Qué es pharming: tipos, diferencias con phishing y cómo protegerse

El pharming redirige al usuario a un sitio fraudulento sin que tenga que hacer click, manipulando la resolución DNS o el fichero hosts del equipo. La traducción común es "envenenamiento" o redirección DNS. A diferencia del phishing, donde el usuario teclea bien la URL pero hace click en un enlace malicioso, en el pharming el usuario teclea correctamente mibanco.com y aún así llega a un sitio falso que parece idéntico al legítimo.

Esta guía explica qué es pharming en concreto, los cuatro vectores que se ven en investigaciones forenses (modificación local del fichero hosts, ataque a router doméstico, envenenamiento de servidor DNS, BGP hijacking), en qué se diferencia exactamente del phishing, casos reales documentados, cómo lo detectan las defensas modernas y qué medidas de protección tienen impacto real en empresa y en usuario doméstico.

Qué es pharming

El pharming es un ataque que manipula el sistema de resolución de nombres DNS para que el dominio que el usuario teclea o que su navegador resuelve apunte a una IP controlada por el atacante. El término viene de la combinación de "phishing" y "farming": cosechar credenciales de muchas víctimas con un esfuerzo único de manipulación de infraestructura.

Lo que aporta al atacante respecto a un phishing tradicional:

• No depende de que el usuario haga click. La víctima escribe la URL bien, hace bookmark, escanea QR del banco. Da igual: el DNS la lleva al sitio falso.
• Escala. Un compromiso de un servidor DNS o un router puede afectar a miles de usuarios simultáneamente sin enviar un solo correo.
• Persistencia. Mientras la manipulación dure y la víctima no compruebe el certificado TLS, el atacante captura todo lo que pase por la página falsa.
• Convivencia con la marca real. Si la página falsa replica bien el destino, el usuario no ve diferencia.

Lo que limita al atacante:

• HTTPS y certificados TLS válidos son la barrera principal: el navegador advierte si el certificado no coincide con el dominio real.
• Cuesta más que un phishing simple: comprometer DNS o router exige más sofisticación.
• Detección rápida una vez aparece la primera víctima: bancos y fabricantes de antivirus reaccionan en horas.

Cuatro vectores principales

Casi todo el pharming en el mundo real entra por uno de estos cuatro caminos.

1. Manipulación del fichero hosts del equipo víctima

El sistema operativo consulta el fichero hosts antes de salir al DNS. En Windows está en C:\Windows\System32\drivers\etc\hosts; en macOS y Linux, en /etc/hosts. Una entrada como:

185.123.45.67  mibanco.com
185.123.45.67  www.mibanco.com

redirige cualquier resolución de esos dominios a la IP del atacante.

Vector típico de entrada: malware que se ejecuta con privilegios suficientes para escribir en el fichero. Familias de troyanos como variantes de QakBot y los stealers comerciales modernos llevan módulo "hosts edit" como una de sus capacidades. Más detalle en la guía de troyanos.

Detección casera: revisar el fichero hosts periódicamente, configurar el SO para alertar de modificaciones, antivirus moderno que monitoriza ese path.

2. Compromiso del router doméstico o de pyme

Atacantes apuntan a los DNS configurados en el router. Si lo cambian, todo dispositivo de la red usa el DNS del atacante. Vector clásico: explotación de credenciales por defecto del router, vulnerabilidad CSRF en la web de administración, exploit en firmware sin parche.

El caso DNSChanger (2007-2012) es el ejemplo paradigmático: una banda redirigió DNS de millones de routers domésticos durante años antes de ser desmantelada por el FBI con cooperación europea. El daño total estimado superó los 14 millones de dólares.

En empresa española, el equivalente moderno es el ataque a routers SOHO mal mantenidos en oficinas remotas o en domicilios de empleados que se conectan a recursos corporativos.

3. Envenenamiento del servidor DNS (DNS poisoning)

El atacante manipula la caché del resolver DNS al que confían los usuarios. Las técnicas históricas (Kaminsky 2008) inyectaban respuestas falsas que el resolver almacenaba durante el TTL configurado. Un usuario que resolvía mibanco.com durante esa ventana recibía la IP del atacante.

DNSSEC se diseñó precisamente para frenar este vector mediante firmado criptográfico de respuestas. Su adopción es alta en TLDs (.es está firmado al 100% desde hace años) pero la firma de cada zona individual sigue siendo voluntaria y bastantes organizaciones no la aplican. Sin DNSSEC, los ataques a resolvers siguen siendo viables, especialmente contra resolvers locales mal configurados.

4. BGP hijacking

El atacante anuncia desde un AS controlado prefijos IP que no le pertenecen. Los enrutadores BGP de tránsito aceptan el anuncio (típicamente sin validación criptográfica) y empiezan a enviar tráfico al AS atacante. El destinatario ve la IP correcta pero el tráfico llega al servidor falso.

Casos documentados: secuestro de prefijos de Visa por una operación rusa en 2018, hijacks de Cloudflare, varios incidentes contra rutas DNS root. La adopción de RPKI mitiga el problema pero la cobertura sigue siendo parcial.

Vector poco aplicable a un usuario doméstico, sí relevante a operadores y a empresas con conectividad propia.

Diferencias con phishing

La confusión entre los dos términos es habitual. Las diferencias clave:

• Vector del engaño. Phishing: el usuario hace click en un enlace malicioso o introduce sus datos en un formulario presentado como legítimo. Pharming: la URL es correcta pero la resolución DNS está manipulada.
• Punto de manipulación. Phishing: el correo o el sitio. Pharming: la infraestructura DNS o el equipo del usuario.
• Esfuerzo del atacante. Phishing: bajo, masivo, escala fácilmente. Pharming: medio-alto, dirigido, requiere comprometer DNS, router o equipo víctima.
• Defensa principal del usuario. Phishing: formación, no hacer click, MFA. Pharming: comprobar siempre HTTPS y certificado, MFA universal, DNSSEC.
• Detección por el destinatario. Phishing: dominio diferente del real (miban-co.com). Pharming: dominio correcto, lo que falla es la IP.

En la práctica, los dos se combinan. Un atacante envía un phishing que entrega un troyano que modifica el hosts. El usuario después llega a la página falsa sin clicks adicionales. Esa cadena cubre los dos términos a la vez.

Casos reales documentados

Los nombres que más aparecen en informes forenses recientes.

DNSChanger (2007-2012). Operación de ciberdelincuentes estonios que redirigió DNS de aproximadamente 4 millones de equipos en más de 100 países. Detenidos por el FBI en 2011 (Operation Ghost Click). Modelo de negocio: redirigir tráfico publicitario y manipular resultados de búsqueda. Dejó al descubierto la dependencia de millones de usuarios de DNS no verificados.

Sitios bancarios brasileños (2017). Una banda comprometió 36 dominios de bancos brasileños a través del registrador, modificando los nameservers durante varias horas. Durante la ventana, los usuarios eran redirigidos a sitios falsos. Caso documentado por Kaspersky y Trend Micro.

Routers MikroTik (2018). Un actor automatizó la redirección DNS en cientos de miles de routers MikroTik vulnerables (CVE-2018-14847). Inyectaron miner de criptomoneda CoinHive y, en algunos casos, redirección a sitios falsos.

KrebsOnSecurity DNS hijack (2017). El blog de seguridad sufrió un secuestro temporal vía registrador. Los visitantes durante el incidente accedían a un sitio controlado por el atacante. Sirvió como demostración pública de que incluso especialistas son vulnerables al pharming a nivel registrador.

Ataques a infraestructura DNS de gobiernos (2019, atribuidos a actores estatales). El informe NCSC del Reino Unido y los avisos de DHS-CISA describieron una campaña de manipulación de NS records contra dominios gubernamentales y energéticos en Oriente Medio y Europa.

Cómo se detecta

Los siete frentes que cubre un equipo defensivo moderno.

Monitorización del fichero hosts. EDR con regla que alerta sobre cualquier modificación. Sysmon en Windows con regla 11 (FileCreate) sobre drivers\etc\hosts. Cualquier cambio fuera de procesos legítimos del sistema es señal.

Telemetría DNS centralizada. SIEM que recoge logs de DNS internos y detecta resoluciones anómalas: dominios corporativos resolviendo a IPs externas no esperadas, picos de NXDOMAIN, dominios con DGA. Detalle en qué es un SIEM.

Validación periódica de configuración del router. Inventario de routers SOHO en oficinas remotas con verificación de firmware, credenciales y servidores DNS configurados. Plataformas EDR/MDM amplían visibilidad sobre dispositivos remotos.

DNSSEC en zonas propias. Firmar la zona DNS de la empresa cierra el vector de envenenamiento contra dominios propios. La firma se valida en el resolver del cliente final si soporta DNSSEC.

RPKI en organizaciones operadoras. Para empresas con su propio AS y rangos IP, publicar ROAs (Route Origin Authorizations) firmados reduce la exposición a BGP hijacking.

Threat intelligence de DNS. Servicios comerciales (Quad9, Cisco Umbrella, Cloudflare 1.1.1.1 for Families) bloquean resoluciones a dominios maliciosos conocidos antes de que la víctima conecte. Compatible con threat hunting y SOC interno.

Monitorización de la propia marca. Servicios que alertan cuando un dominio similar al corporativo resuelve a IPs sospechosas, cuando aparece un certificado TLS para dominios homógrafos o cuando el DNS de la empresa cambia sin orden de cambio.

Cómo protegerse

Las medidas que cierran realmente la puerta, ordenadas por impacto.

• MFA universal con FIDO2/WebAuthn. Aunque el usuario llegue a un sitio falso y meta su contraseña, sin el segundo factor resistente a phishing/pharming el atacante no entra. Es la defensa más importante en 2026.
• HTTPS con HSTS y certificate pinning en aplicaciones críticas. El navegador rehúsa conectar a sitios sin certificado válido o con certificado distinto del esperado.
• DNSSEC en dominios propios. Si tu zona está firmada y el resolver del cliente valida, el envenenamiento contra tu dominio falla.
• Resolver DNS confiable y validador. En empresa, resolver interno con DNSSEC habilitado. En usuario doméstico, resolvers públicos validadores (Google 8.8.8.8, Cloudflare 1.1.1.1, Quad9 9.9.9.9).
• Política de routers SOHO. Inventario, firmware actualizado, credenciales únicas, deshabilitar administración remota desde Internet.
• EDR moderno que detecte modificación del hosts y comportamiento de troyano.
• Concienciación. Formación al usuario para que verifique el candado del navegador en sitios sensibles y desconfíe de avisos del navegador sobre certificado.
• Bloqueo de DNS sobre HTTPS no autorizado. En entornos corporativos, evitar que el navegador del usuario use DNS-over-HTTPS hacia resolvers no controlados que podrían esquivar la telemetría DNS interna.
• Monitorización del registrador. Lock del dominio en el registrador, MFA fuerte en la cuenta, alertas por cambios en NS records y en DNS records críticos. Es el vector más caro pero más impactante.

Encaje con compliance

Para empresas españolas reguladas, el riesgo de pharming entra en varios marcos:

• NIS2 (artículo 21). Medidas de gestión de riesgos, incluyendo seguridad en redes y comunicaciones. Si una empresa afectada no tiene DNS centralizado y validado, el incumplimiento es defendible ante una auditoría.
• DORA (artículo 9). Requisitos ICT en servicios financieros. Las entidades financieras tienen escrutinio adicional sobre DNS y BGP.
• ISO 27001:2022 (controles 8.20 redes seguras, 8.21 servicios de red, 8.7 protección frente a malware). Exigen segmentación, configuración segura y documentación de proveedores DNS.
• ENS Real Decreto 311/2022. Medidas op.exp.10 (protección de información en tránsito) y op.exp.6 (protección frente a código dañino).
• PCI DSS v4.0 (req. 1, 4, 6). Configuración de red, transmisión cifrada y desarrollo seguro.
• RGPD. Una incidencia que filtra credenciales o datos personales por pharming es brecha notificable.

Preguntas frecuentes

¿Cuál es la diferencia exacta entre phishing y pharming?

Phishing engaña al usuario para que actúe (clicar, escribir credenciales). Pharming engaña al sistema de resolución para que lleve al usuario al sitio falso aunque actúe correctamente. En phishing la URL suele ser parecida pero distinta; en pharming la URL es la real, lo manipulado es la IP a la que apunta.

¿HTTPS me protege contra pharming?

En la mayoría de casos sí. El sitio falso necesita un certificado válido para el dominio real, y conseguirlo no es trivial. El atacante puede intentar emitir un certificado para un dominio homógrafo (con caracteres parecidos) o, en escenarios con CA comprometida o registrador comprometido, conseguir certificados legítimos. La defensa real es HTTPS más HSTS más certificate pinning más MFA fuerte.

¿Cómo sé si tengo el hosts modificado?

Abriendo el fichero (C:\Windows\System32\drivers\etc\hosts en Windows, /etc/hosts en macOS y Linux) y comprobando que solo hay entradas conocidas. Las herramientas de antivirus moderno y los EDR alertan automáticamente sobre modificaciones. Si encuentras IPs apuntando a dominios bancarios, sociales o corporativos, asumir comprometido y proceder con limpieza completa.

¿DNSSEC es suficiente?

No solo. DNSSEC firma respuestas y previene envenenamiento, pero solo si tanto la zona origen como el resolver final validan. Hoy la cobertura es parcial. DNSSEC es necesario pero no suficiente: la defensa por capas con MFA, HTTPS estricto y EDR sigue siendo crítica.

¿Puede un atacante hacer pharming a través de Wi-Fi público?

Sí. Un atacante que controla un punto de acceso Wi-Fi puede entregar configuraciones DHCP con servidores DNS controlados por él. Cualquier resolución no DNSSEC que pase por ese DNS puede ser manipulada. Defensa: VPN corporativa, DNS over HTTPS hacia resolvers de confianza, no introducir credenciales sensibles desde redes Wi-Fi públicas sin protección adicional.

¿El pharming afecta también a aplicaciones móviles?

Sí. Las apps usan resoluciones DNS del sistema operativo. Un equipo Android o iOS con DNS comprometido a nivel de configuración Wi-Fi (o en cuentas de la operadora vía SIM o eSIM manipuladas en escenarios extremos) está expuesto. Las apps modernas con certificate pinning son la principal defensa.

¿Es ilegal el pharming en España?

Sí. Constituye al menos delito de descubrimiento y revelación de secretos (artículo 197 del Código Penal), intrusión informática (artículo 197 bis) y, según destino, estafa informática (artículo 248.2). La AEPD sanciona adicionalmente por tratamiento ilícito de datos personales obtenidos. Las penas van de 6 meses a 6 años de prisión más sanciones administrativas.

Recursos relacionados

• Tipos de malware: familia donde encajan los troyanos que ejecutan modificaciones del hosts para pharming local.
• Qué es un troyano: vector más frecuente para pharming en endpoint.
• DorkGPT y OSINT acelerado por IA: contexto de cómo el reconocimiento moderno acelera la fase previa a pharming dirigido.
• Qué es un SIEM y Wazuh open source: plataformas donde se detectan picos anómalos de resolución DNS.
• Qué es un EDR: control que detecta modificación del hosts y comportamiento de troyano.
• Qué es threat hunting: disciplina que caza patrones de DNS poisoning antes de que disparen alerta automática.

Defensa frente a pharming en Secra

En Secra abordamos el riesgo de pharming en tres frentes habituales: revisión de la configuración DNS y registrador (lock, MFA, DNSSEC, monitorización de cambios), validación de la pila de certificados TLS y políticas HSTS de aplicaciones críticas, y auditoría de routers SOHO y configuraciones DHCP en oficinas remotas. En proyectos Red Team incluimos pruebas controladas de redirección DNS para validar si los controles defensivos del cliente detectan el patrón. Si quieres entender cuánto duraría tu organización frente a una campaña combinada de phishing y pharming dirigida, escríbenos a través de contacto o consulta nuestros servicios gestionados.