|
Si hasta ahora uno de los fraudes más extendidos
era el phishing, consistente en engañar a
los usuarios para que efectúen operaciones
bancarias en servidores web con el mismo diseño
que un banco online, el pharming entraña
aún mayores peligros. Básicamente, consiste en la
manipulación de la resolución de nombres en
Internet, llevada a cabo por algún código
malicioso que se ha introducido en el equipo.
Cuando un usuario teclea una dirección en su
navegador, ésta debe ser convertida a una
dirección IP numérica. Este proceso es lo
que se llama resolución de nombres, y de ello se
encargan los servidores DNS (Domain Name
Server). En ellos se almacenan tablas con las
direcciones IP de cada nombre de dominio. A una
escala menor, en cada ordenador conectado a
Internet hay un fichero en el que se almacena una
pequeña tabla con nombres de servidores y
direcciones IP, de manera que no haga falta
acceder a los DNS para determinados nombres de
servidor, o incluso para evitarlo.
El pharming consiste en modificar este
sistema de resolución de nombres, de manera que
cuando el usuario crea que está accediendo a su
banco en Internet, realmente está accediendo a la
IP de una página web falsa.
La estrategia del acecho
El phishing debe su éxito a la
ingeniería social, aunque no todos los
usuarios caen en estos trucos y su éxito está
limitado. Y además, cada intento de phishing
se debe dirigir a un único tipo de servicio
bancario, por lo que las posibilidades de éxito
son muy limitadas. Por el contrario, el
pharming puede atacar a un número de usuarios
muchísimo mayor.
Además, el pharming no se lleva a cabo en
un momento concreto, como lo hace el phishing
mediante sus envíos, ya que la modificación de DNS
queda en un ordenador, a la espera de que
el usuario acceda a su servicio bancario. De esta
manera, el atacante no debe estar pendiente de un
ataque puntual, como hemos mencionado antes.
El remedio para esta nueva técnica de fraude pasa,
de nuevo, por las soluciones de seguridad
antivirus. Para llevar a cabo el pharming
se requiere que alguna aplicación 0se instale
en el sistema a atacar (un fichero .exe, un
script, etc.). La entrada del código en el
sistema puede producirse a través de cualquiera de
las múltiples vías de entrada de información que
hay en un sistema: el e-mail (la más
frecuente), descargas por Internet, copias desde
un disco o CD, etc. En todas y cada una de estas
entradas de información, el antivirus debe
detectar el fichero con el código malicioso y
eliminarlo.
La prevención como mejor solución
Desgraciadamente, hoy en día nos movemos en un
escenario en el que el malware ha adquirido
una velocidad de propagación muy elevada, y los
creadores son más y ofrecen los códigos fuente
para que introduzcan variaciones y puedan crear
ataques nuevos. Los laboratorios de virus no
tienen tiempo suficiente para efectuar la
detección y eliminación del malware para
todos los nuevos códigos antes de que lleguen a
propagarse en unos pocos PCs. A pesar de los
esfuerzos y la mejora de los laboratorios, es
humanamente imposible que se elabore una
solución adecuada y a tiempo para algunos códigos
que se propagan en cuestión de minutos.
La solución para este tipo de amenazas no debe
ser, al menos en un primer frente de protección,
de tipo reactiva, sino que deben instalarse
sistemas mediante los cuales se detecten no los
ficheros en función de firmas víricas, sino
mediante las acciones que se llevan a cabo en
el ordenador. De esta manera, cada vez que se
intente realizar un ataque al sistema de DNS del
ordenador (como es el caso de las aplicaciones
para pharming), sea reconocido el ataque y
detenido, así como bloqueado el programa que lo ha
llevado a cabo.
Sin embargo, existe un peligro añadido a esta
nueva técnica de fraude, que reside en los
servidores proxies anónimos. Muchos usuarios
desean ocultar su identidad (su dirección IP) a la
hora de navegar, por lo que utilizan servidores
proxy instalados en Internet que llevan a cabo la
conexión con la IP del servidor en lugar de la IP
del cliente. En el peor de los casos, uno de estos
servidores proxy puede tener la resolución de
nombres alterada, de manera que los usuarios que
intenten entrar en su página bancaria - pese a que
su sistema local está perfectamente asegurado-
sean redirigidos por el proxy a una página
con el mismo diseño y apariencia de su banco, pero
falsa. También podríamos pensar, siendo más
positivos, que el servidor proxy ha sufrido algún
tipo de ataque que altere su sistema de resolución
de nombres de dominio.
En cualquiera de los casos, el problema del
pharming se plantea como peligroso, aunque de
muy fácil solución. Únicamente con sistemas
capaces de detectar y frenar los cambios en
la resolución de nombres de Internet en ordenador
y su bloqueo podremos hacer frente a la avalancha
de códigos maliciosos que nos espera y que
intentan estafar a los usuarios |
