jueves 18 de octubre de 2018
Revista Innovación Seguridad » Eliminadas » 1 abr 2005

Pharming, nueva técnica de fraude.

Los hackers están intentando, cada vez más, obtener beneficios económicos de sus actuaciones y del malware que crean. Si hasta ahora uno de los fraudes más extendidos era el phishing, consistente en engañar a los usuarios para que efectúen operaciones bancarias en servidores web con el mismo diseño que un banco on line, el pharming entraña aún mayores peligros que el phishing.


Básicamente, el pharming consiste en la manipulación de la resolución de nombres en Internet, llevadas a cabo por algún código malicioso que se ha introducido en el equipo. Cuando un usuario teclea una dirección, ésta debe ser convertida a una dirección IP numérica, como 62.14.63.187. Esto es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS, siglas que corresponden a “Domain Name Server”. En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.
El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.

El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios de banca muchísimo mayor.

Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en un ordenador, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, como hemos mencionado antes.

La solución para esta nueva técnica de fraude pasa, de nuevo, por las soluciones de seguridad antivirus. Las acciones necesarias para llevar a cabo el pharming necesitan efectuarse por alguna aplicación en el sistema a atacar (puede ser un fichero exe, un script, etc.). Pero antes de poder ejecutarse esta aplicación, debe llegar al sistema objetivo, evidentemente. La entrada del código en el sistema puede ser a través de múltiples vías, tantas como entradas de información hay en un sistema: el e-mail (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. En todas y cada una de estas entradas de información, el antivirus debe detectar el fichero con el código malicioso y eliminarlo, siempre que se encuentre detectado como una aplicación dañina dentro del fichero de firmas de virus del antivirus.

Desgraciadamente, hoy en día nos movemos en un escenario en el que el malware ha adquirido una velocidad de propagación muy elevada, y los creadores son más y ofrecen al resto de la comunidad hacker los códigos fuente para que introduzcan variaciones y puedan crear ataques nuevos. Los laboratorios de virus no tienen tiempo suficiente para efectuar la detección y eliminación del malware para todos los nuevos códigos antes de que lleguen a propagarse en unos pocos PC. A pesar de los esfuerzos y la mejora de los laboratorios, es humanamente imposible que se elabore una solución adecuada y a tiempo para algunos códigos que se propagan en cuestión de minutos.
La solución para este tipo de amenazas no debe ser, al menos en un primer frente de protección, una solución reactiva, sino que deben instalarse sistemas mediante los cuales se detecten no los ficheros en función de firmas víricas, sino las acciones que se llevan a cabo en el ordenador. De esta manera, cada vez que se intente realizar un ataque al sistema de DNS del ordenador (como es el caso de las aplicaciones para pharming), sea reconocido el ataque y detenido, así como el programa que lo ha llevado a cabo, bloqueado.

Sin embargo, existe un peligro añadido a esta nueva técnica de pharming, que reside en los servidores proxies anónimos. Muchos usuarios desean ocultar su identidad (su dirección IP) a la hora de navegar, por lo que utilizan servidores proxy instalados en Internet que llevan a cabo la conexión con la IP del servidor en lugar de la IP del cliente. En el peor de los casos, uno de estos servidores proxy puede tener la resolución de nombres alterada, de manera que los usuarios que intenten entrar en su página bancaria - a pesar de que su sistema local está perfectamente asegurado- sean redirigidos por el proxy a una página con el mismo diseño y apariencia de su banco, pero falsa. También podríamos pensar, siendo más positivos, que el servidor proxy ha sufrido algún tipo de ataque que altere su sistema de resolución de nombres de dominio.
En cualquiera de los casos, el problema del pharming se plantea como peligroso, aunque de muy fácil solución. Únicamente con sistemas capaces de detectar los cambios en la resolución de nombres de Internet en ordenador y con sistemas para su bloqueo, podremos hacer frente a la avalancha de códigos maliciosos que nos espera y que intentan estafar a los usuarios

Por Fernando de la Cuadra
Editor Técnico Internacional de Panda Software
www.pandasoftware.com
Fdelacuadra@pandasoftware.com

VIDEOS