Descargar

Spam en el correo electrónico (página 2)


Partes: 1, 2, 3

OBJETIVOS

Objetivo General

Presentar un comparativo entre los diferentes protocolos utilizados actualmente para el manejo de spam.

Objetivos Específicos

  • Investigar y estudiar las diferentes técnicas de spam que se han desarrollado, enfatizando en su forma de operar y atacar los sistemas.
  • Consultar los adelantos e innovaciones en el tema que se han hecho hasta el momento al interior de institutos y entidades competentes tales como son la IEEE, ACM, OCDE, entre otras.
  • Conocer el funcionamiento de los programas que se han diseñado para la detección de correo basura.
  • Establecer las principales características y diferencias entre algunas de las diversas herramientas que han sido diseñadas en los últimos años para solucionar el problema del spam.
  • Investigar y estudiar los fundamentos de las diferentes acciones legales que se están tomando en diferentes países para atacar el problema.
  • Identificar cuales son aquellos puntos donde los spammers logran que sus ataques sean exitosos, para así poder detectar los aspectos en los que estamos fallando los usuarios y generar recomendaciones y sugerir buenas prácticas para evitar en la medida de lo posible ser víctimas del spam y enfrentar el problema.
  • Determinar cuales son las consecuencias más significativas que surgen a raíz del problema y que impactan negativamente tanto a las empresas como usuarios comunes y corrientes.

MARCO TEÓRICO

¿Qué es spam?

Existen dos definiciones, que han sido las más aceptadas, de lo que es el spam. La primera de ellas, dice que se trata de correos electrónicos comerciales no solicitados (unsolicited comercial e-mail – UCE) y la segunda, dice que se trata de correos electrónicos masivos no solicitados (unsolicited bulk email – UBE). Lo que es evidente es que lo que resulta común en las dos definiciones es que se trata de correo electrónico no solicitado.

Teniendo en cuenta lo anterior, podemos concluir entonces que spam son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. Aunque se puede hacer a través de distintos medios, el más utilizado actualmente, y el que más controversia ha creado es el correo electrónico. Entre otras tecnologías de Internet que han sido objeto de spam se encuentran los grupos de noticias, los motores de búsqueda, wikis, foros y blogs.

Modalidades de spam

Como mencionamos antes, el spam es un fenómeno que nos afecta desde hace muchos años, pues se trata de un problema que se presenta no sólo por correo electrónico, sino también por aparatos electrónicos de comunicación que llevan muchos años de uso como son el teléfono y el fax. Mostramos a continuación algunas modalidades de spam diferentes a las utilizadas por medio del correo electrónico e Internet:

Spam por mensajería instantánea (Spim)

Esta modalidad utiliza sistemas de mensajería instantánea tales como ICQ, Messenger, Skype, entre otros. En los directorios de usuarios, se recopila información tal como país, edad, sexo y en muchas ocasiones hasta preferencias. Posteriormente, conociendo la información específica que les interesa a los spammers e identificando así el conjunto de personas objetivo, utilizan programas sencillos y los nombres de los usuarios para enviar spam.

Salas de Chat (Canales IRC – Internet Relay Chat)

Esta modalidad consiste en utilizar programas robot (Bots), que se conectan a los canales o salas de Chat y bombardean con mensajes publicitarios u otra información no solicitada, y en muchos casos incómoda, a los usuarios de éstos sitios.

Servicio de Mensajería de Windows

Se trata de una utilidad Server Message Block que permite a los servidores enviar alertas, mediante ventanas emergentes (pop-up) a las estaciones de trabajo de Windows. Cuando un sistema Windows se conecta a Internet con este servicio iniciado y sin un firewall o sistema de protección adecuado, éste puede ser utilizado para enviar spam.

Spam en grupos de noticias

Este tipo de spam surgió antes que el spam por correo electrónico, y apunta a grupos de noticias Usenet. La convención de Usenet define al spam como publicación excesiva de múltiples mensajes, es decir, la publicación repetida de un mensaje (o mensajes sustancialmente similares). Debido a que publicar mensajes en grupos de noticias es casi tan simple como enviar correos electrónicos, los grupos de noticias son un objetivo popular y bastante atractivo para los spammers.

Spam en foros

Este tipo de spam es cuando un usuario publica en un foro algo que no tiene nada que ver con el tema de conversación. Generalmente, un mensaje que no contribuye en nada al tema del foro es considerado spam. También se considera spam cuando una persona publica repetidamente mensajes sobre un tema en una forma indeseable y molesta para la mayor parte de los participantes en el foro. Existe también el caso en que una persona publica mensajes indiscriminadamente únicamente con el fin de incrementar su rango, nivel o número de mensajes en el foro y de ésta forma "garantizar" que su mensaje será visto por los demás.

Spam por celular (telefonía móvil)

El spam por telefonía móvil se da básicamente a través del servicio de mensajes de texto cortos (SMS) o mensajes multimedia (MMS). Esto puede resultar especialmente irritante para los usuarios no sólo por la molestia de recibir y leer mensajes que no son de relevante importancia para ellos, sino también porque la mayoría de las veces deben pagar para recibir éstos mensajes de texto que al final no le sirven para nada.

Spam por telefonía IP

Se espera que las comunicaciones de voz sobre IP (VoIP) sean vulnerables al spam por mensajes pregrabados. En la actualidad, se han reportado muy pocos casos por lo reciente de éste tipo de telefonía, sin embargo ya se venden defensas contra ello.

Spam en mensajería de juegos en línea

Existen juegos en línea que permiten a los jugadores enviarse mensajes entre ellos (peer-to-peer). Jugadores inescrupulosos envían mensajes para promover "ciertos" sitios Web o para difundir información indiscriminadamente.

Spam por ventanas emergentes (Pop ups)

Se trata de enviar un mensaje que emerge cuando se establece la conexión a Internet. Aparece en forma de una ventana de diálogo y advertencia del sistema Windows. Su contenido puede ser variable, pero generalmente se trata de un mensaje de carácter publicitario.

También se presenta spam en sistemas como el fax y el teléfono tradicional, en sistemas automáticos de envió y de llamadas, puerta a puerta, a través de folletos, promociones que día a día nos hacen llegar. Adicionalmente, se puede percibir la aparición de éste fenómeno en motores de búsqueda, en wikis y blogs.

¿Por qué se llama spam?

La palabra tiene raíces estadounidenses con unas particulares derivaciones socio-culturales. En este aparte queremos hacer referencia a un poco de historia para mostrar el origen y cronología del término spam. Es importante además, referenciar el por qué del término y su significado como tal. Cabe anotar que las fechas citadas son una aproximación que se hace, tomando como referencia varias citas de algunas fuentes que se estudiaron y se analizaron:

1937: La Empresa Hormel Foods lanza un tipo de carne en lata llamada Hormel´s Spiced Ham. El éxito llevo a convertirla en una marca genérica "SPAM". Durante la Segunda Guerra Mundial fue usada para alimentar las tropas militares (soviéticas y británicas)

1957: a partir de esta fecha aproximadamente, el "SPAM" se comercializaba en todo el mundo. En los años 60 se hace más popular por su sistema de apertura rápida (no requiere abrelatas)

1969: Los Monty Pitón, un grupo humorístico Británico, presentaba en un espectáculo una escena que se trataba de un grupo de hambrientos vikingos atendidos por camareras que les ofrecían "huevos, panceta, salchichas, pan, SPAM". La escena acababa con los Vikingos cantando a coro "SPAM, Rico SPAM, Maravilloso SPAM …"

Se cree que el primer correo electrónico spam, pudo haber sido aquel que en 1978 envió un vendedor de la Digital Equipment Corporation para anunciar la inauguración de unas sucursales de la compañía.

1994: Los abogados Laurence Canter y Martha Siegel de Phoenix publican un mensaje anunciando su firma, la cual un día después de su publicación, facturo USD 10.000. Este mensaje publicitario inundó los grupos de noticias de la red y provocó diversas reacciones entre los usuarios. Uno de ellos escribió: "Láncele cocos y latas de SPAM a Canter y compañía".

Se pasó entonces a denominar spam al correo basura que ninguno deseamos recibir, haciendo un símil con esa carne. La carne aparecía en todos los platos sin quererla, igual que los correos que aparecen en nuestros buzones sin solicitarlos. Nadie quería la carne y siempre se retiraba del plato, al igual que los correos spam, que lo primero que hacemos es borrarlo. la carne pocas veces tenía buen sabor y eran pocos a los que les agradaba consumirla, al igual que sucede con el correo basura, que en muy pocas ocasiones tiene algo de contenido interesante para la persona que lo recibe.

Se puede concluir entonces que en 1994 aproximadamente, se utilizo el término "spam" para calificar esa molestia global.

Contenido de los correos spam

Se han encontrado innumerables mensajes basura, con gran diversidad de factores que los caracterizan y los categorizan como correo spam en las redes de comunicaciones y en nuestros buzones, y se ha logrado identificar un conjunto de características y contenidos que son comunes en este tipo de mensajes. A continuación mostramos algunos de los temas más comunes que vienen en el contenido de estos mensajes:

  • Información sobre negocios piramidales para conseguir dinero de forma supuestamente fácil y rápida.
  • Cadenas de cartas y mensajes del tipo, reenvía esta carta a 10 personas y tendrás una vida mejor.
  • Enlaces a páginas Web pornográficas o líneas eróticas.
  • Remedios milagrosos de cualquier tipo.
  • Personas, generalmente niños (que son los que mas fácil nos conmueven el corazón) muy enfermos, los cuales podemos salvar enviando el correo que nos llega con la información a todos nuestros contactos y conocidos.
  • Falsos virus.
  • En pocas ocasiones contienen virus reales.

Todo lo anterior es clasificado como spam, es decir correo basura, correo que no hemos solicitado en ningún momento y que la persona que lo envía no tiene "permiso" ni autorización y/o consentimiento para enviarnos esta información. Lo que finalmente buscan con esto, es que el reenviar el mensaje una y otra vez, se recopilen gran cantidad de direcciones electrónicas de nuestros contactos y así también, las de los contactos de nuestros contactos.

A continuación presentamos un cuadro donde se muestran algunas maneras de engañar al destinatario a través del correo, que finalmente termina convirtiéndose en víctima del fenómeno spam:

¿Cómo lo hacen?

¿Qué buscan con el spam?

¿Quién es el que se beneficia?

Motivando e incitando al comprador con descuentos, promociones y otros beneficios

Vender sus productos y/o servicios

Empresa de e-marketing (generalmente falsa)

  • Remedios milagrosos.
  • Enfermos que se "salvarán" si se reenvía el correo
  • Falsos Virus y Antivirus
  • Virus y gusanos
  • Software Ilegal muy barato
  • Enlaces a Pornografía Gratis

Conseguir nuevas direcciones electrónicas para la creación de bases de datos.

Los spammers

  • Supuestos negocios piramidales
  • Hacer parte de una estafa o lavado de dinero (caso Nigeria 419. ver más adelante)

Negocios fraudulentos

El estafador

Falso requerimiento para actualizar información

Robo de identidad

El estafador

E-mail Marketing

Una de las soluciones publicitarias vía Internet, es el uso de listas de correo para enviar publicidad y ofrecer productos y servicios a las personas. Es evidente que cada día los usuarios en la red mundial de información hacen un mayor y mejor uso de sus correos electrónicos, lo que genera ventajas competitivas para quienes logran utilizar dicho medio para generar ventas.

La alternativa de utilizar el e-mail marketing, resulta entonces un instrumento que debe ser utilizado con cierto cuidado y precaución para no ser catalogado erróneamente como spammer. A continuación se enumeran algunos elementos para tener en cuenta a la hora de realizar campañas de e-marketing buscando resultados exitosos:

  • La intensidad de los correos debe ser adecuada, en el sentido de que si se está desarrollando una campaña publicitaria, los correos se deben enviar con una frecuencia pausada. Es útil enviar los correos con cierta regularidad pero sin pretender llenar las bandejas de entrada de los usuarios.
  • No sacrificar la imagen de su empresa por pensar en generar ventas fácilmente, este punto es fundamental, los correos que se envían, deben ser acordes con la calidad del mercado objetivo e imagen de marca que se desea proyectar.
  • Ser focalizado y oportuno, se debe manejar adecuadamente el tiempo al enviar los correos, buscar oportunidad y tratar de adelantarse a los acontecimientos. 
  • Generar exclusividad. Los correos deben generar algún sentido de pertenencia o exclusividad en los usuarios.
  • Cuidar el lenguaje para generar confianza, se debe mantener un lenguaje correcto al desarrollar campañas y pensar siempre en la sencillez y claridad del mensaje.
  • No extenderse demasiado en los mensajes, ni tampoco ser demasiado breve. Explicar adecuadamente a través de la campaña los productos o servicios ofrecidos.
  • Procurar que el comprador entre en un proceso de venta, ofrecer información más detallada, ofrecer links en donde pueda encontrar algún tipo de beneficio adicional, generar interactividad.
  • Se debe hacer una presentación adecuada, pues el consumidor debe saber exactamente quien envío el mensaje, por qué lo envío, que se le ofrece y cómo contactar a la persona responsable. Preséntese si es posible, firme o deje clara la marca que representa
  • Adicionalmente.
  • Ser ágil, dinámico y sobre todo atento con las sugerencias o quejas de los clientes, y si estos no desean continuar recibiendo la publicidad, ser diligente y cumplir con su eliminación de las listas.

Utilizar el e-mail como herramienta de apoyo publicitario puede presentar grandes ventajas y beneficios si es utilizado correctamente y con cuidado de no ir a incurrir en envío de spam. Entre los principales beneficios podemos enumerar:

  • Ahorro: Enviar un correo electrónico actualmente resulta económico. Además, generar bases de datos de usuarios propias es cada día más sencillo.
  • Velocidad: Se generan ventajas en términos de velocidad e interactividad, ya que se necesitan menores tiempo para hacer llegar la información a los usuarios, llegar frecuentemente a los usuarios (repetir e insistir) y ejecutar ventas.
  • Personalización: La tecnología cada día permite llegar a los usuarios de manera más personalizada, recogiendo los gustos, creencias y aficiones de los usuarios, generando comunicación directa y efectiva.
  • Medición de resultados: Una de las ventajas importantes de esta técnica consiste en la capacidad de medir la efectividad de los mensajes enviados, lo que ayuda en el desarrollo y mejoramiento de las estrategias de ventas.
  • Capacidad de comunicación global: Se puede llegar a hacer contacto con personas de todo el mundo.

Para aquellos casos donde la publicidad a través de Internet es la única o por lo menos la alternativa mas viable, se recomienda utilizar el marketing en lugar del spam. De ésta manera es posible utilizar un método que permita observar y analizar la navegación del usuario, obtener datos relevantes para configurar su perfil de cliente y generar estadísticas para la toma de decisiones estratégicas concretas, para determinar, así, a quien deben ir dirigidos los mensajes. El objetivo es lograr interacciones altamente personalizadas donde el cliente reciba única y exclusivamente la información que le es relevante, la oferta de productos y servicios que él espera o que se tiene certeza de que él analizará, y las promociones que según el análisis de la información se puede intuir que llamarán su atención.

La principal diferencia entre el E-mail marketing y el spam radica en el buen uso de la base de datos de direcciones de los clientes, pues estos en algún momento desearon la información y además se tienen implementadas herramientas donde se posibilite la terminación del servicio de envió de correo por parte del cliente.

Consecuencias del spam

Se han identificado algunos efectos negativos y problemas que son generados por el fenómeno del spam:

  • Inunda los buzones de correo, saturando la capacidad máxima de los mismos y por lo tanto, provocando la pérdida de correo deseado y útil.
  • Reduce la efectividad del correo al ser molesto u ofensivo para el receptor.
  • Afecta los recursos de los servidores ya que procesar spam hace lento el procesamiento del correo normal y otros procesos.
  • Afecta al ancho de banda congestionando las infraestructuras de comunicaciones utilizadas para el servicio del correo electrónico y la conexión a Internet en general.
  • Afecta el tiempo empleado por los usuarios en leer, borrar, denunciar, filtrar etc. y también el tiempo de los responsables de la gestión de los servidores de correo.
  • Afecta la imagen de la Empresa que distribuye el spam.
  • Son los afectados y las víctimas los que en últimas terminan pagando los costos y recibiendo todo el impacto negativo del spam.
  • Causa pérdida de confianza en el servicio de correo electrónico.
  • Amenaza la viabilidad del Internet como un medio efectivo de comunicación, comercio electrónico y productividad para las empresas.
  • Puede dañar la imagen de terceros, pues puede ser utilizado para el envió de spam con direcciones falsificadas y éste no estarse dando cuenta.
  • Puede llegar a dañar la infraestructura informática, por un uso inútil de la banda ancha, la denegación de servicio por saturación o la transmisión de virus y gusanos.
  • Afecta la productividad empresarial.
  • Genera importantes costos a las empresas e ISPs.
  • Se ha transformado en un medio para la comisión de delitos tales como el fraude, la pornografía infantil, entre otros.
  • Incremento de la propagación de virus informáticos.

Opt-in y Opt-out

Hay dos opciones que se le presentan a una persona a la hora de ser incorporado a una lista de distribución de correo electrónico, Opt-in y Opt-out; veamos a grandes rasgos en que consiste cada una de ellas:

Opt-In

Consiste en la inscripción voluntaria en una lista de distribución después de ser invitado a hacer parte de ésta. Es además la acción de notificarle a una empresa u organización que se desea recibir vía e-mail la información que vayan generando. Sin embargo, debe ofrecer la opción de darse de baja. Cabe aclarar que si el invitado no toma la acción correspondiente, es decir, no acepta la invitación, no debe ser incluido en la lista.

Algunas listas manejan el esquema de doble opt-in, es decir, que a pesar de haberse suscrito directamente (no por invitación de la lista sino a través, por ejemplo de un formulario de suscripción en la Web), debe adicionalmente confirmar esta suscripción respondiendo un mensaje de correo codificado que recibirá en su buzón.

En este caso, es posible decir que no se está hablando de spam propiamente dicho, pues no se trata de correo no solicitado. Se trata, entonces, de una forma completamente legal de marketing comercial, ya que se pide previa autorización al usuario.

Opt-out

Literalmente, este término significa "dejar de participar". Este concepto consiste esencialmente en la baja voluntaria de una lista de distribución. En otras palabras, luego de que al invitado se le informa que ha sido adicionado a la lista de distribución, y que recibirá a partir de la próxima entrega, los mensajes de la lista, éste tiene la opción se cancelar la suscripción a esta lista desde el momento que recibe el anuncio, en caso que no desee la suscripción.

Phishing y el robo de identidad

El phishing es un tipo de spam cada vez más frecuente que conduce al robo de datos personales como números de tarjetas de crédito o contraseñas de bancos por ejemplo, todo esto por medio del envío de mensajes falsificados que parecen proceder de una organización acreditada, como bancos, empresas que ofrecen tarjetas de crédito o proveedores de servicios de Internet. En definitiva, cualquier página Web que requiera que el usuario tenga una identidad personal o cuenta de usuario para registrarse puede ser objeto de este tipo de ataque. Es probable que en el mensaje se le pida responder con sus datos de cuenta para la "actualización de seguridad" o por otra razón, y el usuario no tenga la debida precaución cayendo así en la trampa.

Con esta modalidad, se hacen estragos a todo lo largo y ancho del planeta. Son cada día más habituales distintos informes y estudios para tratar de explicar el fenómeno y analizar sus causas de éxito, en un intento de atajar la frenética actividad del crimen organizado en este campo.

Evitar ser victima del Phishing

Las siguientes son algunas recomendaciones que pueden ayudar para evitar ser víctima del phising:

  • No responder nunca a mensajes que solicitan información financiera personal: Los delincuentes suelen incluir mensajes falsos pero que llaman la atención como por ejemplo: "urgente – sus datos de cuenta pueden haber sido robados" con el fin de obtener una reacción inmediata. Las empresas acreditadas no solicitan a sus usuarios contraseñas y datos de cuenta a través del correo.
  • Visitar las páginas Web de los bancos escribiendo la dirección en el navegador: Los timadores a menudo usan una dirección similar a la legítima de alguna entidad. Si cree que un mensaje de algún banco o empresa en línea es falso, no se debe hacer clic en ninguno de los enlaces que contiene.
  • Comprobar regularmente las cuentas bancarias: En la página Web de su banco en línea, comprobar con regularidad su cuenta bancaria. Si se nota cualquier operación sospechosa, notificarlo al banco.
  • Asegurarse de que la página Web que visita es segura: Antes de dar los datos bancarios o cualquier otra información de este tipo, puede resultar útil comprobar la dirección en el navegador así, si la Web que está visitando se encuentra en un servidor seguro debe empezar con "https://" ("s" de seguridad) en vez de la habitual "http://". También puede verificar la seguridad del sitio a través de la barra de estado del navegador con la presencia de un icono en forma de candado.
  • Ser precavido con los mensajes y datos personales: no dar nunca a conocer los números PIN o contraseñas, no anotarlos y no usar la misma contraseña para todas las cuentas online.
  • Mantener el ordenador seguro: Algunos mensajes de pishing u otro spam pueden contener programas que monitorizan las preferencias del usuario en Internet (spyware) o abren una "puerta trasera" que permite a hackers acceder a su computador (troyanos). Es importante contar con software antivirus y antispam.
  • Notificar siempre cualquier actividad sospechosa: Si recibe un mensaje y cree que no es auténtico, envíelo a la organización cuya Web ha sido falsificada (muchas empresas disponen de una dirección de correo específica para notificar este tipo de engaño).

Caso Nigeria 419

El fraude nigeriano, se convirtió indudablemente en un tipo de spam, (conocido como el 419, por el número del artículo que viola del código penal de Nigeria, y también se debe su nombre a que buena parte del spam conteniendo este tipo de ofertas fraudulentas proviene de Nigeria). Se trata de un fraude en el que el estafador busca obtener dinero de la víctima en concepto de adelanto a cuenta de una supuesta fortuna que le ha prometido, y que consiste generalmente en una porción de una supuesta millonaria herencia, de una cuenta bancaria abandonada, de un contrato de obra pública o simplemente de una gigantesca fortuna que alguien desea donar generosamente antes de morir. Existen muchos otros argumentos y variantes, pero todos ellos tienen en común la promesa de hacer parte de una gran fortuna, en realidad inexistente, y los diversos trucos para que la víctima pague una suma por adelantado como condición para acceder a tal fortuna.

Este fraude tiene su principal foco de éxito en la utilización de la técnica de spam, para llegar a sus víctimas, pues ésta recibe un mensaje como por ejemplo, "soy una persona muy rica que reside en Nigeria y necesito trasladar una suma importante al extranjero con discreción, ¿sería posible utilizar su cuenta bancaria?". Las sumas que proponen con considerablemente altas y bastantes tentativas, pues se promete entregar un porcentaje atractivo a quien se envía la propuesta.

Este fraude está principalmente organizado con gran auge en países como Nigeria, Benin y Sudáfrica, en general con supuestas oficinas y sitios generalmente fraudulentos en Internet. A menudo, los estafadores advierten a las víctimas que deben viajar a sus países de residencia, generalmente en Asia, para cobrar su dinero, para lo cual antes deben pagar una elevada suma de dinero.

Posteriormente cuando la persona cae en la trampa, los estafadores envían algunos documentos aparentemente legítimos porque cuentan con sellos y firmas aparentemente originales. Luego se le pide que envíe dinero para cubrir gastos de envío y otros gastos generados o que viaje a lugares relativamente lejos para poder hacerle entrega del dinero personalmente. Finalmente, al ver que el tiempo pasa sin resultados satisfactorios para el estafado, el estafador empieza a dar excusas y sacar pretextos con razones inexistentes para eximirse de toda responsabilidad pero asegurando de todas formas la entrega del dinero. En cualquier caso, la transferencia nunca llega, pues los millones jamás han existido.

Entre las infinitas variantes de los argumentos de este tipo de fraudes cabe destacar, por su difusión, tres fraudes comunes. La primera variante tiene que ver con una supuesta autoridad gubernamental, bancaria o petrolera que solicita al destinatario los datos de su cuenta bancaria con el objeto de transferir a ella grandes sumas de dinero que desean sacar del país, por supuesto a cambio de una sustanciosa comisión. La segunda tiene que ver con el tema del juego de lotería. El mensaje indica que el destinatario ha obtenido un premio de lotería, aún cuando no haya participado en sorteo alguno; y la tercera, hace referencia a que los supuestos parientes de un desconocido y adinerado personaje anuncian su fallecimiento y notifican al destinatario su inclusión entre los beneficiarios del testamento. Como en los otros casos, en algún momento del proceso los estafadores acabarán solicitando que el incauto afronte algún tipo de gasto. Es de anotar que en este caso se utilizan técnicas de ingeniería social, ya que el apellido del difunto se hace coincidir con el del destinatario.

El volumen del fraude alcanza límites insospechados: El Servicio Secreto de Estados Unidos estima una pérdida de 100 millones de dólares anuales a este tipo de delito, y abrió una oficina en Lagos, la ciudad más grande de Nigeria. Gran Bretaña estima 13 millones de dólares de pérdida por año. Se estima además, que las ganancias ubican a esta industria como segunda fuente de ingresos para Nigeria.

Relación entre costos y beneficios

El marketing directo permite llegar a los consumidores y llamar su atención con mayor efectividad que mecanismos alternativos tales como publicidad en las calles, avisos en televisión, radio, prensa. Esto, sin embargo, tiene sus costos y es precisamente el anunciante quien los paga. Así, la inversión al hacer marketing está directamente relacionada a las ganancias provenientes de las respuestas de los consumidores, y para que sea rentable debe superar los costos.

Un spammer en cambio, puede enviar mensajes por ejemplo a un millón de personas por la suma de cien dólares. A este precio, aún si solo un receptor de cada 10.000 responde el mensaje y muestra interés, el spammer puede obtener beneficios y olvidar a los otros 9.999 receptores que no recibieron el mensaje con agrado, y que por el contrario, tomaron en acto como algo bastante incómodo.

Es obvio que los beneficios obtenidos por este tipo de publicidad no hacen a nadie millonario, pero se parte de la base que si de cien mil correos que se envían a un precio casi nulo, se consigue que diez de estas personas respondan los mensajes y caigan y se interesen en lo que se ofrece, se habrá realizado 10 ventas (en el caso de que el propósito del spam que se envía sea para ofrecer algo para la venta) que seguramente de otra forma no las hubieran conseguido.

Aunque hoy en día no es tan común, todavía hay personas que pagan por el tiempo que están conectados a Internet, entonces un usuario con este tipo de conexión, que se conecte a Internet específicamente para revisar los correos que ha recibido recientemente (teniendo en cuenta además, que esta no es la única tarea que debe realizar cuando esta conectado), y se encuentre con que le han enviado gran cantidad de spam deberá estar mucho más rato conectado a Internet para conseguir revisar tanto el correo "bueno" como el "malo", y por consiguiente, incurre en mayores gastos que si no recibiera este tipo de correos.

Otro punto donde se puede percibir la relación costo-beneficio, es en aquellos casos en que se tiene contratada una página Web con unas cuentas de correo y que se tiene que pagar por el volumen de información que se envía y se recibe a través de este espacio. Si los correos que se reciben y se envían tienen que ver con la página no importaría tener que pagar más si se deben enviar y recibir muchos correos, pero sí que resultaría desagradable y de mal gusto tener que pagar por recibir correo que en ningún momento se ha solicitado y que no tiene nada que ver con la página Web en cuestión.

Es también posible encontrar actualmente empresas en las que los trabajadores pierden tiempo en tener que estar seleccionando y clasificando aquellos correos que son necesarios para el trabajo y aquellos que resultan ser spam. En principio se puede pensar que esto no implica invertir mucho tiempo, pero si lo miramos desde el punto de vista que muchos trabajadores reciben gran cantidad de correo al día y éste se ve multiplicado por el spam, nos damos cuenta que lo más seguro es que se pase mucho más tiempo borrando correo no deseado que contestando a otros que si son importantes y que tienen que ver directamente con el negocio. Otra cosa que hay que tener en cuenta en este punto, es que el hecho de tener que estar "escogiendo" a mano o con software entre correo bueno y spam, puede traer problemas, ya que podemos confundir uno con otro y borrar correo que realmente sea de interés.

Las empresas también tienen que realizar inversión en aumentar y mejorar el servidor de correo con el que cuentan para que pueda dar servicio al aumento de correo. También tienen que hacer inversión en buscar, comprar e instalar filtros o programas antispam, para facilitar el trabajo a todos los trabajadores y garantizar la disminución sustancial del correo basura.

Como se puede notar, los usuarios y empresas víctimas del spam no sólo se ven afectadas económicamente, sino también en cuestión de tiempo que puede seguramente ser invertido de manera mucho más productiva.

Obtención de direcciones, envío y verificación de recepción de mensajes.

Es importante partir del hecho que para hacer spam o publicidad indiscriminadamente por Internet, se necesita básicamente un computador, una conexión a Internet y una lista de direcciones de correo a las cuales se quiere hacer llegar la publicidad del producto o servicio. Las dos primeras cosas son particularmente fáciles de conseguir, lo que hace falta entonces para lograr enviar spam es poder contar con una buena lista con miles de correos. A simple vista puede parecer difícil, pero en realidad existen muchas formas y técnicas que los spammers utilizan para conseguir direcciones y armar así las listas que necesitan.

Después de analizar varios casos de éxito en el tema de spam, se llegó a la conclusión de que la mejor vía que utilizan quienes envían spam para conseguir fácilmente las direcciones electrónicas, es la ingenuidad de los mismos usuarios del correo, que en la mayoría de las veces facilitan la información que buscan los spammers. A continuación enumeramos algunas de las formas en las que nosotros comúnmente "pecamos" y hacemos que nuestra información se vuelva vulnerable, y por lo tanto convertimos nuestros hábitos en los medios mas utilizados para que las personas que envían spam logren su objetivo: conseguir construir listas de direcciones electrónicas, donde terminamos incluidos nosotros:

  • Visitar muchos foros en Internet. En muchos de ellos para poder opinar y para que los demás usuarios contesten y dejen comentarios, se obliga a la persona a dejar su dirección de correo, la cual generalmente, queda a la disposición de cualquiera.
  • Utilizar los grupos de noticias y dejar la dirección de correo en una gran lista de usuarios dispuestos para recibir cualquier tipo de correo.
  • Una forma un poco más sofisticada, pero muy utilizada por los spammers es la creación de un pequeño programa, llamado "araña", el cual rastrea todas las páginas de Internet a la busca de cualquier dirección publicada en éstas. De esta forma cualquier dirección de correo publicada en una página personal, de trabajo o foro, se convierte en un blanco perfecto para las arañas. Para ello se recomienda utilizar algún tipo de código o enmascarar la dirección Web para que estas arañas no las encuentren.
  • Otro medio que utilizan los spammers es la compra de bases de datos a empresas o particulares (acto ilegal en la mayor parte de los países) con miles de direcciones de correo electrónico.
  • Reenviar correos electrónicos con chistes, cadenas, etc. sin ocultar las direcciones a las que ha sido enviado antes el mensaje, y que acumulan gran cantidad de direcciones en el cuerpo del mensaje.
  • Acceder a páginas en las que se solicita la dirección de correo del visitante, o la de "sus amigos y contactos" para enviarles la página en un correo o para recomendársela, para acceder a un determinado servicio o descarga.
  • Los spammers utilizan también una técnica conocida como "ensayo y error" que consiste en generar aleatoriamente direcciones, enviar los mensajes a esas direcciones, y posteriormente comprobar que sí han llegado los mensajes. Un método habitual en esta técnica es hacer una lista de dominios, y agregarles "prefijos" habituales.
  • Otra práctica común en los spammers es el uso de troyanos y computadores zombis. La característica de los troyanos es que permiten acceso remoto a la maquina, así, los computadores de las víctimas son utilizados como "computadores zombis", que envían spam controlados por el spammers, pueden incluso rastrear los discos duros o libretas de direcciones en busca de más direcciones.

Esto causa perjuicios al usuario que ignora haber sido infectado, al ser identificado como spammer por los servidores a los que envía spam sin saberlo, lo que puede conducir a que no se le deje acceder a determinadas páginas o servicios. Se encontró que aproximadamente el 40% de los mensajes spam se envían de esta forma.

  • Otro error en el que podemos caer nosotros como usuarios, es contar son servidores de correo mal configurados (configurados como Open Relay). Estos no necesitan un usuario y contraseña ni tienen ningún criterio para evitar que sean utilizados para el envío de correos electrónicos no autorizados.

Existen diferentes bases de datos públicas que almacenan los computadores que, conectados directamente a Internet, permiten su utilización por los spammers. Entre las más conocidas esta la Open Relay DataBase (ordb.org).

Una vez que tienen una gran cantidad de direcciones de correo válidas, es decir, que se ha verificado que existen, utilizan programas que recorren la lista enviando el mismo mensaje a todas las direcciones. Es frecuente que se controle qué direcciones funcionan y cuáles no por medio de Web Bugs o pequeñas imágenes o similares contenidas en el código HTML del mensaje. De esta forma, cada vez que alguien lee el mensaje, el computador solicita la imagen al servidor del spammer, que registra automáticamente el hecho.

Otro sistema que utilizan para verificar la validez de una dirección es el de garantizar retirarlo de la lista si envía un mensaje a una dirección solicitando el retiro de la lista o si sigue un enlace; lo que pasa con esto, es que cuando el afectado contesta, significa que ha abierto el mensaje y que lo ha leído y por lo tanto, se trata de una dirección válida a la que seguramente llegarán todos los mensajes que se envíen.

En definitiva, los spammers, personas inescrupulosas, tienen un gran cómplice y además bastante efectivo y seguro, se trata de nosotros mismos como usuarios del correo. Este es una de los principales frentes por los que se debe atacar el problema del spam.

Como enfrentar el problema del spam

Se requiere de múltiples frentes de batalla, definitivamente se trata de un amplio conjunto de factores que intervienen en el fenómeno del spam y por consiguiente no basta con atacar un solo punto, hay que trabajar paralelamente en los puntos que hacen que el spam tome cada vez más fuerza y tratar de debilitarlos en la medida de lo posible. Se estudiaron los puntos más fuertes y sobre ellos se propone focalizar esfuerzos a través de las siguientes recomendaciones, clasificadas de acuerdo a los principales focos o frentes sobre los que se puede trabajar, para atacar y tratar de minimizar el impacto que actualmente genera el spam:

  • Educación al usuario del correo electrónico

Se debe crear conciencia en los usuarios finales del correo, mostrarles las consecuencias y hacer recomendaciones en cuanto al uso y manejo de los mensajes que llegan a su buzón, con el fin de minimizar los riesgos que nos pueden hacer más vulnerables al spam; entre las principales recomendaciones están:

  • No publicar la dirección de correo electrónico en páginas Web, o en caso de ser necesario, mostrarla en una imagen.
  • Participar en foros que usen moderador y rechazar correos y mensajes de usuarios no suscritos a la lista.
  • No reenviar mensajes que hagan parte de una cadena de correo electrónico.
  • No hacer envíos en los que sea necesario incluir muchas direcciones de correo y, si es indispensable hacerlo, usar la opción de copia oculta para que no sean visibles las demás direcciones a las personas que seguidamente recibirán ese mensaje.
  • Si necesita reenviar un correo que ya contiene alguna dirección en el mensaje, en importante asegurarse de borrarlas antes de enviarlo.
  • Al llenar un formulario, abstenerse de dar la dirección de correo. Si es necesario, es recomendable utilizar una redirección temporal, o una cuenta gratuita "extra". Sin embargo, es mejor y mas seguro para evitar ser bombardeado por spam confirmar la seriedad del sitio.
  • Leer los correos de remitentes sospechosos como texto, y no como HTML, aunque definitivamente lo mejor es no leerlos o borrarlos inmediatamente para evitar ser víctimas de los diversos ataques a la seguridad informática especialmente spam y virus informáticos.
  • No enviar ni responder mensajes al spammer, aunque prometan dejar de enviar spam si se lo hace (esto lo hacen a través de enlaces que normalmente dicen unsubscribe, remove, etc). Al establecer contacto, sólo se está confirmando que la cuenta existe, es auténtica y está activa, como se mencionó anteriormente.
  • Tener siempre al día las actualizaciones de seguridad del sistema operativo.
  • Instalar software de seguridad tal como cortafuegos (firewall), antivirus, antiSpyware, antiSpam, y mantenerlos siempre activados y actualizados.
  • Es conveniente disponer de más de una cuenta de correo. Una para recibir correo serio o aquel que se da a conocer a los conocidos o empresas para que nos envíen correo que resulta "importante". El otro se recomienda utilizar para participar en foros o demás medios. Esta segunda cuenta seguramente será un blanco perfecto para recibir spam.
  • Montar filtros o reglas en el correo para no recibir o borrar directamente mensajes procedentes de una dirección concreta. Si se hace esto, se recomienda tener mucho cuidado ya que se puede eliminar correo que puede ser de utilidad.
  • No dejar la dirección de correo electrónico en cualquier foro o formulario si no es absolutamente necesario; si requiere hacerlo, se recomienda escribir la palabra "arroba" en lugar del símbolo @, de este modo se evita que sea capturada la dirección por algún programa generador de spam. Hay que recordar que ésta es información que puede ser captada y robada por los programas diseñados por los spammer comúnmente llamados arañas.
  • Para evitar contribuir a la difusión de estos correos spam, es importante no creer cualquier mensaje que llegue a la bandeja de entrada por muy emotivo que sea su contenido pues generalmente no se trata de mensajes y casos reales. Lo único que se logra con reenviarlos es facilitar direcciones de correo al spammer.
  • Definir y poner en práctica políticas de uso de correo electrónico.
  • No realizar ninguna compra desde un correo no solicitado.
  • Evitar previsualizar los mensajes, pues muchos spammers usan técnicas publicitarias que pueden monitorizar cuándo se previsualiza un mensaje, independientemente de si lo ha abierto o leído.
  • Intentar localizar la casilla destinada en algunos sitios y/o mensajes para aprobar el envío y recibo de más información y asegurarse de que está desactivada.
  • Utilización de filtros

AntiSpam a nivel del servidor

En el servidor es el mejor sitio donde interceptar el spam. Existen muchos programas antispam para servidores (tanto Linux como Windows), que se pueden encontrar en diversos sitios en la red. Algunos de ellos son:

DNS Blocklists

Son bases de datos que contienen direcciones IP o nombres de Dominio de sitios de los cuales no se quiere recibir correos, en estas se encuentran enumeradas Opens Relays, fuentes conocidas de spam, IP’s que son identificadas y relacionadas con spammers.

SpamAssassin

Es un filtro inteligente que usa diferentes pruebas para identificar el spam; estas pruebas son aplicadas a la cabecera de los correos y al contenido para clasificarlo usando métodos estadísticos avanzados. Adicionalmente, tiene una arquitectura modular que permite unirse a otras arquitecturas rápidamente. Además, crea automáticamente listas blancas y listas negras. Usa DNS Blocklists y también bases de datos de identificación de spam tales como DCC, Pyzor y Razor2.

BoxTrapper Spam Trap

Maneja listas blancas, listas negras y listas de bloqueo de usuarios. Se debe incluir en una lista blanca todos los usuarios de los que se recibe correo; así, cualquier persona que envíe un correo y no esté en esa lista recibirá automáticamente un mensaje que le dará la opción de verificar que es una persona y no un programa de spam. Una vez verificado, esa persona formará parte de la lista blanca y sus correos llegarán al destinatario, no tiene que volver a verificarse nuevamente. En este sistema, los primeros correos de fuentes sin verificar quedan 30 días en el servidor, se puede verificar manualmente en caso de que sea un correo que esperamos generado en forma automática. Por otro lado, la lista de bloqueo envía una respuesta automática diciendo que nuestro sistema no recibirá correos desde esa dirección y la lista negra borra el mensaje sin pedir verificación ni enviar un mensaje de bloqueo.

Antispam a nivel del Cliente de Correo

Es recomendable usar software antispyware y también antispam locales. Cabe recordar que muchos de ellos pueden eliminar, por confusión, correo que no es spam, con lo que sería conveniente verificar el correo que estos programas marcan como spam. Muchos de estos programas es conveniente "educarlos" para que así filtren el correo según nuestras necesidades y tenerlos siempre preparados. Los spammers cada vez intentan pasarse estos filtros buscando el punto débil de cada uno de ellos, por eso no es posible garantizar que sean cien por ciento efectivos y que terminen de raíz con el problema. A continuación se enumeran algunos de los antispam más populares y utilizados en el medio:

Mailwasher 2.0.28

Este programa es bastante popular entre los usuarios del correo electrónico; se destaca porque es capaz de importar automáticamente las cuentas de correo (dependiendo del cliente de correo que se use) y de eliminar un mensaje o "rebotarlo" contra su remitente. La ventana principal de la interfaz incluye la información principal de los correos tal como remitente, asunto, fecha de envío y cuenta de correo; además ofrece un dato interesante como es el estado (Status), donde informa si es un posible spam, un mail de trabajo, normal, etc.

SpamKiller 2.82

SpamKiller es una de las mejores utilidades antispam que existen. Antes de dejar pasar un correo comprueba que el mensaje o el remitente no esté clasificado como "no deseado" en su base de datos, formada por una gran cantidad de filtros (parece que son más de 3.000 filtros) constantemente actualizados, lo que hace que sea mucho mas eficaz. Éste programa filtra los mensajes electrónicos que llegan de acuerdo a una extensa lista de tipos de mensajes de correo basura que puede ser modificada por el usuario, el cual puede definir además sus propias reglas de filtro de acuerdo a los criterios que él mismo considere relevantes. Una vez marcado algún mensaje como spam, éste se puede borrar o dejar marcado como spam dejándolo en la bandeja de entrada para una posible revisión posterior.

Spam Pal 1.01

Esta herramienta funciona de forma diferente a otras utilidades antispam, ya que se establece como un potente filtro entre el servidor y el cliente de correo. No elimina los mensajes que considera como spam, sino que los marca de forma especial añadiendo una etiqueta al asunto para así poderlo reconocer más fácilmente. De esta manera, se puede configurar el cliente de correo para que borre o filtre todos los mensajes que contengan dicha etiqueta. Este programa verifica si el correo recibido es spam, mirando si el servidor desde donde se está enviando este correo se considera como "potencialmente peligroso como emisor" de spam. Además, para que los mensajes marcados no aparezcan en la bandeja de entrada se puede definir una regla en el gestor de correo para que los coloque todos en alguna carpeta específica que el usuario defina. Así, es posible revisar si todo el correo marcado como spam lo es realmente.

Spam Alarm 1.0

Este programa también es de los preferidos por las personas que buscan una solución antispam. Cuenta con una gran cantidad de filtros y todos totalmente personalizables. Entre las principales características cabe resaltar que cuenta con una lista blanca y una lista negra, contiene algunos filtros que detectan palabras que pueden ser configuradas previamente por el usuario si desea que se elimine automáticamente un correo con tales palabras y además tiene la opción de soportar múltiples cuentas.

Spam Punisher 2.4

El objetivo de esta sencilla herramienta consiste en averiguar las direcciones de los remitentes que están catalogados como que envían spam. Luego genera y envía una queja a tal sitio o dirección. Esta herramienta no es gratuita.

Email Control 8.17

Email Control pone a disposición del usuario varios filtros para combinar y personalizar a su gusto. De este modo, se pueden comprobar los mensajes según el asunto, la cabecera, el tamaño, la dirección, los archivos adjuntos, el remitente, etc. Hay dos posibilidades, una es revisar los correos en el servidor antes de bajarlos al equipo y allí eliminar manualmente el correo identificado como basura; la otra es configurar el programa de tal modo que automáticamente elimine los mensajes clasificados como basura (según los filtros previamente establecidos). Cuenta con una función que permite chequear si los mensajes tienen virus. Además es calificada por los usuarios como una de las herramientas más amigables y fáciles de usar y configurar.

SpamWeasel 1.0.18

Este programa establece una "barrera" entre el proveedor de Internet y el cliente de correo, analizando cabeceras y cuerpos de mensaje de cada correo en busca del más mínimo signo de publicidad. En caso de encontrar mensajes de spam, el programa puede realizar diversas acciones, como borrar automáticamente el mensaje o marcarlo de alguna forma especial.

SpamBurner 1.64

Esta herramienta actúa del siguiente modo: posee varios filtros que deben ser configurados por el usuario. Estos filtros son los encargados de detectar el spam que llega a la cuenta de correo. Tiene una interesante variedad de filtros: por asunto, cabecera, tamaño del mensaje, dirección del remitente, texto incluido en el cuerpo del mensaje, etc. El correo se puede eliminar automáticamente o, bien, lo puede hacer el usuario directamente en el servidor, sin necesidad de bajarlo a la computadora. Incluye también una herramienta para detectar virus.

Spam CSI 3.6

CSI son las siglas para Crime Scene Investigator (Investigador de la Escena del Crimen), una buena metáfora para lo que se propone esta utilidad, que es investigar a fondo de dónde proviene el correo basura. En primer lugar, detecta el correo basura y se vale de los links que se dan en ellos para investigar la página Web de donde posiblemente vienen. Luego permite eliminarlo. Ofrece una base de datos que se puede configurar, en ella hay palabras que funcionan como filtro para detectar spam. Permite armar una lista blanca y una lista negra.

Como se puede ver, la mayoría de las herramientas poseen características bastante similares entre sí, y una de las cosas mas importantes a tener en cuenta, en cuanto a su uso, es que aunque es cierto que estos programas resultan cada vez más eficaces, también es cierto que sucede en algunos casos que eliminen o marquen correos que no son realmente spam, con lo que es conveniente revisarlos aún clasificados como spam e incluso añadir todos los que deseamos recibir a nuestras listas blancas.

Recomendaciones adicionales para atacar el spam

  • Implementación de soluciones técnicas; se sugiere que se establezcan a nivel del servidor (en el sistema del ISP), más que requerir a los usuarios la instalación de filtros.
  • Implementación de soluciones de software de código abierto, cuyo uso puede aligerar los costos por actualización e implementación de filtros.
  • Conformación de equipos de respuesta a incidentes en materia de seguridad, proponiendo su implementación a nivel organizacional, nacional y regional para ayudar a organizar una efectiva y eficiente respuesta a incidentes de seguridad. A través de la labor de estos equipos es posible educar y capacitar a los usuarios.
  • Entrenamiento de personal técnico en manejo de la ciberseguridad y spam mediante su participación en listas de correo, grupos de noticias y foros de discusión en línea sobre el tema, así como su asistencia a grupos de operadores de redes.
  • Establecimiento de políticas antispam. A este respecto, desafortunadamente, existe la percepción de que algunos ISPs contribuyen a las actividades de los spammers, al considerarlos fuentes valiosas de utilidades, llevándolos a hacer caso omiso de las quejas sobre Spam en sus sistemas y a que no desconecten a los spammers.
  • Promoción y apoyo a la cooperación internacional y participación de las organizaciones regionales en el tema, a nivel público y/o privado, ayudando a detectar problemas que pueden ser comunes o únicos a diversos países en la región.
  • Establecimiento de una marco regulatorio y legislativo para el control del spam, que incluya el establecimiento de medidas adecuadas para la protección de datos de los usuarios, además de legislación antispam que proteja su privacidad e imposibilite el intercambio no autorizado de datos de usuarios entre empresas de comercio electrónico. Dicha legislación debe ser coherente con las iniciativas internacionales.
  • Educación de usuarios, mediante campañas masivas de educación y prevención, artículos en periódicos, usando material y vocabulario simple y sencillo de entender.

Incidencia del spam

A continuación se presentan algunos datos estadísticos recientes sobre la incidencia del spam en algunos países:

  • Esta gráfica, muestra como se da el fenómeno del spam en los países de Brasil, Japón, Francia, China, Korea y Estados Unidos en los últimos meses. Se puede ver que el mayor porcentaje de spam se da en Estados Unidos.

  • La siguiente imagen muestra la participación de más países, y clasifica los diez primeros implicados con el spam en el mes de Abril de 2006

Referencia. Reporte diario presentado por The Grebs

  • A continuación se muestra una lista de los primeros 50 países implicados con el spam con su porcentaje correspondiente, con el fin de mostrar la ubicación de Colombia que actualmente ocupa el lugar 44 en la lista mundial según las estadísticas publicadas por "the grebs"
Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente