que es el pharming
Anzuelo en un mar lleno de arrobas.

¿Qué Es El Pharming? ¿Cómo Protegerse?

En el ámbito digital, el pharming es una de las muchas amenazas crecientes que utilizan técnicas sofisticadas para engañar a los usuarios y robar información sensible. A diferencia de otras técnicas de ciberataques más sencillas, el pharming aprovecha las vulnerabilidades fundamentales de la infraestructura de Internet, lo que lo hace particularmente peligroso. Un estudio de Kaspersky Lab señala que esta sofisticada forma de fraude en línea puede hacer que la información privada caiga en manos de los ciberdelincuentes sin que se sospeche lo más mínimo. En este artículo explicaremos en qué consiste este ataque, cómo funciona, y qué medidas podemos tomar para protegernos, destacando también el papel de la data science en su detección y prevención.

Explicación

El pharming (término compuesto por phishing y farming) es un tipo de ataque cibernético que redirige el tráfico de una web a un sitio falso, y malicioso, que simula al original. Esto se logra de múltiples maneras: incluyendo el secuestro de DNS, infecciones mediante malware y ataques de ingeniería social. Este tipo de ataque tiene como objetivo robar datos confidenciales e infectar un gran número de dispositivos en un corto periodo de tiempo.

El pharming se aprovecha de los principios básicos de la navegación por Internet. Cuando un usuario introduce una dirección web como www.google.com, los servidores DNS (Sistema de Nombres de Dominio) transforman esta secuencia de texto en una dirección IP para establecer la conectividad. Los ciberdelincuentes explotan este proceso fundamental para redirigir discretamente a los usuarios de Internet poco sospechosos que intentan acceder a determinados sitios web a páginas engañosas de aspecto idéntico.

Los sitios web fraudulentos creados por los atacantes tienen un objetivo singular y maligno: cosechar la información de identificación personal (IPI) y los datos de inicio de sesión de la víctima. Los ciberdelincuentes suelen atacar sitios web del sector financiero, incluidos bancos, plataformas de pago en línea o sitios de comercio electrónico, normalmente con el robo de identidad como objetivo final.

Características

Existen varias razones por las cuales el pharming es cada vez más utilizado por cibercriminales:

  • Una de las características que hace el pharming atractivo para los atacantes es la posibilidad de infectar a una gran cantidad de víctimas a la vez. Pudiendo afectar a cualquier persona que visite el sitio web comprometido. Esto lo convierte en un método ideal para robar información a gran escala y propagar malware.
  • También es importante destacar lo difícil que resulta detectarlo, ya que normalmente ocurre sin que la víctima se percate de ello. Siendo crucial que las personas y organizaciones tomen medidas proactivas para protegerse de este tipo de ataques (antivirus, mantener el software actualizado, etcétera). La naturaleza sutil del pharming hace que su detección sea un desafío particular, especialmente porque, a diferencia del phishing, no requiere que los usuarios hagan clic en enlaces maliciosos enviados por correo electrónico.
  • El pharming ofrece a los atacantes una efectividad mayor que otros métodos de ataque porque aprovecha la confianza de los usuarios en el sistema DNS, que es fundamental para la navegación web. Cuando un usuario escribe la dirección correcta y aun así es redirigido a un sitio falso, la probabilidad de que introduzca sus credenciales aumenta significativamente.
  • Los ataques de pharming pueden mantenerse activos durante periodos prolongados si no son detectados, permitiendo a los ciberdelincuentes recopilar grandes cantidades de datos sensibles antes de que las víctimas o las organizaciones afectadas se den cuenta del ataque.

Cómo Se Realiza

El pharming se lleva a cabo de distintas maneras, pero podemos identificar tres métodos principales:

  • Uno de los métodos más comunes de pharming es el secuestro de DNS, que consiste en alterar los registros DNS de un sitio web (CNAME, A, AAAA…) redirigiendo el tráfico a un sitio falso que simula al original. Esto se consigue accediendo directamente al gestor DNS o engañando al encargado para que actualice la configuración DNS y diriga a la IP maliciosa – es decir, mediante ingeniería social. Esta técnica, también conocida como envenenamiento de DNS, afecta a todos los usuarios que dependen de ese servidor para navegar por sitios web, lo que significa que incluso cuando los usuarios escriben la dirección del sitio web correcta, son redirigidos a sitios fraudulentos diseñados para robar credenciales o instalar malware.
  • Puede también surgir mediante la infección por malware, que ocurre cuando el usuario visita un sitio web legítimo, pero comprometido, que infecta el dispositivo del usuario. Redirigiendo el tráfico. En esta forma de pharming, conocida como pharming basado en malware, un hacker puede enviar un código malicioso en un correo electrónico que instale un virus o troyano en la computadora de un usuario. Este código malicioso cambia el archivo de hosts de la computadora para dirigir el tráfico fuera de su objetivo previsto hacia un sitio web falso. Independientemente de que escriba la dirección de Internet correcta, el archivo hosts corrupto le llevará en su lugar al sitio fraudulento.
  • Otras técnicas que se encuentran estrechamente relacionadas con la ingeniería social, como el phishing, también se usan a menudo en los ataques de pharming. Engañando a los usuarios mediante un correo electrónico o mensaje que parezca provenir de una fuente legítima.

Tipos de Pharming Específicos

Existen tres versiones específicas de pharming que merecen atención:

  1. Pharming basado en modificación de archivos host: requiere la instalación del virus o troyano en el ordenador. El objetivo es modificar dicho archivo y reconducir, con ello, el rumbo del tráfico a un sitio web malicioso de su elección (en el que se lleva a cabo el robo de datos sensibles).
  2. Pharming por secuestro de servidores DNS: tras sortear los firewalls o rúters, se infecta este servidor (encargado de traducir los nombres de las distintas webs tomando como referencia la IP), enviando a los usuarios que acceden a ellas a una dirección falsa elegida por el hacker.
  3. Pharming mediante explotación de caché DNS: como variante de la anterior, su objetivo son las brechas que puedan tener los servidores DNS en relación a su caché de direcciones. Su complejidad hace que sea la más peligrosa de las tres aunque, hoy en día, es la menos habitual, ya que los proveedores de Internet han corregido los fallos que pudiese haber.

Pharming & Data Science

En relación a esto, los ataques de pharming han llevado a la necesidad de usar técnicas de data science y machine learning para detectarlos y prevenirlos. Una manera es utilizar algoritmos de machine learning para analizar el tráfico en la red e identificar patrones que puedan indicar un ataque de pharming; por ejemplo, si se registran un alto número de redirecciones a un sitio web en particular, esto podría significar que el sitio ha sido víctima de ello.

Otra estrategia consiste en utilizar técnicas de minería de datos para identificar patrones en el comportamiento de los atacantes. Si se detecta que estos únicamente se centran en sitios web construidos con un determinado lenguaje o plataforma, se podría usar dicha información para desarrollar sistemas que ejerzan como defensa ante futuros ataques. Además, la ciencia de datos nos permite analizar los datos generados durante el pharming; y podemos combinarlo con algoritmos de aprendizaje automático para predecir la probabilidad de futuros ataques, acción de gran utilidad para cualquier organización que quiera asegurarse contra este tipo de ciberataques.

Cómo Protegerse Ante Ello

Para protegerse contra los ataques de pharming, los individuos y organizaciones deben de adoptar un enfoque de seguridad multinivel; esto implica introducir medidas como software antivirus y firewalls, así como educar a los empleados sobre el término, cómo se perpetra, y maneras de actúar -y comunicar- para evitar ser víctima de ataques de ingeniería social.

Un aspecto importante es garantizar que la infraestructura DNS sea segura, esto se puede conseguir con servicios como DNSSEC (incluido en la mayoría de gestores DNS) y servidores DNS con filtrado de dominios como el ofertado en el plan gratuito Zero Trust de Cloudflare. Ayudando a garantizar que las consultas y respuestas DNS sean auténticas y seguras.

Ver también

Por último, siempre hay que tener cuidado a la hora de visitar webs desconocidas y también sospechar de correos electrónicos o mensajes que soliciten datos personales que no sean pertinentes al contexto de la consulta.

Medidas Adicionales

Existen medidas específicas que pueden ayudar a detectar y prevenir ataques de pharming:

  1. Comprobar que la URL es correcta (se corresponde con la que accedes habitualmente). Si detectas que no es la misma, puedes estar ante una copia.
  2. Revisar que la URL incluye la ‘s’ tras el ‘http’ (visualizando ‘https’). Esto indica que la conexión está cifrada y es más segura.
  3. Evaluar bien la página antes de empezar a navegar por ella (su aspecto es el de siempre). Hay que vigilar tanto sus componentes como los distintos enlaces que incluya. Los sitios web legítimos que de repente muestran diseños desconocidos pueden ser un indicador de un posible ataque de pharming.
  4. No pulsar en enlaces ni descargar archivos que no parezcan seguros.
  5. Visualizar las notificaciones del antivirus o el navegador. Si indican que la página no es segura, lo mejor es no entrar y buscar una opción alternativa.
  6. Contar con un buen software de seguridad y hacerlo, si es posible, en su versión de pago (y no la gratuita, más limitada). También se pueden encontrar opciones ad hoc para este tipo de vulneraciones, más adecuadas a la hora de evitar el robo de información delicada.
  7. Utilizar herramientas de línea de comandos y comprobadores DNS en línea para verificar la configuración DNS del router y detectar posibles manipulaciones.
  8. Implementar bloqueos de registro para prevenir modificaciones no autorizadas en la configuración DNS.

Avances Recientes

Investigadores han desarrollado diversos enfoques para combatir el pharming:

  1. Extensiones para navegadores: se han desarrollado extensiones para Google Chrome específicamente diseñadas para minimizar los ataques de pharming basados en suplantación de DNS.
  2. Enfoques forenses computacionales: se han propuesto metodologías para detectar automáticamente la ocurrencia de ataques de envenenamiento de caché DNS, identificando así la comisión de delitos relacionados con este tipo de ataques.
  3. Sistemas de filtrado combinado DNS e IP: investigadores han desarrollado sistemas que detectan enlaces fraudulentos basados en el protocolo de Internet (IP), la fecha de registro y el servidor de nombres de dominio (DNS) de cada sitio web.
  4. Análisis forense de ataques PHP: se han estudiado escenarios de ataque mediante inyección PHP que pueden llevar a alteraciones en archivos de hosts, desarrollando firmas algebraicas para detectar este tipo específico de ataque de pharming.

Detección Mediante Machine Learning

Investigaciones recientes han desarrollado sistemas de detección de pharming basados en modelos de machine learning con resultados prometedores. Un estudio implementó un sistema que utiliza datos de 11.055 sitios web clasificados como legítimos o phishing, logrando un accuracy de 97.42% en la detección correcta de forma global de los sitios web. Este nivel de precisión supera a los resultados de estudios previos, demostrando el valor de aplicar ciencia de datos a la ciberseguridad.

Para obtener los mejores resultados de clasificación, se ha adoptado un enfoque de aprendizaje conjunto (ensemble learning). Los algoritmos utilizados incluyen K-Nearest Neighbors (KNN), Decision Tree, Random Forest, Gaussian Naive Bayes, Logistic Regression, Support Vector Machine, Adaptive Boosting, Gradient Boosting y Extra Trees Classifier. Durante el proceso de prueba, los clasificadores se evaluaron con métricas como precisión, recall, F1 score y Log loss.

Un modelo de ensemble que incluía Logistic Regression, K-Nearest Neighbors, Decision Tree, Support Vector Machine, Gradient Boosting Classifier, AdaBoost Classifier, Extra Trees Classifier y Random Forest produjo los mejores resultados tras evaluarlos en dos conjuntos de datos diferentes. Este tipo de enfoques combinados permite aprovechar las fortalezas de varios algoritmos para mejorar la precisión general en la detección.

Conclusión

El pharming representa una amenaza sofisticada y en evolución constante que explota las vulnerabilidades fundamentales de la infraestructura de Internet para comprometer datos sensibles de usuarios y organizaciones, destacándose por su capacidad para operar sin requerir interacción directa de las víctimas y afectar potencialmente a grandes números de usuarios simultáneamente. La combinación de medidas tecnológicas preventivas como servidores DNS seguros, software antimalware actualizado, verificación constante de URLs, junto con el aprovechamiento de avances en ciencia de datos y machine learning para la detección de patrones sospechosos, constituye la estrategia más efectiva para defenderse contra esta amenaza.