El servidor central de Adobe fue hackeado

(Tomado de elhacker.net) El director de productos y privacidad de la compañía, Brad Arkin, ha aclarado en una rueda de prensa lo que ha sucedido y el estado de las investigaciones que ya se están llevando a cabo tratando de esclarecer los sucedido.

De momento, únicamente ha afirmado que intrusos desconocidos y que aún no han sido identificados accedieron al servidor central de la empresa. Una vez accedieron a él, Arkin ha afirmado que únicamente se dedicaron a llevar a cabo el robo de certificados de seguridad y firmas digitales de productos de Adobe.

Aunque se desconoce la utilidad real que se le van a dar a estos certificados, desde la compañía creen que serán utilizados para firmar y certificar programas maliciosos (sobre todo troyanos y malware) para que durante el procesos de instalación no levanten sospechas, ya que una firma de seguridad válida, da acceso a poder realizar muchas acciones en el equipo infectado.

Arkin ha afirmado que ellos ya se han encargado de enviar a Microsoft el número de serie de todos los certificados y firmas que han sido robados, que en este caso era común a todos ellos. Además, ha indicado cual es el número de serie a bloquear, el 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88. Como indicábamos anteriormente, éste ya ha sido enviado al Centro de Certificados no Autorizados de Microsoft para que sea incluido en futuras actualizaciones.

¿Cuál es la solución?

Como hemos indicado anteriormente, Adobe continúa investigando las causas que han llevado a este fallo de seguridad a la vez que trata de averiguar en que programas han sido utilizados sus certificados, pero se cree, algo que no es nueva, que sea empleado para que los autores del robo puedan lucrarse.

Por el momento, la solución que ha planteado Adobe, y según ellos la más efectiva, va a ser revocar la validez de estos certificados y firmas. Sin embargo, no es tan fácil y aquí es donde surge el problema. Revocar tanto los certificados como las firmas supone “banear” un determinado rango de firmas y certificados. Entre estos pueden encontrarse productos válidos por Adobe, por lo que la compañía asegura que la mejor solución es actualizar todos los poductos de Adobe que se tengan instalados a la última versión, que es la que se garantiza que no va a sufrir ningún tipo de problema.

Preocupación por la imagen de los productos de la compañía

Arkin ha mostrado su preocupación por los problemas de seguridad que pueden sufrir los usuarios pensando que están instalando una actualización o un software legítimo de Adobe y luego se encuentran con que es un virus o un troyano diseñados para robar sus datos personales almacenados en el equipo.

Por eso añade que es necesario que Microsoft saque lo más pronto posible una actualización para que el número de serie de los certificado robados se incorpore a la lista de los no autorizados que posee el sistema operativo del usuario y así poder evitar problemas mayores.

Fuente | The H Security

Advertisements

Ataque masivo de malware bancario

(Tomado de securitybydefault.com) Desde ayer se están recibiendo decenas de miles de correos electrónicos con un enlace que contiene malware bancario que afecta a usuarios de múltiples entidades financieras.
La gran mayoría de antivirus ya lo detectan, pero en estos casos, siempre acaban encontrando gente con menos conocimientos que acaban picando. Recordad que hay varios gratuitos como Antivir, AVG o Microsoft Security Essentials y los tres lo encuentran.
El correo tiene el siguiente aspecto:
Y textos similares:
“Querido cliente nos ponemos en contacto con usted para informarle de que podria ser victima de la manipulacion de su factura ya que se estan dando casos de enganos y falsificaciones por ello le pediriamos que nos hiciera llegar que le ha llegado dicha informacion pinchando en el archivo adjunto.”
Con URLs diferentes y asuntos distintos, tales como:
  • Aunque puede
  • Falsificacion de facturas
  • Manipulacion de facturas
  • Pago no transferido
  • Pago fallido
  • Cuota no abonada
  • Su facturacion
  • La factura e-cologica
  • Error en la transferencia
  • Facturas respetuosas
  • Pongase en contacto con nosotros
  • Infiltracion en las facturas

Si os ha llegado alguno de estos correos, podéis dejar en un comentario el enlace que os haya llegado para tratar de cerrar los sitios lo antes posible.

Controles para la ciberdefensa

(Tomado de segu-info.com.ar) Asegurar un país, una organización federal, empresa comerciales, universidades, hospitales o cualquier otra entidad contra ciberataques se ha convertido en una de las más altas prioridades. controlesPara lograr este objetivo, las redes y los sistemas, así como los equipos de operaciones que los apoyan, deben defenderse contra una variedad de amenazas internas y externas. Para responder a esos ataques, las defensas deben estar preparados para detectar y frustrar los ataques a las redes empresariales internas.

Para ilustrar la importancia de esta defensa, se contar con una metodología que se adapte constantemente al cambiante panorama de amenazas. El documento Critical Controls for Effective Cyber Defense: Consensus Audit Guidelines (CAG) tiene como objetivo iniciar este proceso de establecer una línea de base prioritaria sobre las medidas de seguridad y los controles que se pueden aplicar en todos las organizaciones.

Cristian de la Redacción de Segu-Info

Las Peores 500 Contraseñas de Todos los Tiempos

(Tomado de dragonjar.org)

Desde el momento en que la gente comenzó a utilizar , no tardaron en darse cuenta que varias personas utilizaban la misma contraseña una y otra vez, incluso la forma en que las personas escriben erróneamente las palabras es coherente; Normalmente las personas son tan previsibles que la mayoría de los hackers hacen uso de listas de comunes como las publicadas en este articulo.

Actualizado 26 de septiembre 2012:

Hace poco les comentaba en Twitter que la IEEE ha dejado expuestos mas de 100GB de logs en los que se encontraban gran cantidad credenciales de usuarios inscritos en los sitios IEEE.org y spectrum.ieee.org, dejando en evidencia que los ingenieros también utilizamos incluidas en ñas Peores 500 Contraseñas de Todos los Tiempos.

Peores Claves Las Peores 500 Contraseñas de Todos los Tiempos

Actualizado 21 de diciembre 2010:

Recientemente la red de sitios Gawker Media, dueños de algunos de los portales de tecnología mas visitados en la red, como lifehacker o Gizmodo fueron vulnerados y su base de datos publicada en internet, junto con la información en texto plano de la información personal ingresada por sus usuarios, la siguiente tabla muestra una vez mas como el usuario promedio sigue usando las mismas claves una y otra vez, aunque se les advierta que hacen parte de las peores contraseñas de todos los tiempos.

Password Las Peores 500 Contraseñas de Todos los Tiempos

Para darle una idea de cómo los seres humanos son predecibles, la siguiente es una lista de las 500 contraseñas más comunes. Tenga en cuenta que cada contraseña que figuran aquí se ha utilizado por lo menos cientos si no miles de veces por otras personas.

“Aproximadamente uno de cada nueve personas por lo menos utiliza una contraseña en la lista, Y uno de cada 50 personas utiliza una de las 20 primeras peores contraseñas”.

NO Top 1-100 Top 101–200 Top 201–300 Top 301–400 Top 401–500
1 123456 porsche firebird prince rosebud
2 guitar butter beach jaguar
3 12345678 chelsea united amateur great
4 1234 black turtle 7777777 cool
5 pussy diamond steelers muffin cooper
6 12345 nascar tiffany redsox 1313
7 dragon jackson zxcvbn star scorpio
8 qwerty cameron tomcat testing mountain
9 696969 654321 golf shannon madison
10 mustang computer bond007 murphy 987654
11 letmein amanda bear frank brazil
12 baseball wizard tiger hannah lauren
13 master xxxxxxxx doctor dave japan
14 michael money gateway eagle1 naked
15 football phoenix gators 11111 squirt
16 shadow mickey angel mother stars
17 monkey bailey junior nathan apple
18 abc123 knight thx1138 raiders alexis
19 pass iceman porno steve aaaa
20 fuckme tigers badboy forever bonnie
21 6969 purple debbie angela peaches
22 jordan andrea spider viper jasmine
23 harley horny melissa ou812 kevin
24 ranger dakota booger jake matt
25 iwantu aaaaaa 1212 lovers qwertyui
26 jennifer player flyers suckit danielle
27 hunter sunshine fish gregory beaver
28 fuck morgan porn buddy 4321
29 2000 starwars matrix whatever 4128
30 test boomer teens young runner
31 batman cowboys scooby nicholas swimming
32 trustno1 edward jason lucky dolphin
33 thomas charles walter helpme gordon
34 tigger girls cumshot jackie casper
35 robert booboo boston monica stupid
36 access coffee braves midnight shit
37 love xxxxxx yankee college saturn
38 buster bulldog lover baby gemini
39 1234567 ncc1701 barney cunt apples
40 soccer rabbit victor brian august
41 hockey peanut tucker mark 3333
42 killer john princess startrek canada
43 george johnny mercedes sierra blazer
44 sexy gandalf 5150 leather cumming
45 andrew spanky doggie 232323 hunting
46 charlie winter zzzzzz 4444 kitty
47 superman brandy gunner beavis rainbow
48 asshole compaq horney bigcock 112233
49 fuckyou carlos bubba happy arthur
50 dallas tennis 2112 sophie cream
51 jessica james fred ladies calvin
52 panties mike johnson naughty shaved
53 pepper brandon xxxxx giants surfer
54 1111 fender tits booty samson
55 austin anthony member blonde kelly
56 william blowme boobs fucked paul
57 daniel ferrari donald golden mine
58 golfer cookie bigdaddy 0 king
59 summer chicken bronco fire racing
60 heather maverick penis sandra 5555
61 hammer chicago voyager pookie eagle
62 yankees joseph rangers packers hentai
63 joshua diablo birdie einstein newyork
64 maggie sexsex trouble dolphins little
65 biteme hardcore white 0 redwings
66 enter 666666 topgun chevy smith
67 ashley willie bigtits winston sticky
68 thunder welcome bitches warrior cocacola
69 cowboy chris green sammy animal
70 silver panther super slut broncos
71 richard yamaha qazwsx 8675309 private
72 fucker justin magic zxcvbnm skippy
73 orange banana lakers nipples marvin
74 merlin driver rachel power blondes
75 michelle marine slayer victoria enjoy
76 corvette angels scott asdfgh girl
77 bigdog fishing 2222 vagina apollo
78 cheese david asdf toyota parker
79 matthew maddog video travis qwert
80 121212 hooters london hotdog time
81 patrick wilson 7777 paris sydney
82 martin butthead marlboro rock women
83 freedom dennis srinivas xxxx voodoo
84 ginger fucking internet extreme magnum
85 blowjob captain action redskins juice
86 nicole bigdick carter erotic abgrtyu
87 sparky chester jasper dirty 777777
88 yellow smokey monster ford dreams
89 camaro xavier teresa freddy maxwell
90 secret steven jeremy arsenal music
91 dick viking 11111111 access14 rush2112
92 falcon snoopy bill wolf russia
93 taylor blue crystal nipple scorpion
94 111111 eagles peter iloveyou rebecca
95 131313 winner pussies alex tester
96 123123 samantha cock florida mistress
97 bitch house beer eric phantom
98 hello miller rocket legend billy
99 scooter flower theman movie 6666
100 please jack oliver success albert

Hay algunas claves interesantes en esta lista que muestran cómo la gente trata de ser inteligente, pero incluso el ingenio humano es predecible. Por ejemplo, mire las siguientes contraseñas:

  • ncc1701 El buque número ncc1701 de Starship Enterprise
  • thx1138 El nombre de la primera película de George Lucas
  • qazwsx un simple patrón de los teclados QWERTY
  • 666666 el números seis, seis veces
  • 7777777 siete sietes
  • ou812 El título de un álbum de Van Halen 1988

Si usted observa que su contraseña se encuentra en esta lista, por favor, cámbiela de inmediato, en la comunidad hemos proporcionado siempre información útil para maneja tus contraseñas fácilmente, herramientas para generar contraseñas seguras, e incluso aplicaciones que si no quieres utilizar una palabra , te permiten utilizar tu rostro como contraseña.

El ciberespionaje y la posibilidad de una ciberguerra son realidad en Latinoamérica

(Tomado de kaspersky.com)

Dmitry Bestuzhev es director de investigación y análisis de Kaspersky Lab. Foto: DivulgaciónDmitry Bestuzhev es director de investigación y análisis de Kaspersky Lab
Foto: Divulgación

Por Anita ArriagadaEl ciberespionaje en Latinomérica ya es una realidad, según el director de investigación y análisis de Kaspersky Lab para la región, Dmitry Bestuzhev (@dmitrybest), entrevistado por Terra durante una cumbre de seguridad informática desarrollada en Quito, Ecuador, ocasión donde el experto reveló cómo hoy cualquier gobierno -incluso en nuestro vecindario- puede acceder a poderosas y destructivas armas cibernéticas en el mercado negro para iniciar un conflicto bélico digital que, irremediablemente, desencadenaría en uno real.

De acuerdo a Bestuzhev, si bien no llega a los niveles vistos en países como EE.UU., China, Rusia, “el ciberespionaje ya existe” y de hecho ya hay gobiernos tomando acciones, como el caso de Brasil que creó en su ministerio de Defensa una fuerza de ciberdefensa y cibertaques militares. “Esto es algo absolutamente oficial. Si esto es oficial, imagínate cuántas cosas hay no oficiales”, explica el analista de Kaspersky.

La compañía de seguridad rusa, sin embargo, a pesar de ser reconocida por haber revelado las mayores armas de ciberespionaje y ciberguerra conocidas hasta ahora en el mundo ¿como es el caso de Stuxnet, Flame, Gauss y Duqu- no participan activamente de iniciativas como la brasileña: “Nosotros no apoyamos esto porque tiene una causa política, y no vamos a entrometernos en las políticas internas de ningún país por malas o buenas que fueran”.

El código malicioso o malware que hoy circula, y que investigaciones del Washington Post y del New York Times atribuyen a desarrollo estadounidense e israelí, fue inicialmente descubierto en Irán donde destruyó gran parte del programa nuclear de ese país.

Se trata de software tan peligroso que Eugene Kaspersky lo ha comparado con armas químicas y biológicas, de manera que la comunidad internacional debería comenzar a pensar en cómo prohibir su uso.

Según Dmitry Bestuzhev, hay gobiernos que tienen mucho interés porque este tipo de ataques ya sea con fines políticos, militares o económicos. “Son ataques baratos y anónimos, instantáneos y destructivos, incluso más que con armamento”, explica, agregando que hoy también hay gobiernos que atacan a sus propios ciudadanos, para espiarlos por ejemplo o sabotear a movimientos de rebelión.

A esto, según el analista de Kaspersky, se suman los paramilitares digitales, pues “si eres gobierno y tienes dinero hay una verdadera bolsa de compra y venta de armas cibernéticas por Internet”. Lo grave es que hoy gobiernos como el de EE.UU. no descartan respuestas militares a ataques cibernéticos, lo que desencadenaría una guerra “real”. Y es que finalmente para Bestuzhev lo digital ya no es sólo digital, es la vida real, y en esa guerra todos saldríamos perdiendo.

Una situación dramática donde la empresa del polémico Eugene Kaspersky (Ver nota: El enigmático y polémico Eugene Kaspersky) sí está capacitada para entregar colaboración a los países a través de la Unión Internacional de Telecomunicaciones, el organismo de ONU para las telecomunicaciones e Internet. “Y, obviamente, cuando viene una solicitud de un cliente nuestro que sospecha que está infectado, uno tiene obligación comercial y ética de darle soporte técnico, no importa si es de Chile, de Venezuela o Rusia”.

Puso la NSA una puerta falsa en el nuevo estandar de encriptación? (en inglés)

(Tomado de cyberwarzone.com)

Random numbers are critical for cryptography: for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency.

Generating random numbers isn’t easy, and researchers have discovered lots of problems and attacks over the years. A recent paper found a flaw in the Windows 2000 random-number generator. Another paper found flaws in the Linux random-number generator. Back in 1996, an early version of SSL was broken because of flaws in its random-number generator. With John Kelsey and Niels Ferguson in 1999, I co-authored Yarrow, a random-number generator based onour own cryptanalysis work. I improved this design four years later — and renamed it Fortuna — in the book Practical Cryptography, which I co-authored with Ferguson.

The U.S. government released a new official standard for random-number generators this year, and it will likely be followed by software and hardware developers around the world. Called NIST Special Publication 800-90 (.pdf), the 130-page document contains four different approved techniques, called DRBGs, or “Deterministic Random Bit Generators.” All four are based on existing cryptographic primitives. One is based on hash functions, one on HMAC, one on block ciphers and one on elliptic curves. It’s smart cryptographic design to use only a few well-trusted cryptographic primitives, so building a random-number generator out of existing parts is a good thing.

But one of those generators — the one based on elliptic curves — is not like the others. Called Dual_EC_DRBG, not only is it a mouthful to say, it’s also three orders of magnitude slower than its peers. It’s in the standard only because it’s been championed by the NSA, which first proposed it years ago in a related standardization project at the American National Standards Institute.

The NSA has always been intimately involved in U.S. cryptography standards — it is, after all, expert in making and breaking secret codes. So the agency’s participation in the NIST (the U.S. Commerce Department’s National Institute of Standards and Technology) standard is not sinister in itself. It’s only when you look under the hood at the NSA’s contribution that questions arise.

Problems with Dual_EC_DRBG were first described in early 2006. The math is complicated, but the general point is that the random numbers it produces have a small bias. The problem isn’t large enough to make the algorithm unusable — and Appendix E of the NIST standard describes an optional work-around to avoid the issue — but it’s cause for concern. Cryptographers are a conservative bunch: We don’t like to use algorithms that have even a whiff of a problem.

But today there’s an even bigger stink brewing around Dual_EC_DRBG. In an informal presentation (.pdf) at the CRYPTO 2007 conference in August, Dan Shumow and Niels Ferguson showed that the algorithm contains a weakness that can only be described as a backdoor.

This is how it works: There are a bunch of constants — fixed numbers — in the standard used to define the algorithm’s elliptic curve. These constants are listed in Appendix A of the NIST publication, but nowhere is it explained where they came from.

What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.

The researchers don’t know what the secret numbers are. But because of the way the algorithm works, the person who produced the constants might know; he had the mathematical opportunity to produce the constants and the secret numbers in tandem.

Of course, we have no way of knowing whether the NSA knows the secret numbers that break Dual_EC-DRBG. We have no way of knowing whether an NSA employee working on his own came up with the constants — and has the secret numbers. We don’t know if someone from NIST, or someone in the ANSI working group, has them. Maybe nobody does.

We don’t know where the constants came from in the first place. We only know that whoever came up with them could have the key to this backdoor. And we know there’s no way for NIST — or anyone else — to prove otherwise.

This is scary stuff indeed.

Even if no one knows the secret numbers, the fact that the backdoor is present makes Dual_EC_DRBG very fragile. If someone were to solve just one instance of the algorithm’s elliptic-curve problem, he would effectively have the keys to the kingdom. He could then use it for whatever nefarious purpose he wanted. Or he could publish his result, and render every implementation of the random-number generator completely insecure.

It’s possible to implement Dual_EC_DRBG in such a way as to protect it against this backdoor, by generating new constants with another secure random-number generator and then publishing the seed. This method is even in the NIST document, in Appendix A. But the procedure is optional, and my guess is that most implementations of the Dual_EC_DRBG won’t bother.

If this story leaves you confused, join the club. I don’t understand why the NSA was so insistent about including Dual_EC_DRBG in the standard. It makes no sense as a trap door: It’s public, and rather obvious. It makes no sense from an engineering perspective: It’s too slow for anyone to willingly use it. And it makes no sense from a backwards-compatibility perspective: Swapping one random-number generator for another is easy.

My recommendation, if you’re in need of a random-number generator, is not to use Dual_EC_DRBG under any circumstances. If you have to use something in SP 800-90, use CTR_DRBG or Hash_DRBG.

In the meantime, both NIST and the NSA have some explaining to do.

Pharming

(Tomado de seguridad.unam.mx)

¿Qué es el pharming?

El pharming es una modalidad de ataque utilizada por los atacantes, que consiste en suplantar al Sistema de Resolución de Nombres de Dominio (DNS, Domain Name System) con el propósito de conducirte a una página Web falsa. El atacante logra hacer esto al alterar el proceso de traducción entre la URL de una página y su dirección IP.

Comúnmente el atacante realiza el redireccionamiento a las páginas web falsas a través de código malicioso. De esta forma, cuando se introduce un determinado nombre de dominio que haya sido cambiado, por ejemplo http://www.seguridad.unam.mx, en tu explorador de Internet, accederá a la página Web que el atacante haya especificado para ese nombre de dominio.

Para llevar a cabo redireccionamiento a las páginas Web falsas o maliciosas se requiere que el atacante logre instalar en tu sistema alguna aplicación o programa malicioso (por ejemplo, un archivo ejecutable .exe, .zip, .rar, .doc, etc.). La entrada del código malicioso en tu sistema puede producirse a través de distintos métodos, siendo la más común a través de un correo electrónico, aunque puede realizarse también a través de descargas por Internet o a través de unidades de almacenamiento removibles como una memoria USB.

¿Cómo se lleva a cabo un ataque de pharming?

Una técnica muy utilizada para realizar éste tipo de ataque es a través del envío masivo de correos electrónicos. El correo electrónico puede provenir de distintas fuentes, las cuales, resultan llamativas para el usuario; algunos de los principales temas que se utilizan son los siguientes:

    • Noticias falsas o amarillistas.

En este tipo de correos los intrusos crean una noticia llamativa y, en la mayoría de las ocasiones, utilizan un tema actual y de interés general para la sociedad.

    • Envío de tarjetas postales electrónicas.

En este caso, el intruso enviará un correo invitando al usuario a abrir una postal que supuestamente le ha enviado un amigo.

    • Supuesta obtención de algún premio.

Estos correos intentan engañar al usuario diciéndole que ha sido ganador de algún premio: viaje, dinero en efectivo, autos, etcétera.

    • Supuestos boletines informativos de una institución pública o privada.

Los intrusos que utilizan este tipo de temas invitan al usuario al usuario a descargar un archivo o visitar una página que supuestamente contiene un “boletín” o archivo elaborado por alguna institución reconocida y de confianza para la sociedad.

Ejemplo de un correo electrónico de pharming

El usuario recibe un correo electrónico con el siguiente tema: ¡Has recibido una tarjeta de Gusanito.com! y podría provenir de una dirección aparentemente válida como cards@cards.gusanito.com.

El correo electrónico usualmente contiene un vínculo para que se descargue un archivo ejecutable, el cual realiza la modificación en el archivo “hosts” de tu sistema para redireccionar tu navegador de Internet a páginas Web falsas.

¿Cuál es la diferencia entre phishing y pharming?

Normalmente cuando hablamos de pharming podemos confundirnos con phishing y la razón es que ambas técnicas actuan de la siguiente manera:

  • Un intruso crea un sitio falso para obtener información personal de los usuarios (cuentas de correo, cuentas bancarias, etc.).
  • Creado el sitio, el intruso envía correos a múltiples cuentas de correo
  • El usuario recibe el correo y decide abrirlo convencido de la supuesta veracidad del contenido y descarga y abre el archivo malicioso.
  • Posteriormente cuando el usuario intenta acceder a su sitio de confianza escribiendo la dirección del sitio en su navegador, automáticamente es dirigido al sitio falso creado por el intruso.
  • El usuario abre el correo y convencido de la veracidad del contenido decide descargar y ejecutar el archivo malicioso.
  • Finalmente el intruso podrá utilizar la información obtenida en su beneficio personal.

En el phishing se necesita que cada usuario acceda en la dirección que el estafador te envía directamente para caer en el engaño, mientras en el pharming basta con que el usuario realice una consulta al servidor DNS atacado. Ahora bien, en el Pharming el ataque ocurre cuando se envía el correo electrónico y se concreta cuando el usuario abre su contenido. En el caso de Phishing lo podemos observar cuando el intruso crea el sitio falso y completa su ataque cuando la víctima introduce sus datos personales.

Si deseas conocer más sobre phishing te recomendamos el siguiente documento:

http://www.seguridad.unam.mx/usuario-casero/secciones/phishing.dscs

¿Cómo puedo identificar si he sido víctima de un ataque de pharming?

Si sospechas que has sido víctima de un ataque pharming puedes verificar el contenido del archivo hosts (sin extensión) ubicado en la carpeta:

  • C:Winntsystem32driversetc (en sistemas Windows 2000) ó
  • C:WINDOWSsystem32driversetc (en sistemas Windows XP y Windows Server 2003)

La estructura de un archivo hosts con un contenido normal se muestra a continuación:

Un archivo hosts modificado podría contener información similar a la siguiente:

Como puede observarse, existen distintas direcciones IP agregadas al archivo hosts que redireccionarán a tu navegador de Internet a sitios Web falsos.

¿De qué manera restablezco mi sistema a la normalidad?

Si detectas que fuiste víctima de un ataque tipo pharming una forma de volver a la normalidad tu equipo es modificar manualmente el archivo hosts para que contenga solo las entradas predeterminadas.

Como pudiste observar en la imagen que representa un archivo hosts normal, la única dirección válida debería ser 127.0.0.1 localhost, por lo que deberías eliminar cualquier otra dirección IP que aparezca en el mismo.

Los pasos para realizar la modificación del archivo hosts son los siguientes:

    1. Abre el Explorador de Windows de tú equipo. Ve al menú Inicio, Todos los programas, Accesorios y a continuación haz clic en Explorador de Windows.
    2. Localiza la carpeta C:Winntsystem32driversetc (en Windows 2000) ó C:WINDOWSsystem32driversetc (en Windows XP y Windows Server 2003).

    1. Haz doble clic sobre el archivo hosts y ábrelo con el Bloc de Notas.
    2. Elimina todas las entradas distintas a 127.0.0.1 localhost y a continuación haz clic en el menú Archivo y después en Guardar.

    1. El archivo hosts debe quedar solamente con la entrada 127.0.0.1 localhost, similar al siguiente:

  1. Otra posible solución es copiar el archivo hosts de un equipo del que estés completamente seguro que no ha sufrido ningún ataque al equipo comprometido.

¿Cómo me puedo proteger del pharming?

Para prevenirte de este tipo de ataques te damos las siguientes recomendaciones:

    • No abras correos electrónicos de desconocidos.
    • No proporciones información sensible (usuarios, contraseñas, datos de tarjetas de crédito) por correo electrónico o a través de enlaces a sitios Web contenidos en mensajes de correo electrónico no solicitado.
    • No descargues archivos a través de enlaces contenidos en un correo electrónico no solicitado.
    • Instala y/o actualiza software antivirus y software antispyware.
    • Reporta los correos sospechosos a

phishing at seguridad dot unam dot mx o incidentes at seguridad dot unam dot mx.