El pharming es el primo sigiloso del phishing: mientras que el phishing necesita que piques un enlace, el pharming te redirige a una web falsa sin que hagas nada. La diferencia entre pharming vs phishing no es solo académica — entenderla puede salvarte de perder tus credenciales bancarias. El pharming manipula la redirección DNS o el archivo hosts de tu equipo para que, cuando escribas la dirección correcta de tu banco, acabes en una suplantación web pixel-perfect controlada por atacantes. Y no, tu navegador no siempre te avisará.
Qué es el pharming y por qué es más peligroso que el phishing clásico
El phishing depende de tu error: haces clic en un enlace fraudulento, introduces datos en un formulario sospechoso. Hay señales. El pharming elimina esa dependencia. Un atacante compromete un servidor DNS o infecta tu equipo con malware que modifica el archivo hosts, y a partir de ahí, cada vez que tecleas www.tubanco.com, tu tráfico se desvía a un servidor controlado por el atacante.
La víctima no ve nada raro. La URL en la barra de direcciones puede parecer correcta. El diseño de la página es idéntico. La única pista suele ser un certificado SSL ausente o incorrecto — y seamos honestos, la mayoría de usuarios no comprueban el candadito con lupa.
Existen dos variantes principales de pharming:
- Pharming local (malware-based): Un troyano modifica el archivo
hostsde tu sistema operativo (en Windows:C:\Windows\System32\drivers\etc\hosts; en Linux/Mac:/etc/hosts). Cada entrada manipulada redirige un dominio legítimo a una IP maliciosa. - Pharming a nivel DNS (DNS poisoning): El atacante compromete un servidor DNS — ya sea el de tu router doméstico, el de tu ISP o un servidor intermedio — para que resuelva dominios legítimos con IPs falsas. Esto afecta a todos los usuarios que dependan de ese servidor. Si quieres profundizar en cómo funciona este envenenamiento, tenemos un artículo completo sobre DNS spoofing que lo explica al detalle.
Tabla comparativa: pharming vs phishing
Para que quede claro de un vistazo, aquí tienes las diferencias clave entre ambas técnicas de suplantación web:
| Característica | Phishing | Pharming |
|---|---|---|
| Vector de ataque | Email, SMS, redes sociales | Redirección DNS o malware local |
| Requiere acción del usuario | Sí (clic en enlace) | No (la redirección es automática) |
| Escala | Individual o grupal | Masiva (si comprometen un DNS público) |
| Detección | Relativamente fácil (URL sospechosa) | Difícil (URL aparentemente correcta) |
| Certificado SSL | Suele faltar o ser incorrecto | Suele faltar, pero el usuario no lo espera |
| Persistencia | Puntual (cada campaña) | Persistente hasta limpiar la infección |
La clave del pharming vs phishing es esta: el phishing te engaña para que vayas a un sitio falso; el pharming te lleva allí sin que tú hagas nada sospechoso.
Casos reales y técnicas documentadas de pharming
El pharming no es teoría de laboratorio. En 2007, un ataque masivo afectó a más de 50 entidades financieras en Europa, Asia y Estados Unidos. Los atacantes explotaron vulnerabilidades en routers domésticos (muchos con credenciales por defecto tipo admin/admin) para modificar la configuración DNS y redirigir a los usuarios a réplicas de sus bancos.
En 2015, investigadores documentaron ataques de redirección DNS contra routers brasileños que afectaron a millones de usuarios. Los atacantes usaban kits de exploits que cambiaban la configuración DNS del router simplemente al visitar una página web comprometida — sin descargar nada, sin hacer clic en nada.
Otra técnica documentada: el uso de vulnerabilidades en servidores DNS como la famosa CVE-2008-1447 (Kaminsky bug), que permitía envenenar cachés DNS de forma remota. Dan Kaminsky coordinó un parche masivo con los principales proveedores antes de hacer pública la vulnerabilidad. Aun así, servidores sin parchear siguieron siendo explotados durante años.
Los ataques más recientes combinan pharming con certificados SSL gratuitos de Let's Encrypt para que la web falsa muestre el candado verde. Esto complica la detección para usuarios que confían solo en el indicador visual del navegador.
Cómo protegerte del pharming y la suplantación web
Protegerte del phishing requiere sentido común y desconfianza ante enlaces sospechosos. Protegerte del pharming exige medidas técnicas. Aquí van las que funcionan:
- Usa DNS cifrado (DoH o DoT). Configura DNS over HTTPS en tu navegador o sistema operativo. Esto impide que un atacante intercepte o manipule tus consultas DNS. Proveedores fiables: Cloudflare (1.1.1.1), Quad9 (9.9.9.9) o Google (8.8.8.8). Tenemos una guía sobre DNS privado y cifrado que explica cómo activarlo paso a paso.
- Cambia las credenciales de tu router. Si tu router sigue con admin/admin o admin/1234, estás regalando el acceso. Cambia usuario, contraseña y desactiva la administración remota.
- Actualiza el firmware del router. Los fabricantes parchean vulnerabilidades de redirección DNS periódicamente. Si tu router lleva tres años sin actualizar, eres un objetivo fácil.
- Comprueba siempre el certificado SSL. No basta con ver el candado: haz clic en él y verifica que el certificado pertenece a la entidad que esperas. Si el certificado es de un dominio diferente o tiene errores, cierra la pestaña.
- Usa un antimalware actualizado. Para la variante local del pharming (modificación del archivo hosts), un buen antivirus detectará el cambio. Herramientas como Malwarebytes o Microsoft Defender monitorizan este archivo.
- Activa autenticación de dos factores (2FA). Incluso si caes en una web falsa y entregas tu contraseña, el segundo factor puede bloquear al atacante. Prioriza apps de autenticación (Google Authenticator, Authy) sobre SMS, que también son interceptables. Para proteger especialmente tus finanzas, revisa cómo blindar tus cuentas bancarias online.
- Revisa tu archivo hosts periódicamente. Si encuentras entradas que no reconoces apuntando a IPs desconocidas, tienes un problema. En Windows, abre
C:\Windows\System32\drivers\etc\hostscon un editor de texto. En Mac/Linux:/etc/hosts.
Preguntas frecuentes
¿Puedo ser víctima de pharming sin tener malware en mi equipo?
Sí. Si el servidor DNS de tu proveedor de internet o la configuración DNS de tu router están comprometidos, la redirección DNS ocurre antes de que el tráfico llegue a tu equipo. Tu sistema puede estar completamente limpio y aun así acabar en una web falsa.
¿Cómo sé si estoy en una web legítima o en una suplantación web por pharming?
Verifica el certificado SSL haciendo clic en el candado del navegador. Comprueba que el emisor sea una autoridad certificadora reconocida y que el dominio coincida exactamente. Herramientas como VirusTotal permiten analizar URLs sospechosas. Si la página te pide datos sensibles pero el certificado no cuadra, cierra inmediatamente.
¿Un VPN me protege del pharming?
Parcialmente. Una VPN cifra tu tráfico y puede usar sus propios servidores DNS, protegiéndote del pharming a nivel de red. Pero si el malware ha modificado el archivo hosts de tu equipo, la VPN no lo evitará porque la resolución ocurre en local, antes de que el tráfico salga por el túnel VPN.
¿El pharming afecta también a dispositivos móviles?
Sí. Los smartphones usan DNS igual que cualquier ordenador. Si tu móvil se conecta a un router con DNS comprometidos, sufrirás la misma redirección. Además, algunas apps maliciosas pueden modificar la configuración de red del dispositivo para redirigir consultas DNS.
El siguiente paso
Abre ahora mismo la configuración de tu router (normalmente 192.168.1.1), comprueba qué servidores DNS tiene configurados y cámbialos a un proveedor de DNS cifrado como Cloudflare (1.1.1.1) o Quad9 (9.9.9.9). Son cinco minutos que cierran la puerta principal del pharming. De paso, cambia la contraseña del router si aún es la de fábrica — que lo es, no nos engañemos.
