¿Qué es el pharming? Cómo funciona, tipos y prevención

Updated on Jun 17, 2026 by Georgii Chanturidze

Los ataques de pharming son muchas veces más peligrosos que los ataques de phishing normales porque pueden ocurrir sin ninguna acción directa por tu parte. Eso los hace mucho más difíciles de detectar. Puedes tener mucho cuidado en Internet, escribir una dirección de confianza en el navegador y, aun así, acabar en una página falsa.

Esta guía te explica cómo funciona el pharming, cuáles son las señales de alarma que debes vigilar y varias formas de protegerte de estos ataques.

¿Qué es el pharming?

El pharming es un ciberataque que te redirige a una página falsa diseñada para robar tu información o para engañarte y conseguir que descargues software malicioso.

Cuando escribes una dirección web como www.google.com, tu dispositivo debe encontrar su dirección IP numérica. Esto lo hace usando el sistema de nombres de dominio (DNS), encargado de traducir los nombres de los sitios web en la dirección correcta para que tu navegador pueda conectarse a la web adecuada.

El ataque de pharming interfiere en este proceso de consulta. En lugar de llegar al sitio web real, es posible que tu navegador abra uno falso aunque hayas escrito la dirección correcta.

Si intentas iniciar sesión o hacer una compra en estas webs fraudulentas, los atacantes pueden robar tu nombre de usuario, contraseña, datos bancarios u otros datos confidenciales. Algunas páginas de pharming también pueden intentar obligarte a hacer descargas maliciosas como, por ejemplo, spyware, keyloggers o ransomware.

Pharming vs. phishing: diferencias clave

El phishing se basa en la ingeniería social y el engaño. Los atacantes suelen suplantar a personas u organizaciones de confianza a través de correos electrónicos, mensajes de texto, llamadas, anuncios o alertas falsas. Su objetivo es engañarte para que pulses en un enlace malicioso, abras un archivo adjunto, descargues malware o compartas información confidencial.

El pharming te dirige a un sitio web falso de forma diferente. Al igual que en el phishing, los atacantes de pharming diseñan sitios web falsos que se parecen a los servicios reales.

La diferencia más importante es que el pharming puede suceder sin que haya ninguna acción directa por tu parte. Los atacantes pueden manipular un servidor DNS, la configuración de tu router o un ajuste de un dispositivo local que controla cómo se accede a los sitios web. Incluso tecleando la URL correcta puedes acabar en una página falsa si el sistema subyacente se ha manipulado.

Tipos de ataques de pharming

Clasificamos los ataques de pharming según cómo se llevan a cabo (vector de ataque) y a qué sistemas afectan (objetivos).

Tipos de pharming según su vector de ataque

Los hackers pueden alterar el comportamiento del sistema de varias formas:

Pharming basado en malware: tiene lugar después de descargar y abrir software malicioso (un virus, troyano o gusano) que modifica la configuración de tu sistema.
Pharming de compromiso remoto: los atacantes obtienen acceso no autorizado a un dispositivo o equipo de red y alteran su configuración.
Intrusión física: el acceso directo a tu dispositivo, router o equipo de red local permite hacer cambios manuales en la configuración.

Tipos de pharming según el objetivo

Estos ataques pueden afectar a tus sistemas locales o a la infraestructura DNS más amplia, que escapa a tu control.

Pharming basado en el host

Este tipo de pharming dirige su ataque a dispositivos o redes locales cambiando el modo en que se gestionan las consultas de dominios.

Manipulación del archivo hosts: modifica el archivo hosts de tu sistema operativo, que es donde se almacenan las asignaciones manuales de dominios a direcciones IP. Cuando tu dispositivo busca un sitio web, consulta este archivo antes de consultar un servidor DNS externo. Si un atacante lo cambia, tu navegador podría abrir un sitio web malicioso en lugar del sitio real.
Ajustes DNS locales: modifica la configuración DNS en tu dispositivo o teléfono, redirigiendo todas las peticiones de búsqueda de dominios a un servidor DNS fraudulento que después te conecta a sitios web de phishing.
Ajustes DNS del router: sustituye la configuración del servidor DNS legítimo de tu router por otra maliciosa que puede afectar a todos los dispositivos conectados a ese router.

Pharming basado en DNS

El objetivo de este ataque es la infraestructura DNS externa, no la de tu red local, lo que hace que sea de alcance más amplio y a menudo más difícil de detectar.

Los servidores DNS que mantienen los ISP y otras organizaciones almacenan temporalmente registros de direcciones IP para acelerar la carga de los sitios web. Así, en lugar de realizar una búsqueda completa cada vez que se solicita una IP, tu dispositivo usa los datos almacenados en caché.

Un método de ataque habitual es el envenenamiento de DNS (o el envenenamiento de la caché de DNS), que es cuando los atacantes corrompen los registros almacenados para que los nombres de dominio legítimos apunten hacia direcciones IP maliciosas.

Los atacantes pueden envenenar los registros DNS de varias formas:

Aprovechando debilidades en el software DNS
Inyectando registros falsos en cachés de DNS
Obteniendo acceso no autorizado a un servidor DNS para cambiar su configuración o sus registros
Manipulando el direccionamiento del protocolo de puerta de enlace fronteriza (BGP) para redirigir el tráfico a través de servidores controlados por el atacante.

Esto puede poner en riesgo a un gran número de usuarios y redirigirlos a sitios web peligrosos en lugar de llevarlos a sitios legítimos.

Ejemplos conocidos de ataques de pharming

A lo largo de los años, los ataques de pharming han afectado a entidades gubernamentales, empresas y usuarios normales.

Ataques de pharming de DNS en Brasil (2011): estos ataques de manipulación de DNS a gran escala tuvieron como objetivo los IPS brasileños y millones de usuarios de Internet¹. Los atacantes manipularon la infraestructura de red para redirigir a los usuarios a servidores maliciosos, exponiéndolos a sitios web fraudulentos y malware.
Hackeo de compra online en Corea del Sur (2014): los usuarios de comercio electrónico fueron víctimas de redireccionamientos basados en DNS que enviaban a los compradores a sitios web falsos². Los hackers recopilaron datos personales de los usuarios que intentaban gestionar sus cuentas o realizar compras.
Ataques de pharming contra routers SOHO en Polonia (2014): los ciberdelincuentes atacaron más de 300.000 routers SOHO y modificaron su configuración de DNS para redirigir a los usuarios de la banca online a sitios web fraudulentos diseñados para robar credenciales de inicio de sesión y otra información financiera confidencial³.
Incidente de secuestro de ruta en MyEtherWallet (2018): los hackers desviaron temporalmente el tráfico destinado a Amazon Route 53 aprovechando las vulnerabilidades del modelo de confianza del BGP mediante un secuestro de rutas⁴. Los delincuentes lograron suplantar MyEtherWallet y redirigir a los usuarios a una versión falsa del sitio web, robando criptomonedas por un valor cercano a los 150.000 dólares.

¿Qué hace que el pharming sea peligroso?

El secretismo y la automatización a gran escala son los rasgos que mejor definen el pharming. La manipulación ocurre al nivel de infraestructura, en lugar de basarse en un enlace o un mensaje obviamente falso. Esto convierte el pharming en mucho más peligroso que otros ciberataques.

Afecta a los usuarios prudentes: probablemente sepas cómo evitar la ingeniería social y aun así puedes ser víctima del pharming, especialmente si un hacker ha modificado un servidor DNS de terceros.
Roba datos a gran escala: un servidor DNS o un router de empresa comprometido puede redirigir a todos los usuarios conectados hacia un sitio web malicioso, dando a los atacantes la posibilidad de hacerse con datos de gran cantidad de personas al mismo tiempo.
Recopila datos a lo largo del tiempo: en un sitio web falso, puedes introducir nombres de usuario, contraseñas, datos de pago o información para la recuperación de cuentas durante mucho tiempo sin notar nada extraño.
Difícil de detectar: el pharming es más difícil de detectar porque probablemente estés visitando una web en la que normalmente confías y el nombre de dominio en el navegador parece correcto. Si no reconoces pronto las señales de alarma, posiblemente descubras el ataque cuando ya es demasiado tarde para limitar los daños.

Cómo detectar que has sido víctima de pharming: señales clave

Hay pequeños detalles que no cuadran y señales de alerta que pueden ayudarte a detectar un ataque de pharming:

Informes del cortafuegos y del antivirus: te alertan de cambios no autorizados de DNS, tráfico sospechoso o visitas a sitios web peligrosos.
Redirecciones extrañas: algo puede ir mal en el proceso de búsqueda del sitio web si acabas en un sitio diferente o si aparece inesperadamente una pantalla de inicio de sesión después de intentar abrir un servicio de confianza.
Falta HTTPS o aparece un candado roto: comprueba si el sitio web usa HTTPS y muestra indicadores válidos de seguridad en la barra de direcciones del navegador. La falta de alertas de seguridad o las advertencias extrañas pueden ser señal de que existe un problema.
Advertencias inesperadas de certificado: si un sitio web que visitas frecuentemente de repente muestra una advertencia sobre un certificado SSL no válido, expirado o que no es de confianza, es posible que hayas llegado a un dominio falso.
El diseño es ligeramente diferente: las páginas falsas suelen copiar bastante fielmente el sitio web real, pero es posible que muestren marcas antiguas, espaciados extraños, iconos borrosos, fuentes raras o que falten menús. Puede serte de ayuda compararlo con el mismo sitio web abierto en otro dispositivo u otra red.
Dirección web modificada: lee cuidadosamente la URL completa y fíjate si tiene letras de más, caracteres cambiados o una puntuación poco corriente, ya que algunos ataques de pharming combinan el redireccionamiento con un dominio que se parece al original.
Peticiones de información: los sitios de pharming pueden mostrar ventanas emergentes o formularios que piden credenciales, datos de ubicación, información personal o derechos de acceso en un dispositivo, como acceso a la cámara o al micrófono.
Dominios duplicados en tu historial del navegador: si sospechas algo, revisa el historial reciente por si hubiera sitios web que inicialmente parecen idénticos, pero aparecen registrados como dominios distintos.
Repetidas peticiones de inicio de sesión: si el sitio web te redirige a una página de inicio de sesión inmediatamente después de haberla iniciado, es posible que el sitio falso te haya robado la contraseña y luego te haya redirigido al servicio auténtico.
Actividad inusual en la cuenta: vigila los avisos de inicio de sesión, los mensajes de restablecimiento de contraseñas o la actividad financiera que no reconozcas. Esto significa que alguien ya te ha robado los datos.

Consejos de ciberseguridad para prevenir los ataques de pharming

No siempre es posible eliminar totalmente los ataques de pharming, especialmente cuando implican el compromiso de servidores DNS o a nivel del ISP. Sin embargo, se puede reducir la exposición siguiendo estos pasos:

Analiza los archivos con un buen antivirus: detecta y elimina malware que edita tu archivo hosts o cambia tu configuración de DNS.
Actualiza tus navegadores y tu sistema operativo: instala las últimas actualizaciones para tu navegador, router, sistema operativo y software de ciberseguridad.
Activa las funciones de seguridad integradas: los navegadores modernos pueden detectar sitios web engañosos, descargas peligrosas y redireccionamientos sospechosos antes de que interactúes con ellos.
Activa la autenticación multifactor (MFA): esto añade un paso de verificación adicional a las contraseñas, ayudándote a proteger tus cuentas en caso de que haya una filtración de datos.
Asegura tu router con una contraseña más robusta: cambia las credenciales predeterminadas de administrador y mantén el firmware actualizado.
Usa un servicio de DNS de confianza: los servicios como Google Public DNS pueden reducir la exposición a respuestas de DNS envenenadas o maliciosas.
Evita los archivos y enlaces desconocidos: aunque estés en un sitio web familiar, evita pulsar en ventanas emergentes inesperadas o abrir archivos ejecutables desconocidos.
Usa una VPN de confianza: los mejores servicios VPN envían tus solicitudes de DNS a través de un túnel cifrado, en lugar de exponerlas a tu red o tu ISP. Esto reduce la posibilidad de que alguien de la red local pueda manipular esas solicitudes.

La VPN Private Internet Access (PIA) incluye DNS por defecto, lo que significa que tus consultas de DNS se dirigen a sus resolvedores de gran seguridad. Esto puede reducir la posibilidad de manipulación y los ataques de redirección a nivel de red.

Preguntas frecuentes

¿Qué es el pharming?

El pharming es un ciberataque que te redirige a una página web fraudulenta cuando intentas abrir una auténtica. El ataque modifica los ajustes de tu dispositivo, la configuración del router o los servidores DNS externos. Estas páginas falsas suelen imitar servicios de confianza y pueden robar tus datos de inicio de sesión o forzar descargas dañinas sin señales de advertencia evidentes.

¿Qué significa pharming en ciberseguridad?

En ciberseguridad, el pharming es un ataque de redireccionamiento oculto que te lleva a una página falsa. Normalmente, tu red usa el sistema de nombres de dominio (DNS) para convertir el nombre de un sitio web como google.com en una dirección IP numérica. Los hackers manipulan tu dispositivo, la red local o los servidores DNS de terceros, tras lo cual pueden redirigirte a un sitio web fraudulento diseñado para robar tu información personal.

¿Qué es un ataque de pharming y cómo funciona?

Un ataque de pharming consiste en corromper los sistemas que traducen los nombres de los sitios web en direcciones IP, redirigiéndote a sitios web peligrosos cuando intentas acceder a sitios legítimos. Los atacantes pueden modificar la configuración de tu dispositivo, tu router o los servidores DNS de tu proveedor de Internet, que son los encargados de conectarte a los servicios y sitios web correctos.

¿En qué se diferencia el pharming del phishing?

El pharming cambia tu dispositivo o la configuración de red para redirigirte a sitios web peligrosos sin tu conocimiento. Por otro lado, los atacantes de phishing intentan suplantar a entidades de confianza mediante mensajes o interacciones personales para engañarte y convencerte de que abras un archivo peligroso o visites un sitio web de phishing.

¿Cuáles son las señales comunes de un ataque de pharming?

Las pequeñas discrepancias pueden ayudarte a detectar el pharming. Cuando visites un sitio web de confianza, presta atención a cualquier cosa extraña, como la ausencia del icono del candado en la barra de direcciones del navegador, advertencias sobre certificados, redireccionamientos anormales, una dirección modificada o un diseño de página borroso. Un sitio web falso también puede solicitar datos personales poco habituales o permisos del dispositivo, o puede redirigirte inmediatamente a una página de inicio de sesión. Presta atención a las alertas del antivirus, a entradas extrañas en el historial del navegador o a avisos raros en tu cuenta.

¿Una VPN o un DNS seguro puede ayudar a reducir el riesgo de pharming?

Sí. Las VPN cifran tu tráfico, poniéndoles las cosas más difíciles a los atacantes que quieren interceptar y manipular tus datos. Algunas, como PIA VPN, también dirigen tus consultas de DNS a través de sus propios servidores seguros, lo que reduce el riesgo de envenenamiento de DNS y otros ataques basados en DNS.
Además, cambiar a un proveedor de DNS seguro, como Google Public DNS o Cloudflare DNS, puede proporcionarte más seguridad que cuando dependes únicamente del servicio de DNS predeterminado de tu ISP.

Referencias