Pharming

¿En qué consiste?

  • Es una nueva modalidad de fraude online que consiste en suplantar el sistema de resolución de nombres de dominio (DNS) para direccionar al usuario a una página web falsa. Como toda amenaza nueva expandible y peligrosa, la prevención y una solución antivirus eficaz, son las mejores armas. Si hasta ahora uno de los fraudes más extendidos era el phishing , consistente en engañar a los usuarios para que efectúen operaciones bancarias en servidores web con el mismo diseño que un banco online, el pharming entraña aún mayores peligros. Consiste en la manipulación de la resolución de nombres en Internet, llevada a cabo por algún código malicioso que ha sido introducido en el equipo intencionalmente.

    ¿Cómo actúa?

  • Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server).
  • En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A escala menor, en cada computador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.
  • El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.
  • Si el pishing debe su éxito a la ingeniería social , aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Además, cada intento de pishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor.
  • El pharming no se lleva a cabo en un momento concreto, como lo hace el pishing mediante sus envíos, ya que la modificación de DNS queda en un ordenador, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, como hemos mencionado antes.

    Uso malintencionado del keylogger

  • Por ser una herramienta de fácil adquisición, instalación y uso, atractiva a los ojos de los usuarios de banca hogareña, se convierte en blanco para que personas malintencionadas que no necesitan ser expertas en la materia, cometan fechorías y fraudes sorprendiendo a los usuarios de la banca en línea.
  • El keylogger captura todo lo que escribe la víctima y lo envía a una dirección de correo electrónico configurado por su administrador recibiendo contraseñas, números de tarjetas, cuentas y demás datos financieros que al ser utilizados por personas malintencionadas el titular de éstas puede ser víctima de una estafa sin darse cuenta.
  • La experiencia internacional indica que la tasa de estos delitos crecerá a medida que aumenten los usuarios de banca hogareña (Home Banking), ya que vulnerar la seguridad de la computadora de un banco o una emisora de tarjetas de crédito es un desafío sólo posible para hackers muy expertos. Leer las claves mientras viajan por la red hacia la computadora del banco es casi imposible, dado que están encriptadas. En cambio, "meterse" en una PC hogareña es más accesible para estafadores que no necesariamente tienen grandes conocimientos de informática.
  • De acuerdo a los expertos, en la actualidad, uno de los métodos más usados es infiltrar en las PCs estos software llamados keyloggers ó registradores de teclas.
  • Este programa también puede llegar a la PC hogareña a través de Internet, adjunto a un mensaje de e-mail, o escondido dentro de ciertos utilitarios (por ejemplo, un software de DVD) que se ofrecen gratuitamente en la web como el Caballo de Troya esconden un enemigo; por eso se les conoce con el nombre "troyanos".

    Cómo prevenirlo

  • Un antivirus

    Como hemos mencionado en los demás temas relacionados con el fraude electrónico, la solución inmediata es tener instalado un antivirus robusto, el cual reducirá al mínimo los riesgos de esta nueva amenaza, ya que para llevar a cabo el pharming se requiere que alguna aplicación se instale en el sistema a atacar (un fichero .exe, un script , etc.).
    La entrada del código en el sistema puede producirse a través de cualquiera de las múltiples vías de entrada de información que hay en un sistema como por ejemplo el e-mail que es una de las más frecuentes, descargas por Internet, copias desde un disco o CD, etc. En todas y cada una de estas entradas de información, el antivirus debe detectar el fichero con el código malicioso y eliminarlo.

  • La prevención como mejor solución

    Actualmente nos movemos en un escenario en el que el malware ha adquirido una velocidad de propagación muy elevada, y los creadores son más y ofrecen los códigos fuente para que introduzcan variaciones y puedan crear ataques nuevos.
    Los laboratorios de virus no disponen de tiempo suficiente para efectuar la detección y eliminación del malware para todos los nuevos códigos antes de que lleguen a propagarse en unos pocos computadores. A pesar de los esfuerzos y la mejora de los laboratorios, es imposible que se elabore una solución adecuada y a tiempo para algunos códigos malignos que se propagan en cuestión de minutos.
    La solución para este tipo de amenazas también la podemos encontrar en la instalación de un sistema mediante el cual se detecten no sólo los ficheros en función de firmas víricas, sino también mediante las acciones que se llevan a cabo en el computador. De esta manera, cada vez que se intente realizar un ataque al sistema de DNS del computador, como es el caso de las aplicaciones para pharming, sea reconocido el ataque y detenido, así como bloqueado el programa que lo ha llevado a cabo.