico denominado dirección IP, compuesta de cuatro grupos de números que tienen un rango definido entre el 0 y el 255. Por ejemplo para el caso del portal www.seguridad.unam.mx corresponde la dirección IP 132.248.124.130.
Esta traducción es tarea del Servidor de Nombres de Dominio (DNS por sus siglas en ingles) y en ocasiones puede ser realizada a través de archivos localizados en nuestras computadoras o tablas configuradas en nuestros routers.
Conociendo lo anterior, podemos comenzar a decir que el pharming es un ataque informático donde se manipulan estos registros, usualmente a través de la ejecución de algún código malicioso, por lo regular en forma de caballos de troya.
Imaginemos que estamos frente a una computadora víctima de este malware capaz de modificar la información de los DNS e ingresamos la URL de una página bien conocida, pero sin saberlo estamos siendo direccionados a otro lugar que al igual que el phishing, aquí podremos ser testigos de una suplantación de identidad, un engaño y un peligroso fraude informático.
Una forma más sencilla de explicar y entender el pharming puede ser mediante un ejemplo: suponga que un día como cualquier otro que se dispone a pagar una cuenta, usted teclea la dirección URL de su banco, y es direccionado a un sitio con una apariencia idéntica, pero en realidad es la página que un usurpador ha clonado para obtener su información.
Pharming
Ahora completamente confiado de que la dirección que usted tecleó es la auténtica transfiere dinero de su cuenta a otra, en este momento el atacante tendrá lo necesario para realizar la misma acción sin la necesidad de su autorización, fácilmente puede ejecutar el mismo proceso de transferencia pero probablemente el destino de ese dinero sea la cuenta del mismo estafador.
Resulta importante recalcar que el punto medular de la peligrosidad de éste ataque radica en el hecho de que pasa prácticamente inadvertido por las víctimas, a través del proceso de traducción de la dirección URL a la dirección IP, haciendo que el usuario que conscientemente intenta ingresar a una página web legítima, esté siendo direccionado a otra parte sin enterarse.
Diferencia entre pharming y phishing
Hasta este punto parece que estamos hablando de pharming como sinónimo de phishing, pero hay una diferencia radical. El pharming va mas allá ya que puede afectar a maquinas de manera individual o a redes enteras que hagan uso del mismo servidor DNS o dispositivo comprometido, lo que permite que el atacante tenga bajo su control a un grupo de usuarios vulnerables tan grande como la cantidad de clientes del Servidor DNS contaminado lo que resulta más peligroso, pues mientras el phising requiere que cada usuario acceda al link del estafador para convertirse en una potencial víctima, el pharming sólo necesita que alguien haga una consulta legítima al servidor DNS modificado, haciendo que muchas precauciones tomadas para protegerse del phishing no sean suficientes ni útiles para evitar el pharming.
Consejos de prevención del ataque
- No abrir o leer correos electrónicos de los cuales no confirmemos su procedencia y legitimidad.
- Verificar que los portales que visitamos emplean un protocolo seguro como https en lugar de http, así mismo cerciorarse que el certificado de seguridad sea válido.
- Revisar frecuentemente el archivo hosts. Este archivo contiene registros de traducción de nombre de dominio a dirección IP y se localiza en “C:\Windows\System32\drivers\etc\hosts” para sistemas Microsoft Windows o en “/etc/hosts” para sistemas basados en UNIX. Con el fin de identificar y borrar los registros desconocidos, de la misma manera se recomienda analizar las tablas de traducción de nuestro router si éste cuenta con esa opción.
- No emplear permisos de administrador para tareas cotidianas que no requieran dicho privilegio, esto evitará que algún código malicioso pueda modificar el archivo hosts o cualquier otro archivo del sistema.
- Denunciar cualquier incidente de este tipo a la dirección phishing@seguridad.unam.mx
