Hola,
Acabo de ver en el blog de Enrique un artículo que habla de una de mis temáticas favoritas: el spam. Me gusta el texto porque enlaza a una investigación reciente en la que podemos ver números, lo que siempre ayuda a comprender la magnitud de los riesgos y amenazas tecnológicas.
Los números siempre son interesantes, ya que somos muchos los que hablamos de amenazas, pero muy pocos los que ejemplifican con magnitudes (y salvo excepciones, yo soy el primero que no se moja con frecuencia en cifras). Hoy en día, en ausencia de criterios fiables y estandarizados, cada cual cuenta la feria según la ha vivido (generalmente, en función a lo que quiere vender o promulgar), con lo que resulta muy difícil formarse criterio propio a la hora de comprender cómo de importantes son los problemas de seguridad. En otras palabras: aquí cada cual decide si lo que investiga es importante o no.
El spam, el phishing, los troyanos, las intrusiones, las extorsiones, las denegaciones de servicio, el robo o revelación de secretos industriales … si no sabemos qué impactos tienen, a duras penas sabremos si son relevantes o no. Esas amenazas existen para ejecutar principalmente delitos financieros, provocar problemáticas legales y lograr el deterioro reputacional, con lo que sin una traducción a términos económicos las clasificaciones de lo que es importante o no dejan de ser relevantes y se tornan en papel mojado.
Spam gets 1 response per 12,500,000 emails narra cómo un grupo de siete especialistas de la Universidad de California, Berkeley y San Diego se infiltraron en la archifamosa Storm Botnet. Estos investigadores tomaron control de 75,869 máquinas comprometidas para realizar sus propias campañas de spam. Para ello reprodujeron el ciclo real de sitios ilegítimos de farmacia y venta de sucedáneos de Viagra, dos reclamos muy habituales en el correo basura.
Las cifras son contundentes: Tras 26 días, 350 millones de mensajes, el retorno de los leads se tradujo tan sólo en 28 eventos de venta, lo que implica una tasa de conversión inferior al 0.00001%. No obstante, que nadie se deje llevar por esta aparentemente pobre cifra de retornos, ya que los investigadores han estimado, en función al experimentos, que los propietarios de una red como Storm provoca ingresos de unos 7000 USD diarios (unos 5495 euros), lo que arroja unas ganancias de unos 2 millones de euros anuales. No está nada mal.
Estoy convencido que si le decimos a alguien que el correo basura sirve para ganar millones de euros, con datos en la mano, nos entenderá mejor que si les decimos que el spam es una amenaza en la que se aprovechan vulnerabilidades en máquinas conectadas a Internet para someterlas al control de botnets, y así poder integrarlas en una red de máquinas zombie mediante las cuales ejecutar envíos coordinados de correo basura cuya finalidad es la realización de fraudes, de ventas no sometidas a control y en general, cualquier evento que conduzca al enriquecimiento ilegítimo.
Un saludo,