Pharming
El pharming es una nueva modalidad de fraude online que consiste en suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa. Aunque es una amenaza creciente y peligrosa, la solución pasa por la prevención y una solución antiviruas eficaz.
Si hasta ahora uno de los fraudes más extendidos era el phishing, consistente en engañar a los usuarios para que efectúen operaciones bancarias en servidores web con el mismo diseño que un banco online, el pharming entraña aún mayores peligros. Básicamente, consiste en la manipulación de la resolución de nombres en Internet, llevada a cabo por algún código malicioso que se ha introducido en el equipo.
Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server). En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.
El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.
|
La empresa Panda Software informó que
los ataques “pharming” pueden llevarse a cabo
directamente contra el servidor DNS, de forma que el cambio
de direcciones afecte a todos los usuarios que lo utilicen
mientras navegan en Internet, o bien de forma local, es
decir, en cada equipo individual.
Según Panda, éstos últimos son mucho más peligrosos, no
solamente porque son muy efectivos, sino porque se llevan a
cabo fácilmente. “Tan sólo es necesario modificar un
pequeño archivo llamado hosts que puede encontrarse en
cualquier máquina que funcione bajo Windows y que utilice
Internet Explorer para navegar por Internet, y crear falsas
páginas web”, indicó Panda.
Luis Corrons, director de PandaLabs, señaló que “el
pharming es un claro exponente de la época de cambio que
estamos viviendo en lo que a las amenazas de Internet se
refiere. Cada vez con mayor frecuencia vemos que los ataques
que se producen no tienen como objetivo único afectar a
muchos usuarios, sino conseguir ganancias económicas. Por
ello, es necesario adaptarse a la situación y tomar las
medidas adecuadas para evitarlos”.
“Las soluciones reactivas tradicionales como los antivirus
no son suficientes para hacer frente al pharming. Es
necesario utilizar sistema proactivos que puedan detectar
amenazas desconocidas antes de que lleven a cabo sus
acciones maliciosas”, agregó. |
La estrategia del acecho
El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor.
Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en un ordenador, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, como hemos mencionado antes.
El remedio para esta nueva técnica de fraude pasa, de nuevo, por las soluciones de seguridad antivirus. Para llevar a cabo el pharming se requiere que alguna aplicación 0se instale en el sistema a atacar (un fichero .exe, un script, etc.). La entrada del código en el sistema puede producirse a través de cualquiera de las múltiples vías de entrada de información que hay en un sistema: el e-mail (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. En todas y cada una de estas entradas de información, el antivirus debe detectar el fichero con el código malicioso y eliminarlo.
Para prevenir los ataques, los expertos recomiendan:
Utilizar un software antimalware que combine sistemas de detección proactivos y reactivos, ya que la forma más sencilla de manipular un ordenador para que sea víctima del “pharming” es a través de un código malicioso, generalmente troyanos. Hay que utilizar sistemas de protección proactivos, capaces de adelantarse a las amenazas y bloquearlas.
Instalar un firewall personal: con esta precaución se evita que un hacker pueda entrar en el ordenador a través de un puerto de comunicaciones desprotegido, y modificar el sistema.
Actualizar regularmente el software instalado en el equipo o tener activados los sistemas de actualización automática, de forma que no existan vulnerabilidades.
La prevención como mejor solución
Desgraciadamente, hoy en día nos movemos en un escenario en el que el malware ha adquirido una velocidad de propagación muy elevada, y los creadores son más y ofrecen los códigos fuente para que introduzcan variaciones y puedan crear ataques nuevos. Los laboratorios de virus no tienen tiempo suficiente para efectuar la detección y eliminación del malware para todos los nuevos códigos antes de que lleguen a propagarse en unos pocos PCs. A pesar de los esfuerzos y la mejora de los laboratorios, es humanamente imposible que se elabore una solución adecuada y a tiempo para algunos códigos que se propagan en cuestión de minutos.
La solución para este tipo de amenazas no debe ser, al menos en un primer frente de protección, de tipo reactiva, sino que deben instalarse sistemas mediante los cuales se detecten no los ficheros en función de firmas víricas, sino mediante las acciones que se llevan a cabo en el ordenador. De esta manera, cada vez que se intente realizar un ataque al sistema de DNS del ordenador (como es el caso de las aplicaciones para pharming), sea reconocido el ataque y detenido, así como bloqueado el programa que lo ha llevado a cabo.
Sin embargo, existe un peligro añadido a esta nueva técnica de fraude, que reside en los servidores proxies anónimos. Muchos usuarios desean ocultar su identidad (su dirección IP) a la hora de navegar, por lo que utilizan servidores proxy instalados en Internet que llevan a cabo la conexión con la IP del servidor en lugar de la IP del cliente. En el peor de los casos, uno de estos servidores proxy puede tener la resolución de nombres alterada, de manera que los usuarios que intenten entrar en su página bancaria - pese a que su sistema local está perfectamente asegurado- sean redirigidos por el proxy a una página con el mismo diseño y apariencia de su banco, pero falsa. También podríamos pensar, siendo más positivos, que el servidor proxy ha sufrido algún tipo de ataque que altere su sistema de resolución de nombres de dominio.
En cualquiera de los casos, el problema del pharming se plantea como peligroso, aunque de muy fácil solución. Únicamente con sistemas capaces de detectar y frenar los cambios en la resolución de nombres de Internet en ordenador y su bloqueo podremos hacer frente a la avalancha de códigos maliciosos que nos espera y que intentan estafar a los usuarios.
Fuente: varias
|
