Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 6, Número 63, Octubre de 2007

La batalla global en contra del spam
Cristos Velasco San Martín

Mucho se habla del spam (correo basura) (1) y de las repercusiones técnicas que causa en la seguridad de las redes, sobre todo, en todos aquellos usuarios que acceden al correo electrónico día con día. Sin embargo, las soluciones tanto técnicas como jurídicas para contrarrestarlo se encuentran aún en etapa incipiente, y existen muchísimos retos entre los organismos internacionales competentes en la materia y los gobiernos de los países para la correcta aplicación de la legislación en contra de quienes los generan (spammers), sobre todo, para incrementar y mejorar la cooperación entre las autoridades competentes locales en cuanto a compartir información, identificar, perseguir y juzgar a los spammers en la jurisdicción donde los usuarios afectados se encuentran ubicados.

Lo anterior, implica un conflicto de leyes anti-spam en materia de protección al consumidor en el ciberespacio, además de que representa un aspecto regulatorio difícil de resolver, puesto que tanto el spam como el phishing*, delito que utiliza el correo basura como medio de distribución, son problemáticas de carácter transfronterizo que desconocen límites geográficos.

La mayor parte del spam proviene de países diferentes a donde se comete el ilícito, por el hecho de que los spammers y phishers son individuos de distintas nacionalidades que emplean servidores ubicados en un gran número de lugares para perpetrar sus actividades, y se encuentran físicamente dispersos alrededor del mundo. Por ello la detección de esta estafa y engaño por Internet se vuelve casi imposible, si se considera que la mayoría de las naciones en donde normalmente se ubican no cuentan con legislación anti-spam, tema poco prioritario en las agendas de las legislaturas y las autoridades competentes encargadas de su persecución.

Los casos más destacados en contra de spammers y los mejores ejemplos de cooperación y coordinación entre autoridades competentes se han dado, principalmente, en países desarrollados que cuentan con la legislación correspondiente y, sobre todo, con los recursos humanos y financieros necesarios para su persecución, como son Australia, Holanda, Nueva Zelanda y, por supuesto, los Estados Unidos.

Estadísticas recientes sobre spam y phishing

De acuerdo con estadísticas de distintas empresas de seguridad y software anti-spam se calcula que alrededor del 85% del correo electrónico que circula en la red es spam. El proyecto Honeypot, del cual forman parte un gran número de Proveedores de Servicios de Internet (ISPs) a nivel mundial, contempla a China, Estados Unidos, Corea, Alemania y Polonia como los principales países en donde se originan los mayores volúmenes de spam.

La empresa Sophos, en su difundida lista anual “Dirty dozen spam relaying countries”, incluye una categoría de generación de spam por continente con estos porcentajes: Europa 35.1%, Asia 33.4%, Norteamérica 22.9%, Sudamérica 6.6%, África 1.4%, Australia 0.6% y la Antártica con 0%.

Por su parte, la empresa Avira señala que las cinco regiones que generan el mayor número de sitios phishing son: Norteamérica 58.87%, Europa 27.42%, Asia 4.84%, Sudamérica 2.42% y Euro Asia con 2.42%.

Aunque en México no existen estadísticas oficiales, la compañía Netcraft reportó un aproximado de 14 sitios phishing durante abril de 2005 para México.

Reportes del UNAM-CERT de la DGSCA, en la Universidad Nacional Autónoma de México, a través de diversos mecanismos por canales cifrados y confidenciales de diversos medios como NSP-SEC, Phish Track, Malware, Castle Cops, Cymru, CERT, Policía Federal y Honeynets indican que en 2006 se detectaron 2,050 casos de phishing que afectaron a instituciones mexicanas. Para abril de 2007, se sumaron 587 (véase Congreso de Seguridad 2007 de la DGSCA-UNAM, ponencia del 7 de junio “Taxonomía del phishing en México”, en http://congreso.seguridad.unam.mx/?liga=download).

Esfuerzos a nivel multilateral

En noviembre de 2006, la Organización para la Cooperación y el Desarrollo Económico (OCDE), de la cual México forma parte, dio a conocer el Anti-Spam Tool Kit, una iniciativa del grupo conformado por este organismo Anti-Spam Task Force, cuyo propósito es proporcionar a los estados miembros, una guía de orientación para la implementación de legislación, políticas, medidas tecnológicas e iniciativas adecuadas para combatir el spam. El Anti-Spam Tool Kit está compuesto de ocho elementos, que son: (i) elementos regulatorios; (ii) medidas de ejecución; (iii) iniciativas de la industria; (iv) soluciones tecnológicas; (v) educación y concientización; (vi) cooperación entre los distintos sectores; (vii) medidas anti-spam; y (viii) cooperación global.

El foro para la cooperación Asia-Pacífico (APEC), del cual México forma parte a través de la Secretaría de Economía, emitió en junio de 2005, los principios de acción en contra del spam y sus guías de implementación para los 21 países miembros. Estos lineamientos buscan fomentar la cooperación internacional tomando como base lo que han hecho otros organismos internacionales, así como establecer mejores prácticas para su combate en la región Asia-Pacífico.

Foros en la Unión Europea

El 24 y 25 de mayo de 2007 tuvo lugar en Viena, Austria, el Spam Simposio 2007 que reunió a diversos expertos europeos y de otros países, interesados en el análisis de la problemática generada por el spam y el phishing a nivel mundial, con la finalidad de encontrar soluciones viables para su combate. En este simposio se discutieron aspectos técnicos, jurídicos y regulatorios en materia de phishing y spam, por ejemplo, se habló sobre la importancia de las leyes de privacidad y protección de datos como medios alternativos para contrarrestar el spam y el phishing a nivel mundial; la evolución y el incremento de actividades en materia de crimen organizado; la coordinación de un mayor número de ISPs y la cooperación internacional de las autoridades competentes encargadas de la persecución de spammers a través de los organismos internacionales existentes.

Asimismo, se analizaron algunas de las técnicas que actualmente utilizan los spammers para traspasar software y filtros anti-spam con objeto de acceder a las cuentas de correo electrónico; los foros virtuales que utilizan para iniciarse en actividades spam y compartir información sobre la disponibilidad de botnets (redes zombies) (2) –cuya adquisición oscila entre $6 mil y $10 mil dólares americanos–, el acceso a servidores ubicados en países en vías de desarrollo, los principales productos que se comercializan a través del spam, y los distintos métodos de pago que se usan para vender los productos al consumidor final.

Por último, se hicieron algunas predicciones con respecto a la evolución del spam en los próximos años. Al respecto, se espera un mayor número de penny stocks y pump and dump spam o mecanismos de piramidación que operan los spammers, mediante la adquisición de acciones de compañías para incrementar o inflar su valor comercial real que, posteriormente, venden para obtener ganancias antes de que su precio se desplome en las bolsas de valores. Igualmente, se espera un aumento en el volumen de spam basado en imágenes con mayor grado de definición, el spam en telefonía móvil y protocolo IP e inclusive, el spam en video, a través de sitios de contenido generados por usuarios, como MySpace y YouTube.

El marco normativo en México

Desde el año 2000, México cuenta con una legislación al respecto donde se prohíben las prácticas de mercadotecnia mediante comunicaciones no solicitadas, tanto en forma física como electrónica, además de algunas medidas anti-spam contenidas en cinco artículos de la Ley Federal sobre Protección al Consumidor (LFPC), en las que se adoptan los lineamientos de la OCDE sobre protección al consumidor en el contexto del comercio electrónico.

Por ejemplo, la fracción VI del artículo 76 BIS otorga la opción al consumidor mexicano de optar o revocar su consentimiento, para recibir avisos comerciales y publicidad en transacciones llevadas a cabo por Internet.

La fracción VII del propio artículo 76 BIS prohíbe al proveedor, utilizar estrategias de venta o publicitarias que no proporcionen al consumidor información clara y suficiente sobre los servicios ofrecidos, en especial tratándose de prácticas de mercadotecnia dirigidas a la población vulnerable. La LFPC establece multas que van desde los $166.25 hasta $1’950,747.46 dependiendo de las circunstancias, la gravedad de la infracción y la reincidencia del infractor.

De igual forma, la legislación en México sanciona a las empresas e individuos ubicados en territorio nacional que envían mensajes comerciales no solicitados y cometen prácticas de mercadotecnia desleales; aunque no prevé disposiciones de carácter penal y transfronterizas para aquellas empresas e individuos ubicados en otros países que ocasionan un daño patrimonial, como resultado del envío de mensajes spam a un consumidor que se localiza en territorio mexicano.

Existen innumerables retos técnicos y jurídicos para combatir el spam y el phishing en el mundo, aunque si se desea contrarrestarlos a nivel local, un elemento clave sería la planeación de campañas de educación y concientización dirigidas a los usuarios o consumidores finales. En la medida en que un usuario esté bien informado sobre las consecuencias del spam y phishing, y lo que debe hacer para proteger su información personal y financiera, se logrará un avance.

La legislación juega un papel determinante para desalentar el establecimiento de operaciones spam en determinados territorios, pero dista mucho de ser el único elemento por considerar para su combate, debido al conflicto de leyes entre diversos países, la falta de coordinación entre las autoridades y las distintas jurisdicciones donde se encuentran ubicados los spammers y sus redes de operación.

Para mayor información:

http://www.oecd-antispam.org/article.php3?id_article=265
http://www.apec.org/apec/ministerial_statements/sectoral_ministerial/
telecommunications/2005/annex_e.html

http://www.spamsymposium.eu/archivewebcast.htm
http://www.nacpec.org/es/links/spam/index.html
http://www.nacpec.org/es/apoyo_al_consumidor/faq-spam.html
Velasco San Martín, Cristos, “Mexico’s Experience in Combating Spam.
A Legal Perspective from a Consumer Advocate”. Contribución para el Encuentro temático
sobre ciberseguridad organizado por la Unión Internacional de Telecomunicaciones (UIT),
Ginebra, Suiza, julio de 2005.

http://www.itu.int/osg/spu/spam/legislation/
Mexico_Contribution_%2006_%20June_%202005.pdf

NOTAS

  1. Véase Enter@te: Internet, cómputo y telecomunicaciones, núm. 32, septiembre de 2004 (http://www.enterate.unam.mx/Articulos/2004/septiembre/cbasura.htm)
  2. Véase Enter@te: Internet, cómputo y telecomunicaciones, núm. 45, enero de 2005 (http://www.enterate.unam.mx/Articulos/2005/enero/zombi.htm)

 

Inicio | Contacto |

tml>