Spam en el correo electrónico (página 3)

Es posible encontrar y analizar porcentajes del total de spam y de computadores zombis por países, clasificados por horas, dias, semanas y meses

Referencia. Reportes presentados por "CipherTrust, the leader in messaging Security"

• Estados Unidos ha avanzado notablemente en sus esfuerzos para reducir las cifras de emisión de spam, pero a pesar de eso sus ordenadores envían más spam que los de cualquier otro país. Sin embargo, Norteamérica como continente está a punto de ser superado por Europa, aunque ambos se ubican muy por detrás de Asia.

Informe de Sophos sobre los principales países emisores de spam (Abril de 2006)

• Composición de correos spam por país de acuerdo a su participación en el correo total:

Datos interesantes:

• El spam representa más del 75% del tráfico total de correo electrónico que circula en la Internet, hace 3 años representaba solo 8%.
• 14.5 billones de mensajes spam son enviados cada día, esto le representa a las empresas un costo de aproximadamente US$20.5 por año globalmente.
• El spam representa un riesgo para la seguridad y la privacidad, debido a la proliferación excesiva de virus, esquemas "Phishing" y "robo de identidad".
• El 50% de los mensajes spam provienen de computadoras zombis, pues esto garantiza bajo costo, alta rentabilidad y adicionalmente anonimato para los spammers.
• 9 de cada 10 usuarios de Internet es afectado por el spam.
• 90% de los usuarios de Internet reciben correo basura
• 80% de los usuarios de Internet considera muy molesto el correo basura.
• Se calcula que el 60% de los correos de China son spam, y que un 15,7% del total de correo no deseado de todo el mundo se produce en el país asiático, lo que le convierte en el tercer mayor productor y receptor de spam del mundo.

Derechos que debería tener los usuarios del correo electrónico

Todos los usuarios de correo electrónico deben tener en cuenta los derechos que "tienen" respecto al manejo y gestión de sus respectivas cuentas y ante el uso en general del correo. A continuación se enumeran los más significativos:

• Aceptar o rechazar la recepción de correos electrónicos de carácter comercial en sus buzones.

• Revocar la autorización respectiva de recibo de mensajes, excepto cuando dicha autorización sea una condición para la prestación del servicio de correo.
• Contar con proveedores de servicio de correo electrónico que cuenten con sistemas o programas efectivos que filtren los spam.
• Solicitar y recibir información técnica sobre el uso de herramientas de bloqueo por parte del proveedor.
• Ser informado sobre el uso debido y novedades que surgen día a día respecto a herramientas que le proporcionan seguridad a través de filtros, software, etc.
• Conocer al detalle las condiciones de uso de las redes de telecomunicaciones de sus proveedores de servicios de correo.
• Manifestar las inconformidades que encuentre como usuario del servicio, y ser escuchado y recibir respuesta a sus inquietudes o dudas por parte del proveedor respectivo.
• Poder proporcionar información en línea, con la seguridad de que el proveedor está protegiendo sus datos y utilizando mecanismos idóneos para garantizar la confidencialidad de la información.
• Que se le faciliten los medios par mantenerse informado sobre posibles vulnerabilidades que se presenten, y la manera de cómo protegerse de ellas.

Obligaciones de los proveedores de los servicios de correo

Se proponen también las siguientes acciones que se pueden considerar como responsabilidades de los proveedores para conseguir participar activamente en la reducción del spam:

• Debe contar con sistemas o programas efectivos que filtren y no dejen pasar a los buzones los mensajes spam.
• Contar con un sistema de bloqueo o filtro para impedir la recepción así como la transmisión de correo electrónico no solicitado a través de su servidor.
• Informar al usuario sobre el uso de los sistemas y programas de bloqueo y/o filtros.
• Brindar asesoría técnica sobre el uso o manejo de los sistemas y programas de bloqueo.
• Difundir y poner al alcance de todas las personas que contraten sus servicios, las condiciones de uso de sus redes.
• Monitorear el tráfico de la red a fin de detectar posibles generadores de spam.
• Recibir, procesar y responder las denuncias sobre la recepción spam y/o cualquier otro acto ilegal, notificando en la medida de lo posible a las partes involucradas.
• Garantizar la confidencialidad de la información de los usuarios.
• Dar a conocer las políticas de la empresa, así como las actualizaciones y modificaciones realizadas a estas en cualquier momento.
• Utilización y actualización regular de software de seguridad informática en los servidores instalados en la plataforma del proveedor y en especial para los servidores de correos; así como la apropiada configuración de los firewalls para que filtren puertos y protocolos adecuadamente.

• Inculcar en los usuarios la necesidad de software de seguridad informática como antivirus y firewall en sus equipos personales y disponer de las últimas actualizaciones de seguridad.

Particularidades del spam en las empresas

Las empresas se ven afectadas con el problema del spam en la medida que el personal que labora en ellas recibe correos electrónicos sin solicitud o relación previa (naturaleza del spam). El problema radica en las implicaciones, particularmente a la inversión de tiempo y esfuerzos que implica la revisión, la escogencia y eliminación de correos que no interesan. Muchas veces son las mismas empresas las que de alguna manera, en ocasiones desprevenidamente, permiten o contribuyen a actos que se relacionan con el spam por la falta de conciencia y de tomar medidas para evitar el problema.

Es importante que los representantes de las empresas actúen con cuidado y estén informados sobre la manera correcta de enfrentar el problema de acuerdo con las políticas, los estatutos y el objeto social de la compañía. Para evitar el robo de la información perteneciente a la compañía para efectos de creación de listas de correo para envío de spam, deben proteger debidamente sus bases de datos de clientes, consumidores, proveedores, etc., proteger también sus listas de correo de empleados y demás.

Es un hecho que la parte en la que más se debe trabajar en las empresas para garantizar una buena seguridad informática es en las personas, y especialmente para enfrentar hechos tan problemáticos para las compañías como lo es el spam. Es por eso que se debe estipular y definir en los contratos cláusulas que comprometan al personal involucrado con la empresa en proteger y utilizar debidamente toda la información que entra y sale de la misma. Adicionalmente, se debe tener un proceso de acompañamiento permanente que permita crear una cultura de la seguridad de la informació

También es indispensable que se utilicen fuertes medidas tecnológicas para cuidar las direcciones electrónicas y los datos recolectados de la empresa como tal y de terceros, ya que estos representan un gran riesgo en cuanto a seguridad si son vulnerables a robo e intrusiones.

Relación del spam en países desarrollados y en proceso de desarrollo

Una investigación realizada por el grupo de trabajo sobre spam de la Organización para la Cooperación y el Desarrollo Económico (OCDE), muestra que el spam es, en las comunidades menos desarrolladas o en desarrollo, una perturbación mayor y por lo tanto son impactados en mayor grado por las consecuencias negativas del fenómeno. Parece ser que esa mayor perturbación se da debido a que, entre otras razones, los prestadores de servicios de Internet o ISPs, y los operadores de redes de telecomunicaciones en los países en desarrollo carecen de la capacidad y recursos para enfrentar dedicadamente la problemática del spam.

Es necesario notar que la tecnología no puede ser y, de hecho no ha sido asumida, de la misma forma en todo el mundo, pues no obstante el nivel de desarrollo tecnológico y económico de cada país, cada uno de ellos asimila la tecnología bajo su particular contexto social, político o cultural, lo que determina que su desarrollo e implicaciones no tenga los mismos efectos en cada país.

Esto se puede evidenciar, en el hecho de que para estos países contar con los recursos de hardware, software y demás componentes necesarios, representa un costo inmantenible bajo sus reducidos presupuestos, cuya aplicación se encuentra prioritariamente dirigida a áreas básicas e insustituibles de atención, tales como salud, educación y alimentación, entre otras.

 Los países en desarrollo aún se encuentran en proceso de lograr la integración tecnológica necesaria y en proceso de expandir de la infraestructura que la soporte, de esta manera, el spam se transforma en un serio obstáculo al desarrollo y genera desconfianza en el uso de los medios electrónicos.

Una de las principales razones es el problema que se tiene con elementos tecnológicos que deben ser utilizados. Un ejemplo es la capacidad de ancho de banda, que es precisamente uno de los elementos de limitada disponibilidad en los países en desarrollo, que generalmente se encuentra asociado un alto costo por servicio, lo que lleva a que el spam tenga un importante y mayor impacto en dichos países pues consume un porcentaje mayor del ancho de banda disponible. Adicionalmente a esto, hay que tener en cuenta también que si bien la proliferación es menor en los países en desarrollo, las posibilidades de sumar víctimas es mayor debido al menor conocimiento técnico de los usuarios, resultando más vulnerables al engaño.

Por eso, debe ser motivo de preocupación permanente para los países en desarrollo el mantenerse en la discusión e informados constantemente de cómo combatir el spam, a fin de lograr el conocimiento y el apoyo internacional necesario que les permita mantener un nivel aceptable de seguridad en las redes. De esta manera tendrán la oportunidad de continuar su desarrollo hacia los esquemas de interacción global que hoy dominan las economías mundiales y que lamentablemente marcan la brecha entre países desarrollados y en desarrollo. 

Ventajas y beneficios de encontrar una solución

Es imposible pensar en encontrar una solución que acabe con el problema definitivamente pues todavía falta mucho camino para crear conciencia en los usuarios y contar con mecanismos para atacar efectivamente cada uno de los frentes que de una u otra forma tienen que ver e influyen en el problema del spam. Sin embargo, es posible minimizar el efecto negativo del spam enfocándonos inicialmente en alcanzar los beneficios que esperamos conseguir una vez reducido el impacto; aquí se enumeran algunos de los aspectos que representan beneficios:

Aumentaría la productividad al contar con menos distractores en el trabajo. Se evitaría desviar las actividades propias del trabajo a actividades de eliminación de mensajes de poco interés con un considerable aumento de horas efectivas trabajadas por los empleados.

• Se conseguiría disminuir la congestión del ancho de banda utilizado para las labores propias de Internet permitiendo una mayor velocidad efectiva en las conexiones.
• Menos probabilidades de infecciones de virus y código malicioso en los computadores.
• Un mayor control y normatividad al respecto del tema del spam, cimienta las bases para que el usuario sepa cuáles son sus derechos, y cuál es el ente a quien debe dirigir un reclamo en caso de verse afectado.
• Al crearse respuestas positivas favor del afectado, y por ende una penalización para quienes hacen uso y son responsables del spam, se permitiría la posible reducción futura del mismo.
• Se permitiría a los usuarios de Internet que no deseen recibir correos electrónicos publicitarios, filtrar este tipo de información con un mayor grado de efectividad que el actual.

Posibles Soluciones

Cooperación Internacional

Es muy importante resaltar el valor que la cooperación internacional puede aportar al combate contra el spam. El spam es de hecho un fenómeno internacional, pues se despliega a través del Internet y no conoce fronteras. De hecho, las estadísticas demuestran que gran cantidad del spam originado en el mundo y por consiguiente recibido en nuestra región latinoamericana proviene generalmente de otros países.

La Organización para la Cooperación y el Desarrollo Económico (OCDE) ha invitado y ha propuesto a los gobiernos y a las empresas a que aumenten su coordinación para luchar contra el spam. Es de considerable importancia la coordinación y la cooperación entre los sectores público y privado para trabajar en pro de la erradicación del spam. Esta es una de las tantas propuestas que se han definido recientemente y tal vez una de las mas acertadas, después reconocer y crear conciencia de que definitivamente no hay solución única y que se debe actuar y atacar el problema a través de múltiples frentes.

También destaca la importancia de "sensibilizar a la población" sobre los riesgos de los correos electrónicos basura y de las precauciones que se deben tomar para evitarlo, para lo cual hacen falta campañas de ámbito nacional y la formación sobre la seguridad en Internet en escuelas y en definir acciones para las personas mayores.

Algo de lo que se ha hecho es este tema:

En Europa

En el ámbito europeo, la Agencia Española de Protección de Datos forma parte del grupo Contact Network of Spam Authorities (CNSA). Este grupo está compuesto por las Autoridades nacionales responsables de la regulación y control de las comunicaciones no solicitadas de la Unión Europea y del Espacio Económico Europeo. En la última reunión realizada en Bruselas se acordó la redacción de un documento con el objetivo de establecer un marco intraeuropeo para el intercambio de información sobre denuncias sobre spam entre autoridades competentes, con indicaciones claras sobre lo que hay que hacer cuando se recibe una denuncia.

En Estados Unidos

Con la idea de cooperación internacional, se ha firmado con la Comisión Federal del Comercio de los Estados Unidos (Federal Trade Commission–FTC) un acuerdo de cooperación administrativa para luchar contra el Spam –Memorandum Of Understanding (MOU)-, organismo federal con competencias supervisoras y de control en los Estados Unidos. En virtud de este Convenio ambas partes acuerdan las siguientes formas de colaboración:

– Facilitar la formación de usuarios y empresas en relación con el spam

– Promover códigos de conducta sobre buenas prácticas.

– Intercambiar información sobre las soluciones técnicas más avanzadas y mantenerse informados de las novedades

– Colaborar con las universidades de los respectivos países para promover la investigación, conferencias y cursos formativos sobre la materia

– Prestarse asistencia mutua en sus investigaciones

La lucha contra el spam en los Estados Unidos parte de una realidad normativa muy distinta a la europea. Básicamente, en este país se establece un sistema de opt-out en la Ley que regula este tipo de comunicaciones.

Relaciones multilaterales

La Agencia Española de Proteccion de Datos (AEPD) ha participado en grupos de trabajo multilaterales contra el spam y con esta finalidad se reunió en Londres en octubre de 2004, junto con otros responsables mundiales de la lucha contra spam (agencias independientes y ministerios responsables) y sectores industriales implicados. En este grupo de trabajo se reunieron los presidentes de la Comisión Federal de Comercio de los Estados Unidos (Federal Trade Commission- FTC), de la Comisión de Información del Reino Unido, de la Comisión de Libre Comercio del Reino Unido, la Comisión Nacional de Libertades e Información de Francia, el Regulador de las Telecomunicaciones de Países Bajos, el Director de la Oficina Australiana de Defensa del Consumidor y Competencia, el Director de la Agencia Española de Protección de Datos y el responsable internacional de la FTC.

Como resultado de esta reunión se redactó una declaración final para iniciar un plan conjunto de actuación conocido como "London Action Plan" (LAP), que fue suscrito por 19 organismos e instituciones procedentes de 15 países distintos.

El LAP tiene por objeto desarrollar contactos internacionales para investigar casos de spam y todos aquellos problemas conexos con el mismo. Los suscriptores del LAP fueron mayoritariamente Agencias y Comisiones Nacionales, y han asumido los compromisos suficientes para: impulsar y favorecer la comunicación para supervisar más eficazmente el cumplimiento de la ley, organizar conferencias periódicas para debatir: casos, desarrollos normativos, investigaciones, nuevas técnicas y formas de eliminar obstáculos en la investigación de casos de spam, informar y educar a los usuarios y consumidores, etc.

En Iberoamérica

También se ha querido fortalecer los lazos y fijar posiciones comunes en torno a la protección de datos personales en los países de Iberoamérica y para ello se participó muy activamente, en el año 2004, en el III Encuentro Iberoamericano, que se celebró en Cartagena de Indias (Colombia). Este encuentro, que contó con la colaboración de la Agencia Española de Cooperación Internacional (AECI) y la Fundación Internacional y para Iberoamérica de Políticas Públicas (FIIAPP), reunió a más de 40 autoridades y destacados representantes de la esfera pública y privada de 15 países Iberoamericanos (Argentina, Brasil, Chile, Costa Rica, Colombia, El Salvador, Ecuador, España, México, Nicaragua, Perú, Panamá, Portugal, Uruguay y Venezuela). Entre otros temas de esta reunión, se trataron los ataques a la privacidad en el sector de las telecomunicaciones e Internet y la lucha contra el spam.

ITU- Unión Internacional de Telecomunicaciones

Éste es el organismo de las Naciones Unidas encargado de la normatividad en el sector de telecomunicaciones y de dirigir la organización de la Cumbre Mundial sobre la Sociedad de la Información. Ha participado en acciones de Cooperación Internacional con el fin de generar confianza y seguridad en la utilización de las tecnologías de información y comunicaciones (TIC). Además trabaja en diversas iniciativas en la lucha contra el spam a nivel mundial.

OECD Task Force

Sus objetivos en el tema, van encaminados a dar una repuesta internacional en las distintas políticas y a coordinar la lucha contra el spam, alentando y promoviendo medidas para combatir el mismo y para generar códigos de buenas prácticas en el sector de la industria y negocio, así como facilitar la aplicación de las leyes fronterizas.

La Visión Anti-Spam de Microsoft desde la tecnología

Esta solución nos parece particularmente interesante, pues consiste en construir un sistema distribuido pero integrado de tecnologías y servicios interconectados que proactivamente eviten y protejan contra ataques de spam mediante mecanismos que establezcan prueba de identidad y evidencia.

Básicamente, se trata de trabajar sobre tres pilares fundamentales: evitar el spam a tiempo, adoptar medidas de protección para evitar el impacto negativo y realizar pruebas de identidad. A continuación se muestran los conceptos e iniciativas clave y las propuestas para trabajar sobre los pilares antes mencionados.

Iniciativas de la Industria

Esta propuesta hace énfasis en el progreso continuado en la recopilación e identificación de "mejores prácticas" a nivel industrial. Esto incluye por ejemplo la utilización de programas acreditados como "Remitente Afianzado" ("Bonded Sender"), soluciones para evitar el "Domain spoofing" tales como Sender ID, y el trabajo constante contra la eliminación de "zombis" a través del "port25 blocking" y la detección de "Open proxies".

Entre algunas de las cosas que se han hecho hasta el momento, y en las que se sigue trabando fuertemente están el E-mail Service Provider Coalition, que apoya al Sender ID E-mail Authentication Framework, también está el Bonded Sender Program, que se trata de un programa de certificación de remitentes legítimos y finalmente cabe mencionar la Anti-Spam Technical Alliance que se basa principalmente en soluciones tecnológicas y "mejores prácticas" para el intercambio de información, y en general con lo que tiene que ver con el envío masivo de correos comerciales.

Cobro por el envió de correos y el Sistema Goodmail

Se esta preparando un nuevo sistema que permitirá cobrar a las compañías que distribuyen grandes volúmenes de correo electrónico entre sus clientes y usuarios, y entre las personas en general que hagan uso del correo electrónico para enviar y recibir mensajes.

Los correos por los que se pague, tendrían un trato preferencial y llegarían a su destino sin retrasos y sin problemas. De todas formas, se seguirían aceptando los correos que no se pague por dirigidos a sus usuarios aunque no tendrían un trato preferencial y por consiguiente podrían sufrir posibles demoras.

Entre las condiciones impuestas para contratar el servicio, figura el compromiso de que el receptor haya dado su conformidad en recibir los correos, en caso contrario, se bloquearían las cuentas de correo de las que le lleguen mensajes. La medida es similar al sello de correos tradicional, el cargo que cobran los servicios postales para entregar las cartas a sus destinatarios.

La finalidad de este procedimiento es proteger del spam a los usuarios. Sin embargo, también podría crear problemas para empresas y organizaciones que envían circulares y boletines legítimos a sus clientes o socios. Algunas empresas aseguran que este sistema de pago devolverá la confianza en el correo electrónico y supondrá un freno importante a la circulación de correo spam en las redes.

Goodmail por su lado, consiste en un sistema en el que los mensajes de remitentes autorizados serán provistos de un sello criptográfico, denominado CertifiedEMail, mediante el cual el destinatario podrá confirmar que se trata de una comunicación legítima.

Goodmail exige a las compañías autorizadas cumplir una serie de requisitos, como por ejemplo, que no debe haber quejas de los destinatarios, y en caso de que las haya, solo se tolerarían aquellas que sean mínimas. Con todo, la exigencia más importante para Goodmail es que los remitentes legítimos, paguen una cantidad por suscribirse al servicio y un pago extra por cada envío.

Sin embargo hay reacciones negativas frente a esta propuesta, es claro, que esta medida no favorece a las empresas pequeñas, frente a las que tienen grandes presupuestos para comunicación, y que hasta ahora podían competir en igualdad de condiciones.

Otra posición frente a esta propuesta es que ésta va en contra del espíritu de libertad de la red, pues Internet triunfó gracias a la libertad de comunicación que proporciona, por lo tanto, no debería existir costos para servicios particulares y el e-mail debería ser gratuito y accesible para todos.

Otros piensan que esta medida no reducirá el spam, que por el contrario, empresas que usan el correo electrónico de manera legitima para comunicarse con sus clientes o usuarios podrían ver sus correos bloqueados al negarse a pagar.

Después de estudiar los anteriores puntos, se hace necesario reconocer, que ninguna de las anteriores posibles soluciones tendrían un efecto positivo si no se trabaja fuertemente en la creación de conciencia en los usuarios y en la creación de una cultura mundial de ciberseguridad en la que las personas sean cada vez mas prevenidas y cuidadosas con temas que involucren la integridad de su información y su reputación.

FUNCIONAMIENTO DEL PROTOCOLO SMTP

El protocolo SMTP es un estándar de facto utilizado para la transmisión de mensajes de correo electrónico entre diferente servidores, fue ganado popularidad a medida que los servidores obtenían la posibilidad de estar siempre en línea y así fue relegando a otros protocolos como son el UUCP.

La primera versión del protocolo es el RFC 821 de 1982, desde allí se le han hecho algunas actualizaciones en los RFC 1123 y la que actualmente se utiliza que es la 2821 la cual se conoce como ESMTP del 2001, pero esta última sólo hace claridad sobre algunos puntos del protocolo implementado por las versiones anteriores y no le agrega nueva funcionalidad o características.

El protocolo en si es bastante sencillo, usa una codificación de 7 bits en ASCII para la transmisión de datos, subsanando el problema de envió de datos binario codificándolos con una extensión de MIME (8BITMIME). Una vez instanciada la comunicación, actualmente usando el protocolo TCP, se realiza un saludo y se obtiene información de las características del servidor para determinas como se va a realizar el envió, posteriormente se empieza la transmisión del mensaje el cual contiene la información necesaria para el envió del correo.

Las grandes debilidades del protocolo radican en la falta de autentificación por parte del remitente del mensaje de envió y además la posibilidad de enviar correos a nombre de otros. Inicialmente estas características eran necesarias debido a la poca conectividad de algunas máquinas, teniendo que realizar varios pasos para llegar al destinatario final. Además en el protocolo inicial de 1982 se tenían en cuenta otros modelos de transmisión diferentes al TCP, identificando que en aquella época era raro la comunicación directa entre dos máquinas cualesquiera.

Las anteriores características mencionadas, falta de autentificación de los usuarios del servicio y la posibilidad de retransmisión de otros correos, hacen que la implementación de un modelo de antispam dentro del protocolo sea un cambio radical, lo que lo hace impensable a nivel práctico debido a la gran cantidad de servidores que utilizan el protocolo dado. Existen algunas alternativas para modernizar el protocolo, como son el SMTP-AUTH utilizado para la autentificación de los usuarios y también nuevos modelos de protocolos como el Internet Mail 2000, pero no han sido ampliamente adoptados por los problemas antes mencionados.

Otras alternativas que son utilizadas en alguna medida para el control de spam en el correo electrónico, es la configuración e los servidores de SMTP con algunas políticas de mejores practicas para evitar algunos modelos de envió de spam, pero estas practicas son ineficaces si no se utilizan de forma generalizada.

Actualmente los grupos de investigación están trabajando fuertemente en la autentificación de los servidores de correo con modelos como el Sender-id, domains keys, SPF, y protocolos como MADRID, pero aunque se tienen diferentes alternativas atacando este problema, el modelo es costoso y necesita una amplia fuente de servidores que lo implementen, y finalmente no se detiene todo el correo, porque estos nuevos modelos para poder ser implementados no pueden romper la compatibilidad del protocolo, y además los spammers sólo necesitan implementar sus propios servidores sin estas reglas para seguir enviando mensajes.

Conclusiones y Recomendaciones

• El éxito que se percibe en el spam, y en hacer publicidad en Internet utilizando el envío masivo de correos a destinatarios que no se sabe si les interesará o no el producto o servicio que se ofrece, es gracias al bajo costo que conlleva y a la efectividad que se ha descubierto en el uso de la técnica.
• A pesar de que encontrar una solución definitiva, parece bastante complicado, no se trata de cruzarnos de brazos y rendirnos ante el spam, o de sugerir que no se debería hacer algo al respecto. Se trata de buscar y de contemplar todas las salidas posibles y económicamente viables al problema, antes de sugerir que prácticamente no es mucho lo que se pueda hacer al respecto.
• Para reducir el problema, algunos proponen incrementar el costo de enviar un e-mail, otros, en cambio, proponen que se genere la necesidad de autentificar la identidad del remitente antes de enviar un correo electrónico, etc., sin embargo, la solución parece ser una combinación de elementos tecnológicos y de estrategias legales internacionales y culturales que permitan reducir el impacto del spam.
• Una adecuada regulación del correo no deseado implica determinar, como paso previo, cuáles son las características de dicho correo. Ello resulta ser una tarea complicada ya que, mundialmente, no existe un consenso claro en precisar que es lo que diferencia al spam "inapropiado" de prácticas de mercadeo aceptables.
• Se debe entender que la regulación cuesta y que la mala regulación cuesta mucho más. En ese sentido, el análisis costo-beneficio de una norma no debe limitarse a señalar que la misma no generará costos al estado sino que debe incluir un estudio detenido de los beneficios esperados de la regulación propuesta, de los costos que serán asumidos (y por quienes) y de las contingencias esperadas de la regulación.
• A nivel formal, el principal fundamento que sostiene la existencia y cada vez mayor incidencia del spam es que los mensajes comerciales bajo ciertas características, pudieran resultar lícitos ya que impulsan el comercio y permiten medios de publicidad a menores o nulos costos para el mercadeo y son de fácil propagación.
• Es claro que para que el spam se presente, los spammers deben contar con las posibilidades técnicas y "regulatorias" para hacer uso libre de las direcciones electrónicas de los usuarios. Por ello, es que el impulso en la implementación de una ley en materia de protección de datos es imprescindible dentro del contexto del combate al spam.
• Hay que ser conscientes que en el corto plazo el volumen de spam continuará aumentando debido a la falta de acciones correctivas y preventivas a tiempo.
• Bajo diferentes ángulos, se puede llegar a la conclusión que todos los aspectos económicos favorecen al "spammer" y perjudican notablemente al usuario común del correo electrónico.
• No existe una formula mágica para erradicar el problema, se requiere la persecución agresiva del spam en todos los frentes estudiados, tales como innovación tecnológica, cooperación con la industria, educación al usuario final del correo, una legislación efectiva, ejecución de la ley focalizada, etc. Entre estos frentes en el que parece que se deben concentrar más esfuerzos es en educar al usuario a través de herramientas que sean de fácil uso, de reforzar buenas prácticas y conductas, de permitirle la fácil detección de "zombis", y de proporcionarle información y recursos que se sirvan para defenderse y protegerse.
• Es importante y necesario, para pensar en una salida al problema del spam, penalizar a la persona o personas que se dedican a esta tarea, pues es un hecho que el spam es una amenaza a la viabilidad del Internet como un medio efectivo de comunicación, comercio electrónico, y productividad, y mientras no se penalice es difícil pensar en una mejora
• Es absolutamente necesario la creación de una cultura de uso adecuado de los medios electrónicos, misma que debe ir dirigida tanto a usuarios, como a ISPs. Los mecanismos contra el spam además de ser un mecanismo de control, deben ser una herramienta para que los ISPs puedan medir la dimensión que el spam representa en su propia red, determinando en consecuencia las medidas a seguir.
• Un medio que puede resultar efectivo para el control del spam es la adopción de legislación antispam en la mayor cantidad de países posibles, lo cual no será eficaz si no se cuenta con un marco legislativo elemental que le dé fuerza a través de leyes de protección al usuario, leyes para delitos informáticos, de privacidad y de seguridad en las redes, etc.
• Adoptar leyes y políticas antispam que permitan a los ISPs el rastreo de la información de sus usuarios y la remoción de fuentes de abuso de la red, bajo estrictas normas de confidencialidad que salvaguarden el derecho a la privacidad y la protección de los datos de sus clientes.
• Toda protección o decisión que se argumente a favor o en contra del spam, debe fundamentarse en acciones, mecanismos y disposiciones que establezcan un equilibrio entre derechos de comerciantes (en muchos casos catalogados como spammers), usuarios, potenciales consumidores y proveedores.
• Para la concepción e implementación de acciones enfocadas al control del spam, es imprescindible lograr un consenso y un acuerdo, primero a nivel nacional y posteriormente a nivel internacional, en cuanto a la definición y características fundamentales del spam, a fin de posibilitar la coordinación y cooperación entre sectores y países en su control y combate.
• La divulgación de información, educación y capacitación a los usuarios se convierte en un elemento primordial dentro del desarrollo de mecanismos de combate contra el spam. Para esto se deben crear campañas de difusión informativa auspiciadas por las autoridades correspondientes en coordinación con la industria resultaría una interesante propuesta a estudiar y adoptar.
• Si todos tomamos conciencia del correcto uso del correo electrónico y lo potente que puede llegar a ser, seguramente poco a poco iríamos haciendo que la propagación del spam, no fuera tan rápida y poco a poco pasara de ser una molestia a una simple anécdota.
• La industria debe ser más proactiva en vez de reactiva en la eliminación del spam.
• Es indispensable tener en cuenta y siempre presente, que la regla de oro para no caer en el spam tratando de hacer e-mail marketing, es no enviar correos que no hayan sido solicitados por los clientes y usuarios.

ANEXO TÉCNICO A

TÉCNICAS DE DETECCIÓN DE SPAM

En el mercado existen varias alternativas tanto libres como propietarias para la detección de spam, pero el principal problema que tienen todas estas técnicas es identificar a priori si un spam es un correo que no desea el destinatario del correo en un momento dado. Esto convierte el problema en uno de los trabajados en el campo de inteligencia artificial, necesitando la creación de modelos de conocimiento y reconocedores semánticos de los correos para identificar la importancia o no de un correo.

Listas negras y blancas

Las listas negras y blancas, son los métodos mas útiles actualmente para atacar el spam, es una técnica muy sencilla, donde simplemente se configura el servidor a rechazar algunas cuentas de correo y aceptar incondicionalmente otras, la efectividad de estos sistemas es muy alta, pero son vulnerables a ataques de cambio de identidad de llos autores del correo o a la falsificación de los remitentes. Es necesario entonces complementarlos con un sistema de certificados, pero esta implementación es una de las más complicadas en este momento por requerir que todos los usuarios tengan cuentas certificadas.

Filtros estadísticos y basados en reglas

Este método utiliza filtros estadísticos para la identificación si un correo es spam o no. Debido a que el correo spam es generado por personas, éstas pueden moldear el correo de forma que pueda pasar el filtro generando falsos negativos, o lo peor es el caso de los falsos positivos donde eliminan correo que tiene apariencia de spam pero en realidad es un correo útil.

Hay varios modelos estadísticos que soportan estos filtros, desde filtros bayesianos que aprenden según los correos clasificados como spam hasta otros que utilizan estadísticas fijas. El principal problema de estos métodos es la imposibilidad de crear una confiabilidad total, por lo tanto son buenos como asistentes en la identificación de spam, pero dejarles a este tipo de filtros toda la responsabilidad es una decisión que puede traer problemas posteriores

Sender-id, SPF, Domains Keys, MADRID

Estas tecnologías pretenden de una u otra forma insertar sistemas de autentificación a los servidores de envió de correo para poder validar los datos del mensaje enviado generalmente modificando el servicio de DNS para que pueda soportar esta funcionalidad junto con los servicios de correo, el interés es verificar especialmente el remitente, aunque estos modelos es un paso a seguir necesario en la tecnología del correo electrónico, la implementación de estos modelos es lenta y mientras no estén utilizados globalmente no serán completamente útiles.

El problema de estas tecnologías esta dado es mas en términos comerciales que en términos tecnológicos, y mientras no haya una consolidación de alguno de estos métodos no se podrán apreciar los beneficios del sistema.

VOY AQUÍ……

GLOSARIO RELACIONADO

Acuse de recibo

Un tipo de mensaje que se envía para indicar que un correo ha llegado a su destino sin errores. Un acuse de recibo puede resulta negativo en el tema de spam pues es confirmar que la dirección es valida y pueden seguir enviando mensajes allí.

Antispyware

Software que detecta y elimina el spyware detectado, así como previene la instalación de nuevo spyware. Los equipos antispyware al reconocer un equipo infectado, evitan las acciones que realiza el spyware, así como el envío de información privada, que el spyware se extienda en otros equipos, etc.

Ataque de denegación de servicio (DoS)

Tipo de ataque que se produce cuando un hacker envía archivos adjuntos u otros mensajes poco habituales o en masa para intentar colapsar sistemas de correo electrónico.

Ataque de diccionario

Programa que bombardea un servidor de email con millones de direcciones electrónicas generadas por orden alfabético con el propósito de adivinar correctamente algunas de ellas. Esta técnica también se usa para conseguir contraseñas.

Ataque de recolección de directorios (DHA)

Cuando un grupo de spammers bombardea un dominio con miles de direcciones de correo electrónico generadas con el propósito de recolectar direcciones de email válidas de una organización.

Camuflaje

Técnicas de ocultación de datos por parte de los spammers para evitar ser detectados. También tiene lugar cuando los destinatarios del email usan HTML o Javascript para camuflar enlaces de email y direcciones de correo para que las direcciones se puedan leer y se pueda hacer clic sobre ellas, pero no pueden ser recolectadas.

Computador Zombie

Se le denomina así a aquel computador que, tras haber sido manipulado, puede ser controlado remotamente por un usuario malintencionado. De esta manera, el sistema llevará a cabo, de forma precisa, las acciones que el atacante le ordene. Las consecuencias de dicha manipulación pueden ser, entre otras, el robo de datos confidenciales, la realización de ataques a otras máquinas –ocultando así la identidad del verdadero autor–, o la propagación de virus informáticos.

Control complejo de diccionario

Función del software anti-spam que examina el texto en busca de palabras ofensivas y que no se deja engañar por trucos, como la sustitución de letras por números o caracteres similares.

Control de red (también conocido como control DNS inverso)

Cuando un motor anti-spam utiliza una base de datos de sistema de nombre de dominio para comprobar que la dirección IP de un email se creó en un dominio o dirección de Web válidos.

DMP

(Protocolo de Servidores de Correo Identificados, del inglés Designated Mailer Protocol), consiste en que los proveedores de servicios de Internet identifiquen las máquinas responsables del envío del correo.

Falso negativo

Cuando un programa anti-spam no consigue identificar un mensaje de spam como tal, y por consiguiente lo deja pasar.

Falso positivo

Cuando un programa anti-spam identifica erróneamente un mensaje legítimo como spam.

Filtrado bayesiano

Enfoque estadístico para determinar si un correo electrónico es spam. Está basado en técnicas de inferencia de probabilidad aplicadas por el matemático inglés Thomas Bayes.

Filtros

Permiten ordenar el correo entrante basándose en una serie de reglas definidas previamente.

Grupo de noticias

Fórum electrónico donde los participantes publican artículos y mensajes sobre cuestiones específicas. A menudo son objetivo de spammers que buscan recolectar direcciones electrónicas.

Hacker

Persona que deliberadamente viola la seguridad informática, normalmente para causar desconcierto o conseguir información confidencial como datos financieros. Originariamente, la palabra "hacker" hacía referencia a cualquier persona interesada en la informática; hoy en día, el término es usado por el público y la prensa para designar a las personas malintencionadas.

Hoax

Un hoax es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Los objetivos que persigue quien inicia un hoax son básicamente alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo.

Ingeniería social

Engañar a los destinatarios de correo electrónico a abrir mensajes, dar a conocer contraseñas o proporcionar información confidencial aprovechándose de su curiosidad, credulidad o inexperiencia informática.

IRC

Siglas de Internet Relay Chat, protocolo de comunicaciones que permite participar en conversaciones virtuales en tiempo real.

ISP

Proveedor de Servicios a Internet.

Lavado de lista

Proceso de eliminar direcciones de correo electrónico de una lista de correo a petición de los remitentes.

Lista blanca

Lista de direcciones de correo electrónico, direcciones IP y dominios desde los cuales se envían mensajes que son aceptados por los usuarios. Todos los mensajes procedentes de estas direcciones se entregan al destinatario sin pasar por los filtros de spam.

Lista de agujero negro

Lista publicada, normalmente comercial, de direcciones IP conocidas como fuentes de spam que puede usarse para crear una lista negra para filtrar el correo procedente de esas direcciones.

Lista de agujero negro en tiempo real (RBL)

A diferencia de la lista de agujero negro, la lista de agujero negro en tiempo real rechaza todos los mensajes de spam, válidos o no, procedentes de direcciones conocidas por enviar spam o acoger a spammers. No obstante, esto podría llevar a los proveedores de servicios de Internet a tomar medidas anti-spam.

Lista gris

Los remitentes que no están en una lista negra (excluidos) o en una lista blanca (aceptados) pueden colocarse en una lista gris. Algunos programas anti-spam pueden enviar a las direcciones de la lista gris una respuesta automática solicitando al remitente que confirme su legitimidad.

Lista negra

Función del software anti-spam que permite al usuario designar direcciones IP, nombres de dominio y direcciones individuales de correo electrónico desde las que no aceptará mensajes.

Open Proxy

El caso de open proxy ó proxy abierto ocurre cuando dentro del equipo se instala un servidor proxy con el objetivo de que los equipos que se encuentran dentro de la red interna puedan navegar a través de este, pero la configuración que se realiza no es la adecuada, permitiendo que cualquier persona desde Internet pueda usar este equipo para navegar o en su defecto para enviar correo SPAM de forma anónima, quedando como origen del correo su equipo.

Open Relay

El ataque de Open Relay consta en usar el Mail Transport Agent (Agente de Transporte de Correos) como puente para correos (usualmente spam, aunque pueden ser muchas otras cosas, como los Hoax) que de otra manera no podrían llegar a destino, gracias a que los servidores bloquearon la dirección IP de origen. De esta manera, la gente que manda spam de forma indiscriminada se ve obligada a usar otros servidores para esta tarea. Estos servidores que permiten que se envíe correos a través de ellos, se los denomina Open Relay. La función de relay es una parte de los servidores SMTP y tiene usos legítimos, pero los spammers han aprendido cómo localizar servidores desprotegidos y secuestrarlos para enviar spam.

Page-jacking

Se trata del robo del contenido de una Web. Se copian algunas páginas y se colocan en una Web que parece ser legítima y el contenido se incluye en los principales buscadores, de manera que algunos usuarios visiten la página ilegítima.

Piratería informática (phreaking)

Se trata del acceso ilegal en una red telefónica para hacer llamadas de larga distancia gratuitas o intervenir llamadas. Este término también se usa para hacer referencia al incumplimiento de la seguridad en una red.

Phishing

Creación de réplicas de páginas Web para "pescar" a usuarios y hacerles enviar información personal o financiera o contraseñas.

Programas Peer to Peer

Aplicaciones que establecen una comunicación entre dos usuarios sobre Internet de manera reciproca.

Recolector de direcciones

Programa que examina páginas Web y filtra mensajes de listas de correo para obtener direcciones de correo electrónico a las que enviar spam.

Server Message Block

Protocolo de red que permite compartir archivos e impresoras (entre otras cosas) entre nodos de una red.

SMTP

Simple Mail Transfer Protocol (SMTP), o protocolo simple de transferencia de correo electrónico. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrónico entre computadoras y/o distintos dispositivos (PDA's, Celulares, etc).

Spam

Correo comercial no solicitado y correos masivos no solicitados.

Spammer

La persona o compañía que realiza el envío de Spam.

Spamming lists

Listas comerciales. Listas de direcciones de correo para envío de publicidad de forma masiva.

SPF

Sender Policy Framework. Es una protección contra la falsificación de direcciones en el envío de correo electrónico. Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes.

Spoofing

Se produce cuando grupos de spammers falsifican una dirección de correo electrónico para ocultar el origen del mensaje de spam. Grupos de estafadores por email o creadores de virus también utilizan este método. Los primeros falsifican las direcciones para hacer creer a los usuarios que el email procede de una fuente legítima, como por ejemplo un banco online. Del mismo modo, los creadores de virus han circulado supuestos parches de seguridad pretendiendo que proceden de algún soporte técnico.

Spyware

Programa que es instalado de manera "encubierta" en el computador de un usuario y el cual utiliza la conexión a Internet de este para sacara datos e información sobre el contenido de nuestro equipo o comportamiento al navegar en Internet.

Trampa de spam

Opción preseleccionada por defecto en un formulario online, de manera que los usuarios desprevenidos escojan recibir spam. También hace referencia al filtrado de software que bloquea direcciones de email conocidas por enviar spam.

Troyanos

Son programas que se instalan de manera silenciosa por un tercero en cualquier equipo o dispositivo que este conectado a Internet, con el fin de realizar un control de forma remota sobre estos sistemas comprometidos, y de esta manera, poder conectarse a estos equipos ó dispositivos para realizar acciones (ataques, envío de spam, etc) sin que el usuario legítimo pueda darse cuenta de esto.

Usenet (o Netnews)

Es un servicio al que se puede acceder desde Internet en el que los usuarios pueden leer o enviar mensajes (denominados artículos) a distintos grupos de noticias ordenados de forma jerárquica. El medio se sostiene gracias a un gran número de servidores distribuidos y actualizados mundialmente, que guardan y transmiten los mensajes.

Web bug

Pequeño gráfico insertado en un correo electrónico o página Web que avisa a un spammer cuando un mensaje se ha leído o previsualizado.

BIBLIOGRAFÍA

[1] http://spam.thegrebs.com/reports/spam_by_country.pl

[2] http://www.ciphertrust.com/resources/statistics/spam_sources.php

[3] http://www.ciphertrust.com/resources/statistics/zombie.php

[4] http://esp.sophos.com/pressoffice/news/articles/2006/04/dirtydozapr06.html

[5] http://www.itu.int/osg/spu/spam/intcoop.html

[6] https://www.agpd.es/upload/NotainformativaDefinitiva.pdf

[7] http://premium.vlex.com/doctrina/Datos-Personales/Se-celebro-III-Encuentro-Iberoamericano-Proteccion-Datos/2100-231151,01.html

[8] Presentación sobre "spam y otras prácticas nocivas en la red" realizada por Frank Tovar de Microsoft Región Andina.

[9] http://www.eweek.com/article2/0,1759,1584666,00.asp

[10] http://www.port25.com/corporate/corp_news_senderid.html

[11] http://en.wikipedia.org/wiki/Proxy_server

[12] http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

[13] http://alerta-antivirus.red.es/seguridad/ver_pag.html?tema=S&articulo=4&pagina=3

[14] www.microsoft.com/spam

[15] http://www.desenredate.com/articulos/spam.php

[16] http://www.tecnocv.com/content/view/23/2/

[17] http://spews.org/index.html

[18] http://www.spamhaus.org

[18] http://www.spamhaus.org/statistics.lasso

[19] http://dsbl.org/main

[20] http://cbl.abuseat.org/

[21] http://www.dnsbl.us.sorbs.net/

[22] http://www.ordb.org/

[23] http://www.spamcop.net/

[24] http://www.oecd.org/document/50/0,2340,en_2649_201185_33732274_1_1_1_1,00.html

[25] http://www.areaestrategica.com/spam

Diana Cristina López Toro,

John Edgar Congote Calle

Universidad Eafit

Departamento De Informatica Y Sistemas

Medellin

2006