Introduccin ::

Que es el Pharming?
El Pharming es una nueva modalidad de fraude online, que consiste bsicamente en
modificar la relacin que existe entre el nombre de una web en internet y su respectivo
servidor Web. Se trata de suplantar el sistema de resolucin de nombres de dominio
(DNS) para conducir al usuario a una pgina web falsa idntica a la original.
Para que se entienda mejor: en situaciones normales, si tipeamos en nuestro Internet
Explorer la direccin www.bancorio.com.ar, estaremos ingresando al sitio web del
Banco Ro de Buenos Aires. Pero si hemos sido vctimas de un ataque de Pharming, al
tipear www.bancorio.com.ar ingresaremos sin saberlo a un sitio web falso exactamente
igual al del banco, pero que ha sido creado por los atacantes con el fin de robar los datos
de nuestra cuenta bancaria.
Cmo opera?
Existen dos tcnicas de pharming: la de envenenamiento de cach DNS, y la de
modificacin del archivo HOSTS.
En la primera, un servidor de nombres (servidor DNS) se ve afectado de tal
forma que los requisitos de acceso a una web hechas por los usuarios de este
servidor son redireccionadas a otra direccin (sitio web falso) bajo el control de
los atacantes.
Este tipo de ataques no son dirigidos en s a usuarios finales, sino a los
servidores DNS de proveedores de Internet o de empresas con redes
internas. Lo que sucede es que si el servidor DNS de un proveedor o empresa
sufre un envenenamiento de cache, todos sus usuarios sern redireccionados
hacia direcciones y pginas falsas cada vez que intenten visitar determinada web
legtima, sin que sea necesario que hayan instalado nada en sus propias
mquinas o que hagan clic en ningn link malicioso.
En el caso del pharming por modificacin del archivo "hosts", en cambio, el
ataque se da en la propia computadora del usuario. Para ello, generalmente es
necesario contar con la colaboracin involuntaria de este usuario, que deber
visitar una pgina, cliquear en algn link o instalar algn programa
contaminante en su PC.
En lo que sigue nos vamos a dedicar a estudiar en profundidad el pharming basado en
la modificacin del archivo HOSTS, por ser ste el caso de ms relevancia en lo que
hace a usuarios domsticos.

El archivo HOSTS ::
Qu es el archivo hosts?
Es un archivo de texto que se encuentra tanto en sistemas Windows como Linux. El
nombre de este archivo es simplemente HOSTS, no tiene ningn tipo de extensin.
En los sistemas Windows, el archivo HOSTS se encuentra:
En Windows 95 /98/ Me en el directorio C:\Windows\
En Windows NT /2000
en el directorio C:\WINNT\System32\etc\
En Windows XP /2003
en el directorio C:\WINDOWS\System32\etc\
Vista del archivo HOSTS en Windows XP

Este archivo se puede editar con el BLOC DE NOTAS ( NOTEPAD) de Windows o

cualquier otro editor de texto plano.
Para abrirlo, hacemos dos clic sobre l; Nos pedir que elijamos un programa con el
cual queramos abrirlo: elegimos el Bloc de Notas y le damos aceptar:

As veremos finalmente el archivo:

Todos los renglones que aparecen con el signo # al comienzo son slo comentarios, y
podemos borrarlos sin problemas. La ltima lnea nos indica que localhost ( o sea
nuestra propia mquina ) est asociada a la IP 127.0.0.1 ( o sea nuestra propia IP ), lo
que queda ms que claro.
Todas las entradas del archivo hosts que agreguemos debern tener siempre la misma
forma, o sea:
direccin IP
dominio
Por ejemplo:

Estas entradas se utilizan para indicarle a nuestra PC cul es la direccin IP de cada uno
de los dominios que hemos agregado. Lo que hacemos es asociar cada dominio con su
correspondiente direccin IP.
Para saber la direccin IP de un sitio web hacemos lo siguiente:
1) Abrimos la ventana de comandos de Windows: para ello, vamos a INICIO >
EJECUTAR, escribimos cmd y le damos ENTER.

2) Usamos el comando ping, de la siguiente manera:

ping nombre del sitio
Por ejemplo, si queremos ver la IP de Google.Com hacemos: ping google.com, tal
cual como vemos a continuacin:

!
"
"
"
"

#
#
#
#

*
, -#
% 0

&
1*

!
!
!
!
+
$

.
/

+
+
$

/ +

$
$
$
$

%
%
%
%

.#
/

12

&&'$
&&'$
&&'$
&&'$

(
(
(
(

#
/

En la primer lnea nos muestra la IP 216.239.39.104 que es la IP de www.google.com.

Para Hotmail y Yahoo!, como vimos en el ejemplo, hacemos lo mismo:

3
"
"
"
"

#
#
#
#

*
, -#
5 0

&

1*

4
!
!
!
!

.
6/

+
+
$

+
$

/ 12

/ +
$

!
.#

&
&
&
&
)

+
+
+
+
*
, -#
5
0

$
$
$
$
/

+
$

/ +

+
$

&&'$
&&'$
&&'$
&&'$
$

#
(

+
+
+
+
.

$
$
$
$

/ 1

#
#
#
#
!

6/

De ac obtenemos que la IP de Yahoo.com es la 216.109.112.135; y la de

Hotmail.Com es la 64.4.33.7.

"

Para qu sirve el archivo HOSTS?

Para poder entender la respuesta a esta pregunta, primero debemos tener en claro
algunos conceptos:
Direcciones IP ::
Al navegar por internet, nosotros nos manejamos con nombres de dominio, es decir, con
palabras, por ejemplo: www.google.com. En Internet sin embargo, las mquinas se
manejan con otro lenguaje, el de las direcciones IP. Las direcciones IP son direcciones
numricas de la forma: x.x.x.x donde las x son nmeros que van del 0 al 255, por
ejemplo: 200.239.80.55.
Cada sitio en Internet que se visita tiene un nombre de dominio y una direccin IP. El
nombre de dominio de Google, por ejemplo, es Google.com, y su direccin IP es
216.239.39.104. Si escribimos en la barra de direcciones de nuestro Internet Explorer la
IP 216.239.39.104, aparecer el sitio de Google, igual que si hubiramos escrito
www.google.com.
Al ser ms fcil recordar palabras en vez nmeros, las personas usamos siempre
nombres de dominio, mientras que las mquinas lo hacen siempre con direcciones IP. Si
nuestro navegador de Internet no sabe cul es la IP de un determinado sitio que
intentamos visitar, no podremos ver la pgina.
Servidores DNS ::
A groso modo, un Servidor DNS es una computadora que en Internet se encarga de
traducir nombres de dominio a direcciones IP, de tal forma que puedan ser
interpretados por las otras computadoras de la red. DNS es la sigla en ingls de Domain
Name System (Sistema de Resolucin de Nombres de Dominio).
Hay miles de servidores DNS en Internet que resuelven las peticiones de miles de
usuarios. Cada empresa prestadora de servicios de acceso a Internet (ISP) adems suele
proporcionar uno o varios servidores DNS a sus usuarios.
Estos servidores DNS, entonces, son los que se encargan de decirle a nuestro
Navegador de Internet cul es la direccin IP del sitio que estamos queriendo
visitar.
Cada vez que ingresamos a un sitio web por primera vez observamos que existe un
pequeo retardo (casi imperceptible hoy da por las altas velocidades de conexin a
Internet) hasta que nos muestra la pgina. Ese retardo se debe precisamente a que se est
produciendo una consulta a un servidor DNS para saber la direccin IP del sitio
solicitado.
La funcin del archivo HOSTS ::
Hay algo que no mencion anteriormente y me lo guard para el final, y es que antes de
consultar a un Servidor DNS, nuestra PC consultar el archivo HOSTS para ver si
encuentra en l la direccin IP del sitio que queremos visitar. Si la encuentra, se
conectar directamente a esa IP, si no, consultar a algn Servidor DNS, y luego
mostrar la pgina (si es que el DNS le indica la IP, claro!).
Si nosotros conocemos la IP de los sitios que visitamos frecuentemente, podemos
agregarlas al archivos HOSTS, y de esta manera aceleramos la conexin, pues cada vez
#

que accedamos a estos sitios, nuestra mquina no tendr necesidad de consultar a un

Servidor DNS las direcciones IP correspondientes.
Proceso de acceso a un sitio web ::
1) El usuario intenta ingresar a un sitio web escribiendo la direccin (por
ejemplo www.misitio.com.ar) en la barra de direcciones del Internet
Explorer.
2) La mquina consulta el archivo HOSTS en busca de la IP de ese sitio. Si
la encuentra, se conecta a esa direccin IP para pedir la pgina
solicitada, si no, consulta a algn Servidor DNS.
3) Si el Servidor DNS le indica la IP del sitio en cuestin, la mquina se
conecta a esa IP y nos muestra la pgina. Si el Servidor DNS consultado
tampoco conoce la IP, la mquina consulta en otro Servidor. Si ningn
Servidor DNS sabe la IP del sitio, entonces nos aparece el mensaje
Pgina web no encontrada.

Por otro lado, el archivo HOSTS tambin nos sirve para evitar el acceso a un
determinado sitio. Slo necesitamos asociar el dominio de ese sitio a la IP 127.0.0.7.
Por ejemplo, si no quiero que los usuarios con los cuales comparto el uso de mi PC,
ingresen al sitio www.sexo.com, agrego al final del archivo HOSTS la entrada que se
muestra en rojo en la siguiente imagen:
*** Arhcivo Host modificado para impedir el acceso a www.sexo.com ***
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7

&

! B

, +

+ 1

<

& ,=>,

+
!
+

+
+

:;&; #

.
+

'

>,

+
+
!+

+
!+

+
#

#
/

*
#

+
-#

'

+
++
#

+ +

>,
.
!+

* !

@
!+
A >,

#
C7C

9
+
(

7
7

+.

Cada vez que los usuarios intenten acceder al sitio www.sexo.com les saldr el mensaje
No se encuentra la pgina solicitada.

El proceso del Pharming ::

Un ataque de Pharming sucede cuando en el archivo HOSTS se asocia, con fines
delictivos, un dominio a una IP distinta de la original. Por ejemplo, un atacante puede
crear un sitio idntico al del Banco Ro de Buenos Aires, alojarlo en un servidor web, y
luego alterar de algn modo nuestro archivo HOSTS, asociando el dominio
bancorio.com.ar a la IP del servidor donde ha creado la pgina falsa. De este modo, al
tipear la direccin www.bancorio.com.ar estaremos ingresando sin saberlo al sitio
falso. Como ven, el riesgo en este tipo de ataques puede llegar a ser muy alto.
Veamos un ejemplo sencillo para que se entienda mejor:
Vamos a asociar en el archivo HOSTS el dominio YAHOO.COM con la IP de
GOOGLE (216.239.39.104), de modo que todos los usuarios que intenten acceder a la
pgina de Yahoo! sean automticamente llevados a la de Google (dicho de otro modo:
ningn usuario podr ingresar a yahoo.com, pues al intentar hacerlo siempre aparecer
la pgina de Google).
Para ello, abrimos el archivo HOSTS con el Bloc de Notas, y agregamos la entrada que
vemos en rojo a continuacin:
* Muestro con rojo la lnea que debemos agregar nosotros.

Guardamos los cambios, cerramos esta ventana y luego nos vamos al Internet
Explorer. Escribimos www.yahoo.com en la barra de direcciones, y le damos ENTER.
Como vern a continuacin, lo que se muestra es la pgina de Google.Com, no la de
Yahoo!.

En vez de mostrarnos la pgina de Yahoo! nos muestra la de Google!.

En este ejemplo tan benvolo, casi ridculo dira, no hay nada de peligroso para el
usuario afectado. Pero como ya mencion, este mismo proceso, de distintas maneras, se
puede hacer (mejor dicho: se hace!) con sitios oficiales de Bancos y otras entidades
financieras. Vamos a ver un caso prctico al respecto antes de terminar, pero primero
resumimos en imgenes todo el proceso que acabamos de explicar.

As establecemos una conexin normalmente, sin recurrir al archivo HOST,

cuando por ejemplo ingresamos a GMAIL:

As es la conexin cuando utilizamos el archivo HOSTS:

Y si alguien quisiera robar nuestra clave de GMAIL, y utilizara para ello un

ataque de pharming, as sera nuestra conexin:

&

Bien, lleg el momento ms esperado: el de la puesta en prctica. Vamos a ver un

procedimiento, a modo de ejemplo, de cmo hara un criminal para robar los datos de
una cuenta de Banco.

ACLARACIN:
Lo que veremos a continuacin podra ser uno de los tantos procedimientos utilizados
por los delincuentes informticos para el robo de cuentas bancarias. NO PRETENDO
CON ESTO HACER APOLOGA DE ESTOS DELITOS, slo trato de abrirles los
ojos a aquellos que piensan que el robo de claves bancarias es solo cosa de genios
cibernticos. Ahora podrn confirmar ustedes mismos, como con simples herramientas
y un poco de ingenio todo es posible.
Bien, comenzamos...
Objetivo:
Obtener la clave de la cuenta en el CitiBank de Argentina que tiene el usuario X.
Supuestos:
El usuario X suele estar conectado varias horas a Internet, y chequea por lo
menos dos veces en el da su cuenta bancaria en el sitio web del CitiBank.
Nosotros tenemos una IP fija. *** Si tuviramos una IP variable, este proceso
debe hacerse en el mismo da y sin haber desconectado nuestra mquina en
ningn momento durante el ataque.
Mediante ingeniera social, logramos chatear con la vctima a travs de MSN o
Yahoo! Messenger, y logramos que acepte bajar un archivo, o bien se lo
mandamos por e-mail, y ste lo acepta.
Herramientas necesarias:
1) El WinRar y/o WinZip
Para bajar WinRar: www.rarlab.com
Para bajar WinZip: www.winzip.com/es
2) El Xerver Free Web Server: http://www.javascript.nu/xerver/
Paso a paso(pero con reservas)
1) Crear un sitio web idntico al del CitiBank:
Debemos crear un par de pginas idnticas a las del CitiBank donde el usuario debe
loguearse para acceder al panel de su cuenta. No pretendan que les explique cmo

'

hacer una rplica de las pginas, ni cmo deberamos estructurarlas para crear un
engao perfecto. Eso est en el ingenio de cada uno. Yo me limito a explicar el proceso
que usara un delincuente para robar los datos de una cuenta, no a ensearles con lujo de
detalles el proceso completo. *** Lo importante, como en cualquier sitio web, es que la
primer pgina a la que pretendemos que el usuario ingrese se llame index.htm.
Una vez creado el sitio, lo guardamos en una carpeta de fcil acceso. En mi caso, la
guardo en C:\CitiBank\.
Deberamos imitar el formulario de logueo del CitiBank como el que vemos en esta imagen.

2) Instalamos un servidor Web en nuestra mquina para alojar este sitio falso del
CitiBank.
Instalaremos, por su fcil y rpida configuracin, el XERVER Web Server 4.20 (lo
pueden bajar de http://www.download.com/Xerver-Free-Web-Server/3000-216510074595.html?part=dl-XerverFre&subj=uo&tag=button ). *** Nota: para poder usar
este servidor web, necesitan tener instalada la ltima versin de Sun Java (pueden
bajarla de http://www.java.com/es/download/manual.jsp ).
En la pgina del XERVER (http://www.javascript.nu/xerver/) tienen ayuda online de
este soft, el cual es ms que fcil, por lo que no voy a entrar en detalles tampoco.
Una vez instalado, cuando lo configuren, la carpeta que deben compartir es aquella
donde tienen el sitio del CitiBank, en mi caso: C:\CitiBank\.

''

3) Creamos un ejecutable que modifique el archivo HOSTS de nuestra futura

vctima.
Para esto, en una misma carpeta cualquiera, creamos tres archivos:
Un archivo HOSTS que contenga el dominio citibank.com asociado a nuestra
direccin IP.
Un archivo para unir al ejecutable y que despiste al usuario, en mi caso es un
archivo de Word: hola.doc.
Un archivo .bat con el cdigo para reemplazar el archivo hosts de la vctima por
el que acabamos de crear.

Vamos por partes...

a) Creamos un nuevo archivo HOSTS: Para ello, abrimos el Bloc de Notas, y
escribimos dos lneas como vemos a continuacin:

En rojo puse la IP que tengo en este momento, ustedes colocan ah la suya.

Guardamos este archivo con el nombre HOSTS.txt, luego desde el Explorador de
Windows le quitan la extensin (recuerden que el archivo HOSTS no tiene ninguna
extensin!)

b) Creamos un archivo de Word para que el usuario vea al abrir nuestro

ejecutable: El contenido del archivo y el nombre lo determinan ustedes. Yo para este
ejemplo creo hola.doc.
c) Creamos un BAT con el siguiente cdigo:
D
+

<<
=1EF
=G :;&; 0;

H+ . 0 ?

H+ . +

Explicacin:
@echo off : es para que al ejecutarse el bat no muestre nada en pantalla.
start hola.doc : es para que se abra el archivo hola.doc y sirva de mscara para
que el usuario no se percate de nada.
La tercera lnea reemplaza el archivo HOSTS original de la vctima por el
nuestro.
exit: obviamente es para cerrar el bat.

'

Este BAT lo guardan con el nombre que quieran, yo le puse x.bat.

Creacin del ejecutable ::

Por ltimo ahora, juntamos todo en un ejecutable .exe que luego enviaremos a la
vctima:
Para crear este .exe, usaremos WinRar, de la siguiente manera:
a) Seleccionamos los tres archivos creados, cliqueamos botn derecho del mouse, y
elegimos Aadir al archivo...:

Veremos la siguiente ventana:

'!

Tildamos CREAR UN ARCHIVO SFX, y en el nombre ponemos hola.exe (o el

nombre que quieran, claro!). Vamos luego a la opcin AVANZADO:

Vamos a OPCIONES SFX, veremos la siguiente ventana:

'"

En Ejecutar tras la extraccin, escribimos el nombre de nuestro archivo BAT, en

mi caso: x.bat. Luego vamos a MODOS, y tildamos las casillas que vemos a
continuacin:

Por ltimo, vamos a TEXTO e ICONO:

'#

Ya que le inyectamos un archivo de Word, le debemos poner un icono de este

programa. Lo hacemos y le damos aceptar. Veremos a continuacin nuestro ejecutable
casi listo para enviar!:

La extensin .exe no se mostrar en la PC vctima, salvo que as lo haya establecido

en su configuracin, algo no muy comn.
Bien, pero para poder enviar este archivo por mail o por MSN, primero debemos
comprimirlo. Lo mejor es hacerlo con el WinZip, ya que es el que tienen la mayora de
las personas.

Terminamos! Ahora todo es cuestin de enviarle este archivo a la vctima, que ella lo
ejecute, y listo! Desde ese momento, la prxima vez que se conecte a
www.citibank.com, estar ingresando sin saberlo, a nuestra pgina, y al loguearse, sus
datos de acceso pasarn a nuestras manos. La vctima JAMS podr ingresar al sitio
real del CitiBank, mientras no se vuelva a modificar el archivo HOSTS.
Esto, por supuesto, se trata no ms que de un ensayo, pero si fuese real, al criminal no le
importara demasiado si la vctima puede o no luego ingresar al sitio real del Banco,
pues para cuando se de cuenta de lo que est sucediendo, ya el delincuente habr
vaciado los fondos de su cuenta bancaria.

Nota: como vimos, fue un procedimiento bastante sencillo, y con herramientas muy
precarias. Ha habido varias desprolijidades en este proceso (hemos usado nuestra
propia mquina, no hemos ocultado nuestra IP, etc, etc, etc.), pero se debe a que esto es
SOLO UNA PRUEBA, una DEMOSTRACIN para ver que el PHARMING no es algo
difcil de hacer. No bamos a dar un curso de Robo de cuentas bancarias
obviamente, se trata de un ensayo, nada ms.

'

(
)*

Lo mejor es siempre la PREVENCIN:

Mantener el sistema operativo, navegador y programa de e-mail constantemente
actualizados. Quienes usan Internet Explorer, actualizar todos los parches
de seguridad.
Instalar y mantener actualizado un programa anti-vrus que tenga capacidad de
identificar no slo amenazas ya identificadas, sino tambin amenazas
desconocidas, por medio del anlisis del comportamiento del archivo sospechoso
(anlisis heurstico).
Tambin es importante instalar otros programas de proteccin, como antispywares.
Instalar un firewall, que bloquea todo el trfico de entrada y salida de datos de la
PC, y slo deje pasar aquello que el usuario autorice.
Tener cuidado con mensajes no solicitados (spam), aunque parezcan venir de
fuentes confiables, y no cliquear en links o instalar archivos que vengan en estos
mensajes.

:: FIN ::
Espero les sea de gran utilidad.
Saludos. FG DICIEMBRE DE 2006
LILIANGROUP [ARROBA] GMAIL [PUNTO] COM

'$