Correo no deseado. Causas, tipologías y medidas de prevención.

El correo electrónico es un invento absolutamente revolucionario. Sus grandes ventajas son la gratuidad de los envíos, la rapidez, la posibilidad de incorporar archivos adjuntos con contenidos de todo tipo, tales como documentos ofimáticos, fotografías, vídeos, música, libros, y sobre todo, su universalidad. Todos tenemos correo electrónico. Tras muchos años de exclusividad, finalmente hemos llegado a un punto en el que lo verdaderamente raro es no tener email.

¿Sus desventajas? Sólo una digna de reseña. Es un medio ideal para transportar, además de información útil, todo tipo de basura: engaños, timos, bulos, leyendas urbanas, publicidad indeseada ... la lista es demasiado larga como para citarla completa.

Este artículo está especialmente dirigido a las personas con un nivel de conocimiento básico e intermedio, con especial orientación a los usuarios primerizos. Las personas con un nivel más elevado o experto no hallarán en este texto nada nuevo, sólamente un conjunto de ideas que ya conocen. No obstante, estáis invitados a una lectura, para refrescar conceptos.

El porqué del correo no deseado

Los contenidos de este tipo, que englobaremos dentro de una macrocategoría que podríamos llamar correo no deseado (o indeseable, por qué no) generalmente persiguen alguno de estos objetivos:

1. El fraude económico, cómo no. Engañar a la gente y obtener, a consecuencia del engaño, dinero. El caso más representativo, sin entrar en phishing, son las cartas nigerianas.
2. La diseminación de malware a gran escala, generalmente con fines económicos. El caso más relevante es el robo de identidad bancaria a través de la diseminación de troyanos de captura de credenciales.
3. La publicidad fraudulenta,es decir, el spam puro y duro, aquel que persigue efectos comerciales: un caso muy frecuente, la venta de medicamentos, que no sólo representa la publicidad no deseada, sino habitualmente, la venta ilícita como agravante.
4. La saturación y/o denegación de servicios de un proveedor determinado (¿quién no ha recibido un mensaje anunciando que MSN Messenger se convierte en un servicio de pago?)
5. La recopilación de direcciones de correo, para confeccionar listas de recipientes, que serán empleadas posteriormente para cualquiera de los propósitos que estamos describiendo
6. La notoriedad, poder demostrar que somos capaces de diseminar un engaño por todo el planeta. Colocar un bulo en la portada de un periódico es un reto personal para más de uno, aunque resulte difícil creerlo.

Sin entrar en los casos donde se persigue notoriedad, denegar servicios o simplemente, molestar, la presencia de correo basura se debe, principalmente (una vez más) a los fuertes ingresos económicos que se obtienen a través del correo no deseado. Bien sea por timos o engaños, bien sea por publicidad, bien sea por la captura de credenciales bancarias o la venta masiva no legítima, el volumen de negocio es aterrador. El correo indeseado supone del orden, según diversas fuentes, del 70-80% del total del correo a escala mundial. De cada 10 mensajes que atrerrizan en nuestro servidor de correo, probablemente 7 u 8 sean, en la mayoría de entornos domésticos y empresariales, mensajes no deseados con alguno de los propósitos explicados anteriormente.

Sobre cifras económicas, datos del año 2003, los spammers generaron ingresos próximos a los 130 millones de dólares, según Ferris Research. Hoy en día, la cifra es superior. Además, el correo basura también daña el bolsillo de quienes no sufren sus primeras intenciones. Según la Agencia Española de Protección de Datos, cada trabajador necesita entre 15 y 20 minutos diarios para eliminar este tipo de mensajes de sus buzones todos los días, tiempo improductivo que también es aplicable a los usuarios domésticos.

No obstante, el cálculo exacto del coste del correo basura es materialmente imposible, por los miles de factores que afectan al proceso. Hablaremos siempre de estimaciones, basadas en datos estadísticos promedio.

Principales tipos de correo no deseado

• Spam publicitario

  Dentro de este mensaje, hablaremos del spam puro y duro, aquel orientado, tal y como hemos visto en la introducción, a la publicitación de productos y servicios de carácter masivo. Este tipo de spam engloba tanto la publicidad de productos legítimos, como aquella de productos ilegítimos. También aglutina las formas de venta legales, así como las no legales. El spam basa su éxito en los bajísimos costes para sus activistas: en torno a 0.025 céntimos de dólar por envío, cifras del año 2003.

• Correo orientado al fraude financiero

  Los principales tipos son, tal y como se ha dicho, las cartas nigerianas y el phishing. Las únicas medidas válidas en estos dos tipos de correo indeseado es conocerlos previamente para identificarlos. Sobre este tipo de amenazas, podéis documentaros ampliamente en este blog y en las boletines de una-al-dia.

  Especialmente reseñables en este campo, los ataques segmentados, orientados a perfiles determinados de población, modelo al que tienden los atacantes en detrimento del modelo clásico masivo.

• Correo destinado al transporte de malware

  Generalmente, como se ha explicado, tienen con fin transportar malware orientado al robo de credenciales. La evitación de sus efectos para por la correcta actualización de soluciones antivirus. Sólo en el año 2004, más de 10 millones de usuarios fueron víctimas de robos de este tipo, generando ingresos a los grupos de crimen organizado por valor de 50.000 millones de dólares. Y eso sólo en Estados Unidos.

  Sobre troyanos, hay abuntantes boletines Hispasec sobre el tema ideales para documentarse.

• Bulos y correos cadena

  El correo es frecuentemente medio de transporte de todo tipo de noticias falsas y bulos. Generalmente, nos llegan en forma de correo cadena. Aplique sentido común a estos mensajes antes de reenviarlos compulsivamente.

  En esta categoría caben destacar las alertas sobre virus incurables, mensajes de temática religiosa, cadenas de solidaridad, cadenas de la suerte, métodos para hacerse millonario y regalos de grandes compañías.

  Estos mensajes se caracterizan por no ir firmados, por invocar a grandes empresas, por la petición de que reenviemos el mensaje a todos nuestros contactos y contienen habitualmente una amenaza de que grandes desgracias nos esperan si no lo propagamos en un espacio de tiempo determinado.

  No son cadenas, pero terminan siéndolo, aquellos mensajes con chistes, fotos, ficheros de presentación que pudiendo haberse originado como contenido no orientado a la distribución masiva, termina siéndolo. Especialmente dañinos son los ficheros de presentaciones, por el tamaño de los archivos adjuntos.

  Los hoaxes resultan en pérdida de tiempo, congestión de servicios de correo y sobre todo, hacen perder valor a las cadenas creadas con propósitos lícitos y necesarios. Evitar los hoaxes es muy sencillo. Basta con aplicar el sentido común.

• Leyendas urbanas

  Son tipos especiales de bulo, creados con la misma finalidad: congestionar servicios, principalmente. En esta categoría entran todas aquellas historias fantásticas que la gente da como ciertas, cuando son sólo ficción. Hay para todos los gustos, siendo algunas realmente conocidos: los gatos metidos en tarros de cristal y las profecías de Nostradamus y el 11-S son dos casos muy populares que ilustran este tipo de correo indeseado.

  Evitar estos mensajes es posible descartándolos y no redistribuyéndolos. Aplique el sentido común, para distinguir la información veraz de la que procede de la ficción, antes de remitirla a sus contactos de correo.

Técnicas de recolección de direcciones de correo

En la Wikipedia quedan perfectamente descritas las técnicas de minado de datos empleadas para que los spammers se hagan con nuestras direcciones. Son las siguientes:

• Documentos Web: páginas, foros, blogs, y cualquier otro documento rastreable que contenga direcciones de correo, puede ser pasto de los spammers. La recolección automática se basa en la detección de estructuras del tipo ident@dominio.tld, que al ser barridas por el software de minado, pasan a la lista. Así pues, ese correo que acabamos de poner, posiblemente esté ya en un listado de spam.
• Listas de correo, grupos de noticias, muy empleados en la recolección de direcciones cualificadas
• Mensajes cadena, como los comentados anteriormente, en los que los reenvíos hacen que junto al chiste o imagen, aparezcan infinidad de direcciones fácilmente aspirables.
• Formularios de solicitud de información, o aquellos en los que se nos invita a recomendar algo a un amigo. También se incluyen aquí aquellos formularios en los que, como medida gancho, se garantiza el acceso a warez, a regalos o pornografía con sólo apuntar el email.
• Métodos automatizados, en los que un robot genera nombres aleatorios para un dominio con palabras populares. Los mensajes no devueltos implican la existencia de un buzón.
• Generación de bases de datos, en la que a través del teléfono se nos piden datos que pasarán después a engrosar un CD con nombres, direcciones, emails, teléfono, etc. Ojo: las recopilaciones de bases de datos no son ilegales, al menos en España, siempre que no incluyan información personal, procedan de fuentes accesibles al público o bien existiendo consentimiento de los afectados, en caso de que haya presencia de datos personales.
• Otros métodos, como la penetración en sistemas informáticos, obtención de datos escrutando papel desechado, etc.

El proceso del envío de correo basura. Métodos habituales. Verificación. Del email basura al email de impacto.

El procedimiento habitual consiste en aprovechar máquinas endebles, no securizadas pertinentemente, para gestionar los envíos a través de infraestructura de terceros. Esto no sólo revierte en la reducción a prácticamente coste cero, sino que dificulta la trazabilidad de los atacantes. Además, la suma de capacidad de cómputo de cada máquina del botnet suma en la capacidad global de cómputo de la red completa, lográndose un efecto multiplicador. Comprometer una máquina para estos fines no es difícil: una máquina Windows 2000 Server sin parchear es atacada en apenas una hora tras su conexión a la Internet. Posiblemente, tras el ataque, se comvierta en una máquina zombie de una red de bots.

Las máquinas comprometidas se unen y forman redes automatizadas, llamadas botnets, controladas por los atacantes. Estas máquinas, bajo un gobierno centralizado, ejecutan los envíos sin que sus propietarios adviertan en gran parte de los casos absolutamente nada, salvo el evidente enlentecimiento del ancho de banda de salida.

Otros métodos son, además del básico, consistente en realizar los envíos con la propia infraestructura, en emplear infraestructuras mixtas, enviando mensajes a través de servidores de correo que permiten el relay, es decir, el envío sin autenticación. La permisividad del relay es un factor clave para que nuestro servidor de correo sea la víctima ideal de los spammers. en sus envíos. No permita el relay, salvo que expresamente conozca los riesgos y la apertura de mensajes no verificados ni autenticados esté justificada.

Tras los envíos primarios, llamados envíos "basura", cuya única misión es filtrar y depurar los listados de direcciones, se verifica la tasa de retorno y se descartan direcciones cuyos remitentes no existan, actualizándose la lista. Los recipientes cuyos servidores no informen de buzones inexistentes pero que no hayan confirmado actividad respondiendo a los mensajes, pasan a un estadio intermedio.

Esta lista refinada con recipientes que se saben existen y que están activos, ya que han contestado o han seguido los pasos indicados en el mensaje, es la lista que servirá para ataques de mayor calidad. Estos datos son la fuente de partida de los ataques segmentados, de los que hablábamos antes. Servirán para emails de impacto, y son datos muy cotizados puesto que proporcionan tasas de éxito significativas, sobre todo si contienen otros datos de perfil, como localización, idioma del recipiente, y cualquier otro dato relativo a su demografía.

Evitar el correo indeseado

Maneras de evitar al máximo los efectos del correo indeseado hay muchas, si bien no hay fórmulas magistrales para deshacerse de la basura en el email. La Agencia Española de Protección de Datos elaboró un interesante decálogo al respecto, que contiene muchas pistas sobre buenas prácticas para evitar el spam, que cito a continuación, puesto que me parece completo y suficiente:

1. Ser cuidadoso al facilitar la dirección de correo. Facilitar únicamente la dirección de correo a aquellas personas y organizaciones en las que confía y que quiera comunicar.
2. Utilizar dos o más direcciones de correo electrónico. Utilice una dirección para aquellos casos en los que no se confíe o conozca lo suficiente al destinatario, y otra dirección personal que sea conocida únicamente por sus amigos o por sus contactos profesionales.
3. Elegir una dirección de correo poco identificable. Para crear una dirección de correo electrónico y reducir el envío de Spam, sería conveniente no introducir campos que sean potencialmente identificables por el spammer.
4. No publicar la dirección de correo. No se debe anunciar la dirección de correo en buscadores, directorios de contactos, foros o páginas Web. Cuando envíe correos en los que aparezcan muchas direcciones, envíelas usando con copia oculta. Si es necesario facilitar la dirección de correo en alguna Web, escriba ‘at’ o ‘arroba’ en lugar de @. Asimismo, si reenvía un correo, elimine las direcciones de los anteriores destinatarios.
5. Leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación. Si se va a suscribir a un servicio on line o a contratar un producto, revise la política de privacidad. No dude en ejercer los derechos de acceso y cancelación sobre sus datos ante estas empresas.
6. Sensibilizar a los niños sobre la utilización del correo y la mensajería instantánea. Los niños son objetivos ideales para promocionar información sobre la composición y las prácticas de consumo del hogar. Además, los correos que pueden tener contenidos no aptos para los niños.
7. No es conveniente contestar al Spam. Es conveniente desactivar la opción que envía un acuse de recibo al remitente de los mensajes leídos del sistema de correo electrónico. Si un spammer recibe dicho acuse sabrá que la dirección está activa, y lo más probable es que le envíe más Spam.
8. No pinche sobre los anuncios de los correos basura. Entrando en las páginas Web de los spammers podemos demostrar que nuestra cuenta de correo está activa, con lo que puede convertirse en un objetivo para nuevos envíos.
9. Utilice filtros de correo. Los programas de gestión de correo electrónico y muchas páginas Web ofrecen la posibilidad de activar filtros que separan el correo deseado del Spam.
10. Mantenga al día su sistema. Utilice programas antivirus y actualizaciones y parches que corrigen los problemas detectados en los programas de su equipo. Además, es muy recomendable la instalación de cortafuegos para monitorizar lo que ocurre en el ordenador.

Conclusiones

Debemos otorgarle al correo basura la importancia que tiene, no en cuanto a sus contenidos, sino en cuanto a que representa un problema real, además con tendencia alcista.

Aplicar el sentido común evita muchos problemas a la hora de gestionar el correo. En circunstancias normales nadie va a invitarle a recibir millones de dólares u objetos lujosos por el mero hecho e enviar un email. Desconfíe de aquello que no parezca normal o cotidiano, en la gran mayoría de los casos acertará al hacerlo.

Y para cuando no funcione el sentido común, existen medidas perimetrales de filtrado, como Spamasssasin, y filtros de correo para las estaciones de trabajo que nos pueden ayudar. Es recomendable emplear clientes de correo seguros y con capacidades de filtrado, como por ejemplo, Mozilla Thunderbird.

Y no olvide disponer de soluciones antivirus actualizadas. Le protegerán.

---

Sergio Hernando | Powered by WordPress | Theme original de Nathan Rice modificado por Sergio Hernando | Licencia