Última modificación: Febrero 2 de 2009 NOTA: Ésta es una entrada larga, si ud. no lee regularmente le recomiendo que lea la entrada por partes en el siguiente orden, empezando por el título sugerido: Introducción: ¿Qué es SPAM?, ¿De dónde proviene?, Potenciales soluciones, Sanidad informática.
Introducción: ¿qué es SPAM?
Si somos usuarios habituales del correo electrónico de seguro estamos en contacto permanente con una de las más grandes y más serias amenazas de internet: el SPAM o correo no deseado. El SPAM es el uso indebido del correo electrónico para promocionar productos o sitios web que quien recibe el mensaje no pidió. A alguna persona desprevenida le puede parecer hasta agradable que le lleguen promociones exóticas o, en una modalidad bastante popular, correos de ayuda a un tercero o avisos ¡¡¡SUPERRECONTRAHIPERIMPORTANTES!!!!, pero hoy en día todos hacemos uso intensivo de este servicio y nos vemos inundados con tanto correo no deseado que a veces recibimos más correo no deseado que importante. A mí por ejemplo me llegan permanentemente propagandas de Viagra barato o Cialis -que hace poco supe que era una variante de Viagra-, me han llegado correos -hasta creíbles- de loterías electrónicas donde me dicen que gané y que sólo tengo que registrar ciertos datos para reclamar el premio y muchas otras cosas que me abruman y que lo mínimo que me toca hacer es tomarme el tiempo de borrarlos antes de poder leer realmente mi correo. Otro gran problema que genera el SPAM es que consume muchos recursos de red. Estos correos se envían por miles, lo que implica que los canales de transporte de datos deben soportar esa carga, que no es pequeña, y que los servidores deben realizar muchas operaciones en la transacción: crear copias de los correos -eso implica mucho espacio en la memoria de trabajo y en el disco duro-, crear paquetes de envío -para muchos servidores de destino diferentes-, enviarlos, recibir las respuestas de error que generan -porque muchos correos a los que se envían, ya están abandonados o son falsos-, entre otras muchas operaciones que se deben efectuar para un envío de correo de esta magnitud. Lo anterior implica espacio de Mega/Giga o hasta Terabytes en los discos duros de los servidores que envían y los que reciben, que a su vez repetirán la acción en cierta proporción dependiendo de cuántos de sus usuarios reenvíen «en sólo unos segundos» o «con sólo un click» los mensajes a todos sus contactos. Lo anterior sin contar el volumen que implica todos estos datos fluyendo casi permanentemente en Internet. Toda esta inversión de recursos no es despreciable, algunas organizaciones indican que el volumen de información de Internet es mayoritariamente SPAM -cerca del 90%-. Como de costumbre, al final de ésta entrada hay una serie de enlaces informativos que lo llevarán a sitios de autoridad dedicados a los temas mencionados.
¿De dónde proviene el SPAM?
El correo no deseado obtiene víctimas fundamentalmente de tres fuentes: páginas web públicas cuyo contenido inculye direcciones de correo electrónico, correos electrónicos virales y virus/gusanos/troyanos. Éste fenómeno ha evolucionado y sigue evolucionando: conforme se encuentran «soluciones», también se genera una reacción contraria que evade la solución. Originalmente, con sólo hacer un listado de servidores de correo que se sabían que generaban spam era suficiente para controlarlo, pero ya no es tan fácil. Éste correo lo envían programas escritos específicamente para eso, programas que modifican los mensajes de tal manera que sea difícil reconocer de dónde provienen y además usan reglas de ingeniería social, que estudian los temas a los que la gente es más sensible para hacerse interesantes, temas como el sexo, fotos, temas que aluden al pesar, la solidaridad o algún otro sentimiento o causa que haga más probable que el receptor lo abra y lo reenvíe. El problema es tan grave que en ocasiones el sólo hecho de abrirlo significa un éxito para los spammers -registra una lectura o dispara una aplicación autónomamente que puede instalar virus si se usan clientes de correo mal configurados como a veces sucede con MS Outlook. Direcciones de correo en páginas web públicas Hablando de ingeniería social… ese es tema de una entrada completa, otro día será. Algunos programas que exploran automáticamente Internet en busca de información se llaman genéricamente robots o bots, no todos son malos, por ejemplo los motores de búsqueda, como google, indexan las páginas y sus temas con éste método, pero no falta el malicioso que reescribe estos programas para vender acceso masivo a direcciones de correo y hacer publicidad mundial. Cualquier página que contenga indicios de una dirección de correo electrónico es susceptible de promover este »servicio», por ejemplo si una página pública contiene una @ el robot sabe que es probable que alrededor de ella esté el resto de una dirección de correo y si halla los patrones (letras o texto seguido antes y después de la @ y un punto después del texto que sigue la arroba) registra ésta posible dirección de correo y entrará en las listas de víctimas… o potenciales usuarios de viagra o cialis. Este proceso se repite permanentemente de tal manera que un robot puede recolectar miles o millones de direcciones por día y por ende enviar un volumen importante de correos a partir de esa información. Correos virales No se engañen, los correos virales no se llaman así porque contengan virus, se llaman así por su patrón de difusión: exponencial -igual que los virus. Entonces usted -alma caritativa- decide ayudar a la niña de 3 años quemada y deforme por maltrato del padre o algún extrañísimo accidente y que ahora necesita millones de dólares para la reconstrucción de sus órganos y alguna compañía se ofrece a pagar por cada correo que se envíe, nada cuesta -¡pero sí que cuesta!- reenviar este mismo correo, intacto a 30 o 50 contactos simultáneamente, sólo dos o tres clicks y haremos una gran obra hoy. Sobre la veracidad de estos correos existen páginas web dedicadas a verificarlas o desmitificarlas así sea que traten sobre obras caritativas, cierre de Hotmail o alarmantes virus que nos comerán vivos… ¡a nosotros, a nuestros computadores y hasta el perro del vecino! si no lo reenviamos. Pues efectivamente, en algunos saltos uno de estos correos llegará a un robot de correo -que también pueden leer correos y enviarlos- y usará los contactos de unas 500 personas que se han venido acumulando en el encabezado del mensaje para enviar propaganda de viagra. Un efecto colateral de ésta modalidad es que el mismo robot puede determinar de quiénes puedo yo admitir un correo y modifica los mensajes como para que parezcan de mis contactos o hasta de mi mejor amigo(a) -quién no reenvía un correo del mejor amigo o de un contacto muy serio. Virus, gusanos y troyanos Finalmente, igual de malo que el SPAM son los virus que toman control de una máquina y sirven de servidores de correo para enviar SPAM o cosas peores y estas »cosas peores» son una preocupación mayúscula en el control del tráfico en Internet, porque a través de este mecanismo se ejecutan muy serios ataques informáticos. Cuando un virus se instala en un PC de escritorio – que muchas veces tiene conexión permanente con Internet- aprovecha vulnerabilidades del sistema para reenviar correos o recolectar información sobre los usuarios de éste y comienza a servir como base de operaciones para quién sabe qué cosa, es decir, puede servir de almacenamiento de imágenes pedófilas, procesadores de correo no deseado o dedicarse a multiplicarse o estropear las operaciones de una organización al otro lado del mundo y el responsable es usted, pobre alma caritativa que no tuvo precauciones al usar el cliente de correo electrónico o no instaló un antivirus o anti spyware.
¿Qué busca el spam?
A estas alturas es obvio qué es lo que buscan los operadores del spam: publicidad mundial, dirigir tráfico hacia alguna página web por cualquier modo. A veces la página web vende o promueve algún producto, como medicamentos sin prescripción, otras veces la página representa alguna otra cosa pero vende publicidad, por lo tanto cada vez que se visita la página las ganancias aumentan por la cantidad de visitas a la página. A veces, como ya todos sabemos, los clientes de correo abren correos electrónicos que contienen imágenes y gracias a las virtudes de la www estas imágenes no necesariamente están dentro del correo, es decir, que pueden estar registrando visitas publicitarias sólo con mirar el contenido del correo. Existen otros motivos un poco más preocupantes, como sabojate a alguna organización, propagación de virus, promoción de odio y racismo -¡como el clásico correo sobre los chinos comiendo fetos!, ver aclaración al final de la entrada-, y fraudes para obtener claves de tarjetas de crédito y control de cuentas bancarias entre otras razones que se me escapan en este momento. El caso es que detrás del SPAM lo que se mueve en definitiva son grandes cantidades de dinero o controles políticos.
Potenciales soluciones al problema del SPAM
El SPAM es un problema muy serio porque no existen todavía soluciones finales, y aunque las hubiera, ¿cuánto tiempo debemos esperar para que nuestros administradores de red implementen tales soluciones? y ¿cuánto cuesta?. El SPAM explota una serie de vulnerabilidades del servicio de correo electrónico para ser efectivo en su propósito. Una de estas vulnerabilidades es que los servidores que envían correos electrónicos por defecto no autentican al remitente, es decir, que yo me puedo inventar una dirección de correo electrónico y enviar un correo, de tal manera que si me van a responder lo único que reciben es un mensaje de error que envía el servidor de correo que figura como remitente y más aún no podrán llegar a un usuario real, este método fue el primer método usado por los spammers, pero cuando los servidores limitaron su capacidad de envío a usuarios registrados los primeros modificaron cambiaron de usar direcciones ficticias a direcciones reales, pero de personas que no habían originado el mensaje, así los servidores enviaban los correos de todos modos y resultó ser una método muy eficaz -ingeniería social-, porque ahora los receptores creían que el correo lo enviaban amigos o conocidos. Otra característica del SPAM es que usa títulos que no son fácilmente seguibles, es decir, un programa que busca spam busca secuencias de letras en particular como »viagra» entonces variantes con espacios entre las letras, guiones o cambiar mayúsculas por minúsculas y viceversa aleatoriamente multiplican la cantidad de recursos necesarios para detectar tales secuencias o incluso hacen imposible detectarlo, aunque los usuarios humanos sí siguen entendiendo qué dice -osea que siguen cayendo-, por ejemplo si escribiera »Via-gra» usted puede entender que le hablo de viagra pero un programa debería buscar un patrón completo, no una secuencia de letras porque ya no sirve (‘para un computador ‘viagra» no es igual a »Via-gra»). Una búsqueda de patrones multiplica los recursos de procesamiento necesarios para la comparación, porque ya no se puede comparar letra a letra sino cada letra contra el resto de la palabra varias veces… ¡es un desastre!, sin mencionar que esta operación se tiene que hacer sobre miles de copias de correos electrónicos por segundo. Eso sin contar tampoco conque, ¿qué se puede marcar como señal inequívoca de spam?, es decir, yo puedo querer enviar un correo que hable de Viagra y sería marcado como SPAM!, o qué probabilidad que una palabra o párrafo ordinario de un mensaje contenga el patrón, algo como Ven Idiota Al Glaciar Rata Blanca (que correspondería al patrón V*I*A*G*R*A, en el que cada * es una secuencia de letras). Algo similar suele pasar con servidores como yahoo o hotmail y de lo que muchos de nosotros hemos sido víctimas, se trata de reglas a veces envían a correo no deseado correos que sí fueron enviados intencionalmente por algún contacto nuestro, pero cuyo contenido se ajusta a alguna de las reglas de marcado de correo no deseado. Soluciones a gran escala Existen iniciativas mundiales para mejorar el servicio de correo electrónico, como las ya mencionadas -y ya superadas por los spammers- listas negras de servidores de correo. La autenticación del correo electrónico a través de firmas digitales es una importantísima medida que depende inicialmente del usuario, pero que seguramente en un futuro no muy lejano va a ser promovida y hasta exigida por los proveedores de servicio. Esta autenticación consiste en firmar digitalmente los mensajes de correo, de tal manera que esta firma no sea duplicable por nadie más que el remitente a través de un esquema de llave pública, es decir, la firma pública se almacena en un servidor mientras la clave privada sólo la tiene el usuario, mediante este esquema el usuario no sólo garantiza que su mensaje no se puede leer en pasos intermedios sino que le garantiza al receptor que el mensaje lo escribió quien dice haberlo escrito. Infortunadamente, el hecho de que el contenido no se pueda leer implica que no se puede hacer publicidad sensible e importantes proveedores de servicios de correo como Gmail no soportan nativamente éste tipo de autenticación. Soluciones individuales a pequeña escala. Podemos abordar el tema individual desde dos puntos de vista: el uso personal del correo y el uso institucional u organizacional. Digamos que el uso personal del correo son los mensajes que mandamos a nuestros contactos (sean personales o profesionales) sobre información en general que queremos que muchas personas conocidas sepan: noticias, datos personales, eventos en nuestras vidas, también cuentan listas de precios, catálogos de productos, etc.; para el uso institucional u organizacional -probablemente me equivoque en el término usado- consideremos el uso que se le da al correo como herramienta para promover alguna organización, sea una empresa o un grupo de interés, por ejemplo grupo político, o la lista de proveedores o cierta lista de clientes, etc.. La gran diferencia radica, que en el uso personal no hay una diferenciación clara y objetiva sobre a quiénes le enviamos la información, sino un criterio más bien subjetivo. A veces le mandamos correos personales a la amigas, por ejemplo, otras veces sólo a los amigos, otras veces a la familia y a veces a unos y otros selectivamente (no a todos), entonces la decisión de a quién enviar el correo se toma prácticamente en el momento de enviarlo. Por otro lado, cuando enviamos correos organizacionales, casi siempre hay un criterio claro: son los clientes, es el grupo administrativo, o los integrantes del grupo, etc. Una recomendación importante para el uso organizacional del correo electrónico consiste en crear listas de correo ocultas. Éstas no son las clasificaciones que hacemos de las direcciones de correo en nuestro programa cliente de correo, las listas de correo son un mecanismo para redistribución de correo, son programas escritos para la redistribución de correo similares a los robots spammers pero creados con la buena intención de llevar registro de las discusiones y ayudar al sostener discusiones o distribuir información a un grupo de personas unidas por algún interés común, por ejemplo googlegroups o yahooGroups. Cuando digo ocultas, es porque quien crea una lista de correo puede decidir si es visible públicamente en internet o no, es decir, si existe alguna página accesible a cualquier persona en internet que indique cómo usarla y publique la dirección abiertamente, en el caso de que ésta condición no se cumpla, decimos que la lista de correo es oculta, en otras palabras, oculta para cualquier persona en Internet y visible sólo para los integrantes de la lista o grupo. Aún así, no sobra usar el campo de copia oculta -CCO o BCC en los clientes de correo.
Sanidad informática
Y para ambos usos, lo que debemos hacer es seguir unas pautas mínimas para el uso correcto del correo electrónico:
- Verificar la autenticidad de lo que afirma un mensaje viral: Antes de reenviar los correos electrónicos, debemos recordar lo que implica simplemente dar un click para enviar información potencialmente falsa que servirá para multiplicar el tráfico de Internet y los costos de toda la infraestructura y poner en riesgo muchos PCs incluidos los propios. Todos debemos tener dentro de nuestro listado de direcciones web preferidas -bookmark en inglés- una o dos de las que se dedican a desmitificar cadenas, pirámides o mitos propagados por correo electrónico -bulas, leyendas urbanas o Hoaxes- para verificar lo que dice un correo antes de reenviarlo… aunque lo más probable es que si promete dinero, o difama abiertamente o es algo increíblemente bueno, de seguro es una mentira. Es importante considerar consultarlos en inglés, ya que a veces la versión original está en inglés desmitificada y explicada pero su traducción a nuestro idioma no está todavía en los sitios en español aunque el correo ya esté circulando. Lo último se debe a dos cosas: 1) que el volumen de correo electrónico en habla inglesa es mucho mayor y 2) a que los países de habla española no tienen suficiente cultura informática, no tienen tanta experiencia, ni han vivido la evolución social de Internet que exige participación y responsabilidad en el uso de los servicios que ésta presta.
- Eliminar las direcciones de correo del mensaje: si el mensaje es cierto -o lo creíste-, quita las direcciones de correo que quedan en el mensaje antes del mensaje mismo, por ninguna razón dejes direcciones de correo completas escritas en el contenido mismo del mensaje. Si el correo parece tan importante, tómate el trabajo de cuidar este importante servicio y elimina la fuente del problema: las direcciones de correo que llegan a personas que no deben.
- Use el campo oculto: El correo electrónico permite una opción llamada copia oculta que no adjunta los receptores dentro del mensaje, es decir, el receptor o receptores no saben a quién más se envió el mensaje. Esta medida es similar a la anterior, sólo que en la anterior usted borra las direcciones en el texto del mensaje mismo, pero deja visibles sus contactos cuando los pone en el campo »para:» o «To:», cuando usted pone sus contactos en el campo alternativo »CCO:» o »BCC», los contactos dejan de estar visibles ni en el texto del mensaje ni en el paquete de datos que llega al servidor de destino. Hay que tener en cuenta que éstos campos eran campos originalmente alternativos y usualmente se oculta el acceso a ellos, o se ponen debajo del campo que todos usamos para poner los destinatarios del correo -«To:» o «Para:»- y aunque a veces es necesario dar un click adicional para acceder a éstos campos, la funcionalidad es la misma y sirve igual que el campo normal «Para:» pero con más seguridad.
- Busque información sobre firma digital y configure su cliente de correo para firmar digitalmente el correo, así sus contactos se acostumbrarán a que sus correos son firmados y realmente provienen de usted y no de otras personas. La firma digital no es poner el nombre al final del correo, es generar un código digital a partir de ciertos datos personales -nombre, apellido, edad, etc- y con ese código se encripta -desordena el contenido para enviarlo- todo el mensaje para su transporte y se adjunta en el mensaje, cuando el mensaje llega y el servidor verifica que el correo sí es auténtico y que una persona real envió el correo, lo desencripta y lo entrega al usuario final, tal como usted lo envió. Una solución muy utilizada se llama GNUpg. Éste tópico no es necesariamente simple y requiere un poco de conocimiento -o tiempo- para generar llaves públicas y privadas, registrarlas y configurar los clientes de correo para usar las firmas cuando es posible usarlas.
Conclusiones y recomendaciones
Como todo en la vida: aprendan a usarlo. Aprendan a usar el correo electrónico y conozcan un poco más de cómo funciona, presten más atención y sean un poco más escépticos, responsables y respetuosos con el uso del correo electrónico: se lo merece. Recuerden que a mayor conocimiento más responsabilidad, así un correo electrónico se pueda reenviar con sólo tres clicks, ustedes son responsables directos por esa información, con eso ustedes han admitido creer lo que dice sin siquiera verificar, es decir, admitimos nuestra ignorancia e incapacidad para usar información de calidad.
ADVERTENCIA: Usar listas de correo puede ser un medio eficiente para evitar el SPAM pero hay que cuidar que la lista permanezca oculta y que tenga una buena moderación, si la dirección de la lista llega a un spammer finalmente la lista se convierte en una carga para el administrador de la misma y si éste no la administra bien la lista facilitará el trabajo de los spammers (con un sólo correo llegarán a muchos usuarios!).
Enlaces
- Snopes.com, Urban Legends: descripción y desmitificación (o algunas veces verificación) de correos virales.
- http://www.rompecadenas.com.ar/
- http://es.wikipedia.org/wiki/Spam
- Cuántas veces hay que escribir que los chinos no comen fetos!: lea la respuesta oficial de china.
- Servicios gratuitos de listas de correo: groups.yahoo.com, groups.google.com
Adicionalmente, el correo no fue diseñado para transportar grandes cantidades de datos (Anexos) y por lo tanto no es eficiente en ese uso. Si existe una LAN o WLAN o memoria USB o cualquier otro medio se debe usar preferencialmente a enviarlo por correo a muchas personas. Hoy en día la mayoría de los anexos son para personas que están cerca y para eso está la red local o en su defecto la transferencia a través de, digamos, una aplicación de mensajería (a.k.a. Messenger), de hecho las últimas versiones del mensajero de Microsoft tiene esta funcionalidad de compartir archivos desde el propio PC -mis carpetas compartidas-… si es que la información vale la pena!
Parece que la palabra correcta para este tipo de correo es Bulas, es decir el equivalente a hoax en inglés.
Grasias por todo pero no era lo que estaba buscando la informaciòn recibida no era la correcta primero berifiquen antes de embiar la respuesta bueno pero que mas hasemos grasias por todo y espero que tomen estas recomendaciones.
Hola Ángel,
gracias por el comentario. Te hace falta ser un poco más específico para que aportes algo: ¿Qué es lo que no es correcto? ¿por qué no? ¿No tuviste la oportunidad de verificar la respuesta?. Tu recomendación no va a ser atendida si no eres más preciso.
Hasta pronto.
P.D.: Revisa tu ortografía, te recomiendo ésta entrada sobre reglas mínimas de escritura http://cesarcabrera.info/blog/?p=349 en la que, a propósito, los lectores han aportado en sus comentarios.
mandenme mails con informacion
Hola muy bueno tu blog, estaba buscando algo sobre VLSM y me quede enganchado con varios de los otros temas que tratas aqui, entre estos el del Spam, tambien me gusto mucho el que hablaba sobre la certificación CCNA, espero que continues con este espacio que me ha gustado mucho y mas al ver que es de Colombia. Mucha suerte.
P.D.: Una pequeña corrección, en el parrafo titulado «Soluciones individuales a pequeña escala» de este artículo, en la linea 14 la palabra «desición» se escribe correctamente «decisión».
Hola René,
muchas gracias por la sugerencia, ya la corregí. Me alegra que te guste la información publicada y acá te quedo para que sigas leyendo.
Gracias y hasta pronto.