Pharming - Qué es, cómo funciona y cómo protegerte

Víctor Arias Víctor Arias

7 de abril de 2026

Comparativa: que es pharming (difícil de identificar, múltiples objetivos, código malicioso, redirige sin clicar) vs. phishing (fácil de identificar, un objetivo, email, requiere clicar).

Índice

El pharming es una de esas estafas digitales que preocupan de verdad porque no dependen de que el usuario haga clic donde no debe, sino de que el camino hacia la web legítima haya sido manipulado antes de llegar. En este artículo explico qué es, cómo funciona por dentro, en qué se diferencia del phishing y qué señales permiten detectarlo a tiempo. También verás medidas concretas para proteger el router, el navegador y las cuentas que más importan.

Lo esencial del pharming en una frase

  • Redirige al usuario a una web falsa aunque escriba bien la dirección original.
  • Suele apoyarse en la manipulación del DNS o en la infección del dispositivo o del router.
  • Es más silencioso que el phishing porque puede no requerir ningún clic previo.
  • Las pistas más útiles son redirecciones raras, avisos de certificado y cambios inesperados en la URL.
  • La defensa real pasa por actualizar el router, vigilar el DNS, usar HTTPS y activar doble factor.

Qué es el pharming y por qué resulta tan difícil de detectar

Yo lo resumiría así: el pharming es un ataque que secuestra la ruta entre el usuario y el sitio web que quiere visitar. INCIBE lo describe como una técnica que altera la resolución DNS para hacer que una dirección legítima termine apuntando a una web falsa, normalmente diseñada para robar credenciales o datos bancarios. La parte delicada es que la víctima puede escribir bien la URL y, aun así, acabar en el lugar equivocado.

Por eso se considera una evolución especialmente incómoda del phishing. En el phishing clásico el engaño suele empezar con un correo, un SMS o un mensaje que empuja al usuario a hacer algo. Aquí el fraude se mete antes, en la infraestructura o en el dispositivo, y la redirección ocurre casi sin fricción visible. Esa diferencia cambia por completo la forma de detectarlo y de defenderse.

La clave práctica está en entender que el problema no siempre está en la pantalla, sino en lo que pasa debajo de la pantalla. Y eso nos lleva a cómo se produce el desvío real hacia la web falsa.

Diagrama explica que es pharming: el usuario se conecta, sufre envenenamiento de caché DNS o malware, y es redirigido a web falsa para robar credenciales.

Cómo se produce el desvío hacia una web falsa

En la práctica, el atacante suele apoyarse en dos caminos técnicos. El primero es comprometer el propio equipo o el router de la víctima. El segundo es alterar la resolución DNS de forma más amplia, para que muchos usuarios terminen en la web fraudulenta sin saberlo. El efecto final es el mismo: el navegador resuelve una dirección correcta hacia una IP maliciosa.
Método Qué toca el atacante Qué nota el usuario Riesgo principal
Archivo hosts o configuración local El equipo de la víctima La URL parece correcta, pero abre otra web Afecta a un solo dispositivo y puede pasar desapercibido mucho tiempo
Envenenamiento de DNS La caché o un servidor DNS Varios usuarios acaban en la página falsa Escala rápido y puede afectar a redes enteras
Compromiso del router La configuración DNS del router Todo lo que navega por esa red puede redirigirse Es persistente y afecta a todos los dispositivos conectados

El caso del router merece atención porque en muchas casas sigue siendo el punto más débil de la red. Si el panel de administración conserva la contraseña por defecto, si el firmware está desactualizado o si el dispositivo admite cambios remotos mal protegidos, el atacante tiene una puerta mucho más cómoda de lo que parece. A partir de ahí, la redirección ya no depende de engañar a una persona, sino de controlar la infraestructura que esa persona usa cada día.

Con esto en mente, merece la pena separar el pharming de otras estafas parecidas, porque no todos los ataques se comportan igual ni se detectan igual.

Pharming y phishing no son lo mismo

Aunque muchas personas los meten en el mismo saco, yo no los trataría como sinónimos. El phishing busca convencer al usuario para que entregue datos; el pharming intenta que el usuario llegue por sí mismo a una copia falsa de la web legítima. En otras palabras, uno trabaja sobre el mensaje y el otro sobre la ruta.

Aspecto Phishing Pharming
Punto de entrada Correo, SMS, mensajería o anuncio falso DNS, router, dispositivo o resolución de nombres
Dependencia del clic Alta: suele necesitar que el usuario pulse un enlace Baja: puede redirigir incluso sin interacción previa
Señal visible Mensaje sospechoso, urgencia, suplantación Redirección silenciosa o página idéntica a la original
Qué roba Credenciales, tarjetas, códigos o acceso a cuentas Los mismos datos, pero con un desvío más difícil de advertir

Kaspersky lo explica bien cuando señala que, en un caso de pharming, escribir manualmente la URL no garantiza llegar al sitio correcto si la resolución DNS ya ha sido comprometida. Esa es la diferencia que más confunde a los usuarios: creen que “no han pinchado en nada raro”, pero el desvío se ha producido igualmente.

La lección práctica es clara: la seguridad no depende solo de evitar enlaces sospechosos. También depende de vigilar la infraestructura que traduce nombres de dominio en direcciones IP. Y esa vigilancia empieza por reconocer las señales de alerta.

Señales de alarma que no conviene pasar por alto

El pharming puede ser muy discreto, pero no siempre es invisible. Hay varios detalles que me hacen levantar la ceja enseguida cuando reviso un caso sospechoso. Ninguno por sí solo prueba el ataque, pero juntos dibujan un patrón bastante útil.

  • Redirecciones extrañas: escribes una dirección conocida y terminas en otra web o en una pantalla de login inesperada.
  • URL con pequeños cambios: una letra añadida, un dominio raro o una variación que pasa demasiado deprisa para detectarla.
  • Avisos de HTTPS o certificado: el candado desaparece, el navegador alerta o el certificado no coincide con el sitio esperado.
  • Comportamiento raro del router: el acceso a ciertas webs falla, cambia el DNS sin tu intervención o la configuración reaparece alterada.
  • Inicios de sesión inusuales: la misma cuenta pide credenciales una y otra vez o aparecen sesiones que no reconoces.

Hay un matiz importante: en muchos casos la víctima no ve nada raro hasta que ya ha introducido datos. Por eso yo no me fiaría solo de “si se ve bien, entonces es seguro”. La ausencia de una alerta visible no demuestra nada si la red ya ha sido manipulada.

Con eso claro, la pregunta útil deja de ser “¿cómo lo reconozco?” y pasa a ser “¿qué puedo hacer para dificultarlo de verdad?”.

Cómo protegerte sin complicarte la vida

La defensa más eficaz contra el pharming no es una sola herramienta milagrosa, sino una serie de hábitos sencillos que cierran las vías más habituales del ataque. Yo empezaría por lo que más suele fallar: el router, el DNS y la higiene de autenticación.

  1. Actualiza el firmware del router. Si el fabricante ofrece una versión nueva, aplícala. Muchos ataques aprovechan equipos que llevan demasiado tiempo sin mantenimiento.
  2. Cambia la contraseña por defecto del panel de administración. Una clave débil en el router es una invitación directa a la manipulación de DNS.
  3. Desactiva la administración remota si no la necesitas. Cuantas menos puertas expuestas tenga el router, mejor.
  4. Usa DNS de confianza y, si tu equipo o proveedor lo permite, activa DNS over TLS o DNS over HTTPS. No lo resuelve todo, pero añade una capa útil frente a la manipulación en tránsito.
  5. Comprueba el HTTPS y el certificado. Si una web bancaria o de correo pierde el candado o el navegador lanza una advertencia, yo cerraría la pestaña de inmediato.
  6. Activa doble factor en banca, correo y cuentas críticas. Aunque el atacante robe una contraseña, todavía tendrá una barrera adicional.
  7. Mantén navegador, sistema y antivirus al día. Muchas infecciones que sirven de puerta de entrada llegan por software desactualizado.

Si administras un sitio o un dominio, hay un extra que no deberías ignorar: DNSSEC. Esta capa ayuda a validar la autenticidad de los datos DNS y reduce el margen para ciertos tipos de suplantación. No sustituye la seguridad del registrador, ni la MFA, ni una buena vigilancia de cambios, pero sí añade una barrera muy razonable para entornos donde el dominio importa de verdad.

Cuando el phishing intenta convencerte, la mejor defensa es desconfiar del mensaje; cuando el pharming intenta cambiarte la ruta, la defensa es asegurar el camino. Esa diferencia, en la práctica, cambia por completo la respuesta.

Qué haría de inmediato si sospecho que ya ha ocurrido

Si noto una redirección rara o una web que no termina de cuadrar, yo actuaría en este orden:

  • Dejaría de introducir credenciales en ese dispositivo o red hasta comprobar qué está pasando.
  • Cambiaría la contraseña de las cuentas afectadas desde un dispositivo limpio y, si es posible, desde otra red.
  • Revisaría el router: DNS configurado, contraseña de administración, firmware y posibles cambios no autorizados.
  • Pasaría un escaneo antimalware al equipo que haya mostrado el comportamiento extraño.
  • Cerraría sesiones activas en correo, banca y servicios críticos para expulsar accesos desconocidos.
  • Contactaría con el banco si he introducido credenciales financieras o datos de tarjeta.

Hay un detalle que suele pasarse por alto: si el problema está en el router o en el DNS, cambiar solo la contraseña de una cuenta no basta. Mientras la ruta siga comprometida, puedes volver a caer en la misma trampa aunque la clave sea nueva. Por eso conviene limpiar primero el entorno y no solo la cuenta.

Si sospechas que el ataque afecta a más de un equipo o a toda la red, merece la pena desconectar temporalmente el router, restaurarlo a valores seguros y volver a configurarlo con calma. Es menos cómodo, pero suele ser mucho más eficaz que ir parcheando síntomas.

El punto débil que más conviene blindar antes de que llegue el ataque

Si tuviera que elegir una prioridad realista, pondría el foco en el router y en la autenticación de las cuentas críticas. El router porque puede desviar el tráfico de toda la casa o de toda la oficina; la autenticación porque es la última barrera cuando alguien ya ha conseguido llevarte a una web falsa. Esa combinación corta gran parte del daño potencial.

También vigilaría dos hábitos que casi nadie revisa hasta que hay un problema: el panel de DNS del router y las alertas del navegador. Uno suele ser el terreno de juego del atacante; el otro, la última pista visible para el usuario. Si ambos están bajo control, el pharming pierde mucha eficacia.

En resumen práctico, el pharming no intenta convencerte con un mensaje llamativo, sino mover la carretera debajo de tus pies. Por eso la defensa más sensata es proteger el router, validar el DNS, exigir HTTPS y usar doble factor donde de verdad importa.

Preguntas frecuentes

El pharming es un ciberataque que redirige a los usuarios a sitios web falsos, incluso si escriben la dirección correcta. Manipula la resolución DNS o infecta dispositivos/routers para robar credenciales o datos bancarios sin que la víctima haga clic en enlaces sospechosos.

El phishing busca engañar al usuario para que haga clic en un enlace malicioso o entregue datos. El pharming, en cambio, secuestra la ruta de navegación, llevando al usuario a una web falsa sin necesidad de interacción previa. Uno se centra en el mensaje, el otro en la infraestructura.

Busca redirecciones extrañas, pequeños cambios en la URL, avisos de certificado HTTPS o la ausencia del candado de seguridad. También, un comportamiento inusual del router o solicitudes repetidas de inicio de sesión pueden ser señales de alerta.

Actualiza el firmware de tu router, cambia su contraseña por defecto y desactiva la administración remota. Usa DNS de confianza (como DNS over TLS/HTTPS), verifica siempre el HTTPS y el certificado de los sitios, activa la autenticación de doble factor y mantén tu software actualizado.

Deja de introducir credenciales, cambia las contraseñas de las cuentas afectadas desde un dispositivo limpio y otra red. Revisa la configuración de tu router, realiza un escaneo antimalware y cierra todas las sesiones activas. Si introdujiste datos financieros, contacta a tu banco inmediatamente.

Calificar artículo

Calificación: 0.00 Número de votos: 0

Etiquetas:

que es pharming pharming qué es cómo funciona el pharming diferencias entre pharming y phishing

Compartir artículo
Víctor Arias

Víctor Arias

Soy Víctor Arias, un apasionado de la ciberseguridad, la privacidad y el hacking ético. Durante más de diez años, he estado inmerso en el análisis de tendencias y tecnologías en el ámbito de la seguridad informática, lo que me ha permitido desarrollar un conocimiento profundo sobre las amenazas actuales y las mejores prácticas para proteger la información personal y empresarial. Mi enfoque se centra en desmitificar conceptos complejos y ofrecer análisis objetivos que ayuden a los lectores a comprender mejor los desafíos que enfrentan en el mundo digital. A través de mi trabajo como editor especializado, me esfuerzo por presentar información precisa y actualizada, garantizando que los temas tratados sean accesibles y relevantes para todos, desde principiantes hasta expertos del sector. Mi misión es fomentar una cultura de seguridad y privacidad, proporcionando contenido que no solo informe, sino que también empodere a los lectores para que tomen decisiones informadas sobre su seguridad en línea. Estoy comprometido con la integridad y la veracidad en cada artículo que escribo, buscando siempre ser una fuente confiable de información en el emocionante y dinámico campo de la ciberseguridad.

Escribe un comentario