Pharming [a] es un ciberataque destinado a redirigir el tráfico de un sitio web a otro sitio falso mediante la instalación de un programa malicioso en el ordenador de la víctima para poder acceder a él. [ cita necesaria ] El pharming se puede realizar cambiando el archivo de hosts en la computadora de la víctima o explotando una vulnerabilidad en el software del servidor DNS . Los servidores DNS son computadoras responsables de resolver los nombres de Internet en sus direcciones IP reales . Los servidores DNS comprometidos a veces se denominan "envenenados" . El pharming requiere acceso desprotegido para apuntar a una computadora, como alterar la computadora personal de un cliente, en lugar de un servidor comercial corporativo. [ cita necesaria ]
El término "pharming" es un neologismo basado en las palabras "farming" y " phishing ". El phishing es un tipo de ataque de ingeniería social para obtener credenciales de acceso , como nombres de usuario y contraseñas . En los últimos años, se han utilizado tanto el pharming como el phishing para obtener información para el robo de identidad en línea . El pharming se ha convertido en una preocupación importante para las empresas que alojan sitios web de comercio electrónico y banca en línea . Se requieren medidas sofisticadas conocidas como anti-pharming para protegerse contra esta grave amenaza . El software antivirus y el software de eliminación de software espía no pueden proteger contra el pharming.
Si bien la resolución maliciosa de nombres de dominio puede resultar de compromisos en una gran cantidad de nodos confiables a partir de una búsqueda de nombres, los puntos de compromiso más vulnerables se encuentran cerca de las hojas de Internet. Por ejemplo, las entradas incorrectas en el archivo hosts de una computadora de escritorio , que elude la búsqueda de nombres con su propio nombre local a la asignación de direcciones IP, son un objetivo popular para el malware. Una vez reescrita, una solicitud legítima de un sitio web confidencial puede dirigir al usuario a una copia fraudulenta. Las computadoras personales, como las de escritorio y las portátiles, suelen ser mejores objetivos para el pharming porque reciben una administración peor que la mayoría de los servidores de Internet.
Más preocupante que los ataques a archivos de host es el compromiso de un enrutador de red local . Dado que la mayoría de los enrutadores especifican un DNS confiable para los clientes cuando se unen a la red, la información errónea aquí arruinará las búsquedas en toda la LAN . A diferencia de las reescrituras de archivos del host, el compromiso del enrutador local es difícil de detectar. Los enrutadores pueden transmitir información DNS incorrecta de dos maneras: configuración incorrecta de las configuraciones existentes o reescritura total del software integrado (también conocido como firmware ). Muchos enrutadores permiten al administrador especificar un DNS particular y confiable en lugar del sugerido por un nodo ascendente (por ejemplo, el ISP ). Un atacante podría especificar un servidor DNS bajo su control en lugar de uno legítimo. Todas las resoluciones posteriores pasarían por el servidor defectuoso.
Alternativamente, muchos enrutadores tienen la capacidad de reemplazar su firmware (es decir, el software interno que ejecuta los servicios más complejos del dispositivo). Al igual que el malware en los sistemas de escritorio, un reemplazo de firmware puede resultar muy difícil de detectar. Una implementación sigilosa parecerá comportarse igual que el firmware del fabricante; la página de administración tendrá el mismo aspecto, la configuración aparecerá correcta, etc. Este enfoque, si se ejecuta bien, podría dificultar que los administradores de red descubran la reconfiguración, si el dispositivo parece estar configurado según lo previsto por los administradores pero en realidad redirige el tráfico DNS. en el fondo. El pharming es sólo uno de los muchos ataques que puede realizar el firmware malicioso; otros incluyen escuchas ilegales, ataques de intermediarios activos y registros de tráfico. Al igual que una mala configuración, toda la LAN está sujeta a estas acciones.
Por sí solos, estos enfoques de pharming sólo tienen interés académico. Sin embargo, la ubicuidad de los enrutadores inalámbricos de consumo presenta una vulnerabilidad enorme . El acceso administrativo puede estar disponible de forma inalámbrica en la mayoría de estos dispositivos. Además, dado que estos enrutadores suelen funcionar con su configuración predeterminada, las contraseñas administrativas normalmente no se modifican. Incluso cuando se modifican, muchos se adivinan rápidamente mediante ataques de diccionario , ya que la mayoría de los enrutadores de consumo no introducen penalizaciones de tiempo por intentos de inicio de sesión incorrectos. Una vez que se otorga el acceso administrativo, se pueden modificar todas las configuraciones del enrutador, incluido el firmware. Estos ataques son difíciles de rastrear porque ocurren fuera del hogar o de la pequeña oficina y fuera de Internet.
El 15 de enero de 2005, el nombre de dominio de un importante ISP de Nueva York, Panix , fue secuestrado para apuntar a un sitio web en Australia . No se conocen pérdidas financieras. El dominio fue restaurado más tarde el 17 de enero, y la revisión de la ICANN culpa a Melbourne IT (ahora conocido como "Arq Group") "como resultado de que Melbourne IT no obtuvo autorización expresa del registrante de acuerdo con el Inter-Registrador de la ICANN". Política de transferencias." [1]
En febrero de 2007, un ataque pharming afectó al menos a 50 empresas financieras en Estados Unidos, Europa y Asia. Los atacantes crearon una página similar para cada empresa financiera objetivo, lo que requiere esfuerzo y tiempo. Las víctimas hicieron clic en un sitio web específico que tenía un código malicioso. Este sitio web obligaba a los ordenadores de los consumidores a descargar un caballo de Troya. Se recopiló información de inicio de sesión posterior de cualquiera de las empresas financieras objetivo. Se desconoce el número de personas afectadas, pero el incidente continuó durante tres días. [2]
En enero de 2008, Symantec informó de un incidente de pharming dirigido contra un banco mexicano, en el que se cambiaron las configuraciones de DNS en el enrutador doméstico de un cliente después de recibir un correo electrónico que parecía provenir de un saludo legítimo en español. compañía de tarjetas. [3]
El término "pharming" ha sido controvertido dentro del campo. En una conferencia organizada por el Anti-Phishing Working Group , Phillip Hallam-Baker denunció el término como "un neologismo de marketing diseñado para convencer a los bancos de que compren un nuevo conjunto de servicios de seguridad ".