Introducción farmacéutica
Un panorama de ciberseguridad en constante evolución significa que los profesionales de la seguridad deben estar atentos a las nuevas amenazas y ataques potenciales, redefiniendo conceptos y términos a medida que los ciberdelincuentes desarrollan nuevas técnicas y tácticas. El pharming, un neologismo acuñado en las dos últimas décadas, es uno de esos ejemplos de este enfoque de la ciberseguridad.
Un portmanteau de "phishing" y "farming", el objetivo principal del pharming es estafar al usuario dirigiéndole a sitios web falsos diseñados para robar cualquier credencial o dato introducido. Sin embargo, a diferencia del phishing, el atacante no requiere ninguna intervención del usuario (como hacer clic en un enlace o responder a un correo electrónico) para llevar a cabo el ataque, ya que el pharming se basa en la instalación de código malicioso directamente en un ordenador o servidor.
Aquí profundizamos en el tema, en los tipos de ataques de pharming conocidos en la actualidad y analizamos cómo protegerse contra el pharming dentro de su organización. Siga leyendo para saber más y descubrir por qué el pharming es una grave amenaza para la seguridad en línea.
Pharming Definición
El pharming es un tipo de ciberataque que redirige el tráfico de un sitio web a otro falso o malicioso sin el conocimiento o consentimiento del usuario. Esto puede hacerse a través de varios métodos, incluyendo el envenenamiento de la caché DNS, la infección por malware o la ingeniería social.
El objetivo del pharming suele ser robar información confidencial, como credenciales de inicio de sesión o datos financieros, a usuarios desprevenidos. También puede utilizarse para propagar malware o para lanzar nuevos ataques contra la organización o el individuo objetivo.
¿Cómo funciona el pharming?
Quizás el punto clave que hay que comprender cuando se intenta entender cómo funciona el pharming es que un usuario puede ser dirigido a un sitio web malicioso incluso si teclea la URL correcta del sitio web legítimo. Esto se debe a que el pharming explota los navegadores de Internet, dirigiéndose al proceso en el que las direcciones de Internet son convertidas en direcciones IP por los servidores DNS.
Esto suele ocurrir de dos maneras: explotando las vulnerabilidades del software del servidor DNS o utilizando malware (como troyanos) para alterar el archivo host del ordenador del usuario que asigna los nombres de dominio a las direcciones IP. En última instancia, cuando el usuario intenta acceder a un sitio web legítimo, es redirigido a un sitio falso o malicioso en su lugar.
Sin embargo, hoy en día, el pharming también se lleva a cabo cada vez más a través de la ingeniería social, el phishing por correo electrónico, el phishing por SMS o mediante la creación de un sitio web fraudulento que parece legítimo para engañar a los usuarios y conseguir que divulguen información confidencial.
Una vez robada la información de un usuario, puede utilizarse para el robo de identidad o el fraude financiero e incluso venderse a otros ciberdelincuentes en la web oscura. Para las organizaciones, esto puede dar lugar a peticiones de rescate o incluso a costosas violaciones de datos que dañan tanto las finanzas como la reputación.
Tipos de ataques de pharming y ejemplos
Los principales tipos de pharming se basan en el malware o en el apuntamiento DNS para insertar código en ordenadores o servidores, enviando automáticamente al usuario a un sitio web malicioso. A continuación, examinamos cada uno de ellos con más detalle:
Malware Pharming
El malware Pharming suele modificar la configuración DNS del ordenador o el router de la víctima y, una vez instalado con éxito, redirige a las víctimas a sitios web fraudulentos. En 2007, el malware DNSChanger se infiltró con éxito en millones de ordenadores de todo el mundo, propagándose a través de prácticas de ingeniería social, archivos adjuntos a correos electrónicos y descargas drive-by.
DNSChanger fue finalmente desactivado por el FBI y las agencias internacionales de la ley al tomar el control de los servidores DNS utilizados por los atacantes. La operación, conocida como Operación Click Fantasma, estableció entonces una infraestructura DNS limpia para proteger a futuras víctimas.
Envenenamiento DNS
El envenenamiento de DNS, también conocido como suplantación de DNS, es un tipo de ciberataque en el que un atacante corrompe el Sistema de Nombres de Dominio (DNS) para redirigir el tráfico de Internet de sitios legítimos a otros maliciosos. Esto puede hacerse manipulando el servidor DNS o interceptando las consultas DNS y proporcionando direcciones IP falsas como respuesta. El objetivo del envenenamiento de DNS es robar información sensible o distribuir malware. Puede mitigarse utilizando medidas de seguridad DNS como DNSSEC y el filtrado DNS.
Un ejemplo de envenenamiento de DNS sería que un atacante interceptara o corrompiera el servidor DNS utilizado por una empresa. Una vez comprometido el servidor DNS, el atacante podría cambiar la dirección IP asociada al sitio web de la empresa para que apunte a un servidor controlado por el atacante. Cuando un empleado de la empresa intenta acceder al sitio web, sería dirigido al servidor del atacante en lugar de al legítimo, lo que brindaría a los ciberdelincuentes la oportunidad de robar datos y credenciales.
Signos reveladores de Pharming
Cuando busque indicios de que ha sido víctima de un ataque pharming, es importante recordar que puede haber similitudes con otros tipos de ciberataques. El phishing frente al pharming, por ejemplo, presentan similitudes y, de hecho, a menudo pueden utilizarse juntos -utilizando técnicas de phishing para instalar malware de pharming, por ejemplo-.
Dicho esto, hay algunos signos reveladores de que puede estar sufriendo un ataque de pharming, y asegurarse de que todos en su organización son conscientes de ellos es un paso importante en el desarrollo de medidas sólidas de ciberseguridad.
- Usted teclea la URL correcta de un sitio web, pero es redirigido a un sitio diferente.
- El sitio web al que se le dirige tiene un aspecto diferente del sitio legítimo y puede contener errores ortográficos u otras incoherencias.
- Es posible que reciba ventanas emergentes o mensajes de error al intentar acceder al sitio.
- Es posible que se le pida que introduzca información personal o credenciales de acceso en un sitio que no es el legítimo.
- Es posible que note que su software antivirus o su navegador bloquean el acceso a un sitio web legítimo, lo que indica que ha sido marcado como malicioso.
- Es posible que observe que el certificado SSL del sitio web no es válido o ha caducado, lo que indica que el sitio web no es seguro.
Qué hacer si ha sido farmeado
Los equipos de ciberseguridad y las personas que sospechen que pueden haber sido víctimas de un ataque de pharming pueden tomar medidas para mitigar el problema y detener su propagación a otros ordenadores y servidores. Entre ellas se incluyen:
- Ejecute un escaneado completo de su ordenador utilizando su software antivirus. Esto ayudará a identificar y eliminar cualquier malware que pueda haber sido utilizado para redirigir su tráfico al sitio falso.
- Borre la memoria caché y las cookies de su navegador. Esto eliminará cualquier código malicioso que pueda haberse almacenado en su ordenador.
- Cambie sus credenciales de inicio de sesión de cualquier cuenta a la que haya accedido mientras se encontraba en el sitio falso.
- Utilice un dispositivo o red diferente para acceder al sitio y asegúrese de que es el legítimo antes de introducir cualquier información personal.
- Utilice un servicio VPN para cifrar su conexión a Internet y proteger su tráfico para que no sea interceptado.
- Denuncie el ataque de phishing al propietario del sitio web y a las autoridades competentes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI.
- Mantenga actualizados su software y su sistema, y utilice software antipharming si es posible.
Cómo protegerse contra el pharming
Para protegerse de los ataques de pharming, es importante utilizar programas antivirus y antimalware, mantener actualizados el software y el sistema operativo y desconfiar de correos electrónicos, enlaces o sitios web sospechosos. También es importante utilizar una red privada virtual (VPN) para cifrar su conexión a Internet y proteger sus datos de piratas informáticos y ciberdelincuentes.
También se recomienda utilizar la autenticación de dos factores (2FA) siempre que sea posible, ya que esto puede proporcionar una capa adicional de seguridad para proteger sus cuentas. Además, las actualizaciones periódicas de su equipo de ciberseguridad relativas a cuestiones relacionadas con la ingeniería social pueden ayudar a los empleados a evitar intercambios sospechosos a través de las plataformas de las redes sociales y el correo electrónico.
Conclusiones: Pharming
Hoy en día, los ataques de pharming son una preocupación importante para los equipos de ciberseguridad, sobre todo para los de grandes organizaciones con muchos miembros en plantilla. Una formación periódica de concienciación sobre seguridad para todo el personal es un buen punto de partida, ya que garantiza que todo el mundo esté en la misma página y actualizado sobre las últimas amenazas en todo momento.
Para obtener más información sobre cómo su organización puede concienciar y hacer frente con eficacia a los ataques de pharming, así como a otros eventos de ciberseguridad, póngase en contacto con Mimecast hoy mismo o explore nuestro blog para obtener información detallada sobre el panorama de la ciberseguridad.
