El pharming [a] es un ciberataque cuyo objetivo es redirigir el tráfico de un sitio web a otro sitio falso mediante la instalación de un programa malicioso en la computadora de la víctima para obtener acceso a él. [ cita requerida ] El pharming se puede realizar modificando el archivo hosts en la computadora de la víctima o explotando una vulnerabilidad en el software del servidor DNS . Los servidores DNS son computadoras responsables de resolver los nombres de Internet en sus direcciones IP reales . A los servidores DNS comprometidos a veces se los denomina "envenenados" . El pharming requiere acceso sin protección para atacar una computadora, como alterar la computadora del hogar de un cliente, en lugar de un servidor comercial corporativo. [ cita requerida ]
El término "pharming" es un neologismo basado en las palabras "farming" y " phishing ". El phishing es un tipo de ataque de ingeniería social para obtener credenciales de acceso , como nombres de usuario y contraseñas . En los últimos años, tanto el pharming como el phishing se han utilizado para obtener información para el robo de identidad en línea . El pharming se ha convertido en una preocupación importante para las empresas que alojan sitios web de comercio electrónico y banca en línea . Se requieren medidas sofisticadas conocidas como anti-pharming para protegerse contra esta grave amenaza . El software antivirus y el software de eliminación de software espía no pueden proteger contra el pharming.
Si bien la resolución maliciosa de nombres de dominio puede ser resultado de la vulneración de una gran cantidad de nodos confiables en una búsqueda de nombres, los puntos más vulnerables de vulneración se encuentran cerca de las fronteras de Internet. Por ejemplo, las entradas incorrectas en el archivo hosts de una computadora de escritorio , que evitan la búsqueda de nombres con su propio nombre local para la asignación de direcciones IP, son un objetivo popular para el malware. Una vez reescrita, una solicitud legítima para un sitio web confidencial puede dirigir al usuario a una copia fraudulenta. Las computadoras personales, como las de escritorio y las portátiles, suelen ser mejores objetivos para el pharming porque reciben una administración más deficiente que la mayoría de los servidores de Internet.
Más preocupante que los ataques de archivos de host es el compromiso de un enrutador de red local . Dado que la mayoría de los enrutadores especifican un DNS confiable a los clientes cuando se unen a la red, la información errónea aquí arruinará las búsquedas para toda la LAN . A diferencia de las reescrituras de archivos de host, el compromiso del enrutador local es difícil de detectar. Los enrutadores pueden pasar información DNS incorrecta de dos maneras: configuración incorrecta de los ajustes existentes o reescritura total del software integrado (también conocido como firmware ). Muchos enrutadores permiten al administrador especificar un DNS particular y confiable en lugar del sugerido por un nodo ascendente (por ejemplo, el ISP ). Un atacante podría especificar un servidor DNS bajo su control en lugar de uno legítimo. Todas las resoluciones posteriores pasarían por el servidor defectuoso.
Alternativamente, muchos enrutadores tienen la capacidad de reemplazar su firmware (es decir, el software interno que ejecuta los servicios más complejos del dispositivo). Al igual que el malware en los sistemas de escritorio, un reemplazo de firmware puede ser muy difícil de detectar. Una implementación sigilosa parecerá comportarse de la misma manera que el firmware del fabricante; la página de administración se verá igual, las configuraciones parecerán correctas, etc. Este enfoque, si se ejecuta bien, podría dificultar que los administradores de red descubran la reconfiguración, si el dispositivo parece estar configurado como los administradores pretenden pero en realidad redirige el tráfico DNS en segundo plano. El pharming es solo uno de los muchos ataques que el firmware malicioso puede montar; otros incluyen escuchas clandestinas, ataques de intermediario activo y registro de tráfico. Al igual que la configuración incorrecta, toda la LAN está sujeta a estas acciones.
Por sí solos, estos métodos de pharming solo tienen interés académico. Sin embargo, la ubicuidad de los enrutadores inalámbricos de nivel de consumidor presenta una vulnerabilidad masiva . El acceso administrativo puede estar disponible de forma inalámbrica en la mayoría de estos dispositivos. Además, dado que estos enrutadores a menudo funcionan con sus configuraciones predeterminadas, las contraseñas administrativas generalmente no se modifican. Incluso cuando se modifican, muchas se adivinan rápidamente mediante ataques de diccionario , ya que la mayoría de los enrutadores de nivel de consumidor no introducen penalizaciones de tiempo por intentos de inicio de sesión incorrectos. Una vez que se otorga el acceso administrativo, se pueden alterar todas las configuraciones del enrutador, incluido el firmware en sí. Estos ataques son difíciles de rastrear porque ocurren fuera del hogar o la pequeña oficina y fuera de Internet.
El 15 de enero de 2005, el nombre de dominio de un gran proveedor de servicios de Internet de Nueva York, Panix , fue pirateado para dirigirlo a un sitio web de Australia . No se conocen pérdidas económicas. El dominio fue restaurado más tarde, el 17 de enero, y la revisión de la ICANN culpa a Melbourne IT (ahora conocida como "Arq Group") "como resultado de un fallo de Melbourne IT en obtener la autorización expresa del registrante de acuerdo con la Política de transferencia entre registradores de la ICANN". [1]
En febrero de 2007, un ataque de pharming afectó al menos a 50 empresas financieras en Estados Unidos, Europa y Asia. Los atacantes crearon una página similar para cada empresa financiera atacada, lo que requiere esfuerzo y tiempo. Las víctimas hicieron clic en un sitio web específico que tenía un código malicioso. Este sitio web obligó a los ordenadores de los consumidores a descargar un troyano. Posteriormente, se recopiló información de inicio de sesión de cualquiera de las empresas financieras atacadas. Se desconoce el número de personas afectadas, pero el incidente continuó durante tres días. [2]
En enero de 2008, Symantec informó sobre un incidente de pharming dirigido contra un banco mexicano, en el que se cambiaron las configuraciones DNS del enrutador doméstico de un cliente después de recibir un correo electrónico que parecía provenir de una empresa legítima de tarjetas de felicitación en español. [3]
Los métodos tradicionales para combatir el pharming incluyen: software del lado del servidor, protección de DNS y complementos del navegador web , como barras de herramientas . El software del lado del servidor es utilizado generalmente por las empresas para proteger a sus clientes y empleados que utilizan sistemas internos o privados basados en la web de ser víctimas de pharming y phishing, mientras que los complementos del navegador permiten a los usuarios individuales protegerse del phishing . Los mecanismos de protección de DNS ayudan a garantizar que un servidor DNS específico no pueda ser pirateado y, por lo tanto, se convierta en un facilitador de ataques de pharming. Los filtros de spam normalmente no brindan a los usuarios protección contra el pharming.
Actualmente, la forma más eficaz de evitar el pharming es que los usuarios finales se aseguren de utilizar conexiones web seguras ( HTTPS ) para acceder a sitios sensibles a la privacidad, como los de banca o impuestos, y que solo acepten los certificados de clave pública válidos emitidos por fuentes confiables. No se debe aceptar siempre un certificado de una organización desconocida o un certificado vencido para asuntos cruciales. Las llamadas cookies activas [4] proporcionan una herramienta de detección del lado del servidor.
La legislación también desempeña un papel esencial en la lucha contra el pharming. En marzo de 2005, el senador estadounidense Patrick Leahy ( demócrata por Vermont ) presentó la Ley Anti-Phishing de 2005, un proyecto de ley que propone una pena de cinco años de prisión y/o una multa para las personas que ejecuten ataques de phishing y utilicen información obtenida a través de fraudes en línea como el phishing y el pharming para cometer delitos como el robo de identidad .
Para los usuarios domésticos de enrutadores y puntos de acceso inalámbricos de nivel de consumidor, quizás la defensa más efectiva sea cambiar la contraseña del enrutador a algo distinto de la predeterminada y reemplazarla con una contraseña que no sea susceptible a un ataque de diccionario .
El término "pharming" ha sido polémico en este campo. En una conferencia organizada por el Anti-Phishing Working Group , Phillip Hallam-Baker denunció el término como "un neologismo de marketing diseñado para convencer a los bancos de que compren un nuevo conjunto de servicios de seguridad ".