Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 39, Mayo de 2005

Actuando contra el SPAM

Lourdes Velázquez Pastrana

 

Recientemente se ha escrito mucho sobre spam, sin embargo, es un tema que no se ha agotado, debido a que el spam se ha convertido no sólo en una molestia para los usuarios de correo electrónico sino, peor aún, en una amenaza a la integridad de los sistemas y a la información personal confidencial. Actividades como el phishing, scamming(1) y programas como los spywares(2) son los principales peligros con los que actualmente nos enfrentamos, los cuales sumados a la proliferación de virus y los ataques de negación de servicios que llegan a inhabilitar redes completas.

Pero ¿qué beneficio tienen los spammers? Bueno, esto se resume a dinero. Actualmente, los spammers tienen como incentivo el bajo o nulo costo que implica inundar las redes con millones de correos, por el retorno de hasta un millón de dólares mensuales, que provienen de un 0.05%(3) de respuestas obtenidas de usuarios que caen en el engaño o en la tentación de abrir o responder a correos spam.

Técnicas de los spammers

Sin embargo, las actividades de los spammers no se enfocan sólo a hacer dinero, sino a buscar formas cada vez más sofisticadas de evitar los filtros y herramientas anti-spam para llegar a los usuarios finales.

Una forma de actuar es a través de inventar direcciones de correo y enviarlas con la esperanza de que alguna de ellas sí exista. Los programas de generación de listas para correo masivo repasan todo el alfabeto y los caracteres válidos para formar palabras que puedan servir para crear millones de direcciones. Si una de ellas es válida, ya hubo un usuario final que recibirá el spam, y más aún, si el usuario opta por responder dicho spam, esa dirección es validada involuntariamente por el usuario, y será invadida de correo spam.

Para evitar que sus listas de correo sean bloqueadas, los spammers han desarrollado ingeniosas maneras de enmascarar direcciones IPs o URLs que parezcan válidas, cambiándolas constantemente para evitar que estén en listas negras.

Una vez que el spammer ha logrado conocer una dirección válida de un usuario final, su reto será ahora pasar los filtros anti-spam. Algunos filtros buscan palabras en el título del correo (subject), y la tarea del spammer es engañar al filtro, por ejemplo, cambian una “i” por un “1” y envían v1agra en vez de viagra. El filtro anti-spam no conoce la palabra v1agra y permite su paso. Cuando el filtro la aprende es un poco tarde, ya que el mensaje fue enviado a los potenciales usuarios. Después de esto, el spammer cambia nuevamente la palabra y el ciclo se repite.

Finalmente, los spammers son capaces de apropiarse de la administración de servidores con débiles sistemas de seguridad. Usando estos servidores, son capaces de inundar las redes con correo no solicitado y virus, escondiendo su verdadera personalidad atrás de un servidor de un usuario o una organización, sin que éstos lo sepan.

¿Cómo actuamos contra el spam?

Tanto los usuarios finales como los proveedores de servicio de correo electrónico pueden actuar contra el spam.

A nivel usuario, la gran mayoría de los clientes o programas que permiten leer correo (como por ejemplo: Oultlook, Nestcape, Eudora, Lotus Notes, etc.) cuentan con herramientas para generar listas negras de direcciones de donde no queremos recibir correo. El manejo de estas listas debe hacerse con cierto cuidado, ya que podemos bloquear la recepción de correos de toda una organización, cuando la intención era bloquear sólo una cuenta de correo.

Para protegerse contra los efectos del spam, es posible llevar a cabo algunas acciones sencillas.

Por ejemplo, se sugiere:

  • No abrir archivos anexos a los correos, sobre todo si éstos son archivos ejecutables.
  • Utilizar una cuenta especial, no la personal, para suscripciones, listas de correo, publicidad o solicitar información por Internet.
  • No responder al correo spam, ni siquiera para que su cuenta sea eliminada de las listas de envío, ya que dichas acciones sólo permiten validar que su cuenta sea legítima.
  • Evitar comprar directamente algo que se anuncie a través de correos spam. Si se interesa por un producto o servicio, verificar que las fuentes que lo ofrecen sean verídicas(4).
  • Tener la versión más actualizada de antivirus y actualizarlo constantemente.
  • Nunca abrir un correo electrónico desconocido o inesperado.

Los proveedores de servicio de correo electrónico, para luchar contra el spam, utilizan también técnicas sofisticadas para hacer filtrado de forma igualmente masiva. Toda una industria para el ataque del spam ha surgido con el objetivo de lograr una mayor efectividad y exactitud en el filtrado de correo no solicitado.

Algunas empresas cuentan con múltiples centros de operación y logística a nivel mundial, que les permiten diariamente conocer los nuevos virus y spams que se están generando continuamente. Para obtener dicho conocimiento, utilizan algunas o todas de las siguientes técnicas:

  • Utilización de listas negras de spammers (direcciones IPs y dominios) que son capturados por cuentas de correo engañosas, denominadas spamtraps o honeypots. Estas cuentas de correo permiten la captura de millones de mensajes que son analizados mensualmente para su etiquetación como 100% spam. Es importante notar que el análisis en muchas ocasiones se lleva a cabo a través de un grupo de personas que literalmente leen el correo para identificar el spam.
  • Uso de filtros que bloquean mensajes con base en la “reputación” del remitente. Existen direcciones y dominios que los spammers usan de manera muy común para atacar a las redes, por lo que estos dominios son invariablemente analizados para discernir entre el correo legítimo y el spam.
  • Utilización de métodos para descubrir patrones de envío de correos, identificar servidores inseguros que han sido comprometidos y medir volúmenes de mensajes enviados desde una misma dirección.
  • Aplicación de filtros heurísticos que analizan el título, el cuerpo y otra información del correo entrante. Con base en ese contenido, se le asigna una calificación al correo que es comparada con un valor de referencia. Este valor determina si el correo es o no spam. El problema aquí, es el criterio para establecer ese valor de referencia que podría etiquetar un alto volumen de correo legítimo como spam (falsos positivos).
  • Utilización de herramientas que permitan el filtrado por idioma. Dependiendo del país en que se apliquen estos filtros, dicha técnica puede ser muy efectiva considerando que el 80% del spam se escribe en inglés.

Lo que se busca en un producto anti-spam

Los proveedores de servicio de correo electrónico que quieren proteger a sus usuarios, buscan sobre todo la exactitud en la identificación de spam. Esta exactitud se refiere a la tasa de ocurrencias de falsos positivos, esto es, los correos legítimos etiquetados como spam. Por ejemplo, si una institución recibe 500 mil correos diarios, una tasa del 1% en falsos positivos nos lleva a cinco mil correos que, aunque legítimos, son filtrados y no llegan al usuario final. Ésta, puede entonces considerarse como una tasa alta, hablando de medio millón de mensajes diarios. Con base en ello, se busca encontrar un producto que nos ofrezca una mínima tasa de falsos positivos.

Algunas otras características pueden definir los parámetros de selección de un equipo o software anti-spam, como:

  • Establecer si la solución requerida se basará sólo en un software que se instale en el servidor de correo, o en un equipo independiente a dicho servidor.
  • Desempeño en el filtrado e identificación positiva de spam.
  • Tiempo y forma de “aprendizaje” del spam.
  • Desempeño de un eficiente procesamiento, con base en el número máximo de mensajes transitados por el servidor diariamente.
  • Desempeño en la respuesta a ataques de virus o negación de servicio.
  • Uso de carpetas de cuarentena que le permitan al usuario tener la elección de revisar el correo filtrado antes de eliminarse.
  • Administración con interfaz gráfica para estadísticas y monitoreo mediante niveles de seguridad en dicha administración.
  • Plataforma basada en sistemas operativos menos vulnerables en cuanto a seguridad se refiere.
  • •Configuración granular que permita la aplicación de políticas de filtrado, tanto para dominios completos como para cuentas individuales.

Conclusión

La industria del spam es tremendamente dinámica y va evolucionando en sofisticación, eficiencia y exactitud, sin embargo, no existe un producto que detenga el 100% del correo spam sin ninguna ocurrencia de falsos positivos.

La exactitud del filtrado de correo puede representar una inversión considerable, pero, por otro lado, el precio que se paga por no combatirlo es sumamente alto, sobre todo cuando se habla de poner en riesgo la integridad de la información confidencial y personal de los usuarios de correo electrónico.

Mucho tienen que hacer las empresas anti-spam para mantenerse en esta batalla, y a nosotros, como usuarios finales de correo, nos tocará por un tiempo más, recibir spam en nuestros buzones electrónicos, y peor aún, esos correos llegarán muy pronto a nuestros celulares.

 

1 Ver Entérate, artículo "Phishing Scam. Atrapando incautos", 30 de septiembre de 2004, año 3, número 32.

2 Ver Entérate, artículo "Spyware, el software espía", 31 de marzo de 2005, año 4, número 37.

3 Symantec Internet Security Threat Report.

4 Ver Entérate, artículo "Barriendo spam", 31 de marzo de 2005, año 4, número 37.

 

Inicio | Contacto |