Karpersky define el pharming de la siguiente manera:

El pharming, una combinación de los términos “phishing” y “farming”, es un tipo de cibercrimen muy semejante al phishing, en el que el tráfico de un sitio web es manipulado para permitir el robo de información confidencial. https://latam.kaspersky.com/resource-center/definitions/pharming

Aunque la definición que ofrece Karpersky es la más extendida, con más o menos modificaciones, si me permitís, voy a sugerir yo la siguiente: “Pharming es una actividad maliciosa que reemplaza la dirección IP de un sitio web, pero manteniendo el nombre para realizar actividades ilícitas con los datos del usuario“.

Cuando hablamos de phishing nos referimos a aquella actividad ilícita que intenta engañar al usuario haciéndole entrar en una web con un nombre parecido, pero en pharming vamos un poco más allá y el usuario va a la web correcta, lo que pasa es que hay “algo por detrás” que desvía el tráfico para que vaya a un servidor diferente al legítimo.

Esto podemos hacerlo en principio de dos formas:

* Modificando el fichero de hosts del equipo. (Afecta sólo a un cliente)* Haciendo una modificación en el DNS que utiliza el equipo. (Afecta a muchos clientes de una vez)

Máquina comprometida

En el caso de realizar una modificación en el fichero de hosts del equipo esto es producido por una modificación local, es decir, algún software ha modificado ese fichero en concreto. Esto es causado por algún virus, troyano o similar. Es interesante disponer de algún antivirus para este tipo de cosas, o al menos disponer de un mínimo de sentido común a la hora de ejecutar cosas y más de ejecutarlas como root o administrador, dependiendo el sistema operativo.

Y luego está la opción más conocida, compleja y la que más miedo da en general. Estamos hablando del caso en el que nuestro ordenador, teléfono móvil, etc… está perfecto y es el servidor de DNS el que está infectado, o bien, hay un equipo infectado en la propia red del cliente que interfiere las respuestas del DNS. Ahí como usuarios individuales no podemos controlarlo todo, pero como administradores de la red sí podemos y debemos hacer algo.

Spoofing en la respuesta en LAN

La primera opción será que el atacante interfiera nuestra petición de DNS y genere una respuesta que llegue antes que la respuesta del servidor real. Aquí se realiza un spoofing para colar la información maliciosa.

Las condiciones para que la respuesta falsa cuele son los siguientes:

* The source IP address must match the IP address of the DNS server.* The destination IP address must match the IP address of the user’s machine.* The source port number (UDP port) must match the port number that the DNS request was sent to(usually port 53).* The destination port number must match the port number that the DNS request was sent from.* The UDP checksum must be correctly calculated.* The transaction ID must match the transaction ID in the DNS request.* The domain name in the question section of the reply must match the domain name in the question section of the request.* The domain name in the answer section must match the domain name in the question section of the DNS request.* The User’s computer must receive the attacker’s DNS reply before itreceives the legitimate DNS response.

Ataque de envenenamiento de caché o DNS Spoofing

Hay una forma mucho más eficiente que modificar todas y cada una de las peticiones de DNS al host es hacer lo mismo pero con el servidor de DNS,