[HACK] Artilleria pesada contra el spam
merce at grn.es
merce at grn.es
Mon Mar 17 11:41:21 CET 2003
22:58 26/01/03
TÉCNICOS Y GOBIERNOS SACAN LA ARTILLERÍA PESADA CONTRA EL "SPAM"
El correo comercial no deseado ha subido en un año del 8 al 40% del
total de mensajes recibidos por los internautas
Mercè Molist
"Todo el sistema de correo de Internet está bajo un bombardeo
constante, un ataque de Denegación de Servicio en toda regla",
denunció Barry Shein, presidente de "The World", un pionero proveedor
norteamericano, durante la primera "Conferencia sobre el spam",
celebrada en Cambridge. De los 15 asistentes esperados, se llegó a más
de 500 y es que los técnicos, como los usuarios, están hartos. Tanto,
que la mayoría no duda en pedir ayuda a los gobiernos.
Algunos le sacan la puntilla. Como los creadores de "SpamWars", un
juego que invita a "luchar contra el demonio que quiere 'espamearte'
hasta la muerte". No van errados: desde 1978, cuando DEC envió el
primer correo comercial no solicitado a ArpaNet, el volumen de "correo
basura" o "spam" ha crecido hasta ser la queja número uno de los
internautas. Y un problema de seguridad peor que los virus: saturación
de redes, abuso de servicios, fraudes, daños a la privacidad e,
incluso, instalación de programas sin permiso a usuarios de Microsoft.
A finales de enero llegaba al colmo: el registrador de dominios
británicos tenía que suspender ocho horas su servicio "whois", de
identificación de dueños de dominios, por el ataque de unos "spammers"
que querían robar su base de datos. En un comunicado, Nominet UK
afirmaba: "Alguien muy persistente ha intentado conseguir una copia
detallada del registro .uk. El ataque consiste en hacer preguntas
sistemáticamente al servidor "whois", desde cientos de servidores". La
misma treta se ha usado contra Hotmail y otros proveedores de correo
gratuito.
Más leyes
¿Podría una ley transnacional ser un buen método anti-spam? se
preguntan cada vez más técnicos. En los Estados Unidos, la Federal
Trade Commission ha empezado a investigar a "spammers" y algunas
compañías han ganado juicios contra éstos, como America Online o el
Ministerio de Justicia de Nueva York. Aunque la mayoría de estados
tiene legislación "anti-spam", el Senado ultima el borrador de una ley
nacional que obligará a consignar "ADV" en los envíos comerciales,
después que la Direct Marketing Association, que hasta ahora se
negaba, esté de acuerdo.
En Europa, una directiva del año pasado mantiene el correo basura
fuera de la ley: sólo se puede enviar a personas que lo consientan
(sistema "opt-in"). Lo mismo dice la española Ley de Servicios de la
Sociedad de la Información (LSSI). Según el Ministerio de Ciencia y
Tecnología, el "spam" en España puede denunciarse "contactando con una
asociación de consumidores o con la Secretaría de Telecomunicaciones,
por correo, teléfono o usando el formulario de la sección "Consultas"
de www.lssi.es".
La Asociación de Usuarios de Internet acaba de poner en marcha la "I
Campaña contra el correo no solicitado", con la colaboración de
grandes compañías como Telefónica o Wanadoo e instituciones como el
Ministerio de Ciencia y Tecnología, que formarán un grupo de trabajo
para dirimir el problema. Además, en su web, la Asociación ofrece
consejos, una completa guía de denuncia y una idea: que la
administración facilite cuentas de correo gratuitas sometidas a
controles de calidad.
Pero un reciente estudio de la Asociación de Internautas concluye: "A
pesar de la LSSI, el problema del "spam" dista mucho de estar resuelto
en España, porque el 75% viene de fuera de la Unión Europea. Otro
problema son los datos personales. En ningún caso se hace constar su
origen o cómo acceder a ellos. Además, la empresa remitente no se
identifica en forma legal". Precisamente, la Agencia de Protección de
Datos abría en octubre del año pasado un expediente sancionador a
"Guía de Empresas Internet", por mandar "spam" a direcciones de
empresas, procedentes de una base de datos de pago.
"180.000 mails de España, 650.000 mails Resto del Mundo, 15.000.000
mails de Estados Unidos. Incluye el mejor programa de envío de
publicidad, con instrucciones para que no lo detecte su servidor.
Costo total: 100 dólares", anuncian los vendedores de estos
directorios, en un típico "spam". Rob West, autor del "Spamdemic Map",
que documenta gráficamente los saltos entre bases de datos que siguen
las direcciones de correo, asegura: "Se han convertido en divisa de un
juego financiero que mueve rápidamente bases de datos con información
de consumidores".
Primero, se recolectan las direcciones en páginas web y foros
públicos. Después, se venden a compañías de "marketing", que pagan un
tanto (desde unos céntimos a un euro) por cada nombre. Estas listas
pueden venderse después a compañías legítimas, que creen estar
comprando direcciones de consumidores que han dado su consentimiento.
El "spam" ilegal se envía desde direcciones falsas, robando el ancho
de banda de proveedores que tienen inadvertidamente abierto el puerto
de envío de su servidor de correo. Las redes inalámbricas, en su
mayoría desprotegidas, son también usadas por los "spammers".
Cruzada técnica
Recientemente, Scott Fahlman, conocido por haber usado el primer
emoticón, proponía cobrar por recibir "spam", aunque para ello se
necesitarían nuevos programas. Una idea parecida, que ya está en uso
pero sin dinero, es el "filtrado inverso" o "listas blancas": el
servidor de correo no deja entrar ningún mensaje que no esté en una
lista aprobada por el usuario. Si alguien nuevo envía una carta, se le
responde con instrucciones para entrar en la lista blanca.
Pero el arma más frecuente, a nivel de grandes sistemas, son las
"listas negras", que bloquean la entrada a mensajes de proveedores que
envían "spam". En España, la red académica RedIRIS está haciendo
pruebas piloto con un sistema propio de lista negra, la Plataforma
Unificada AntiSpam, que permite a la comunidad rechazar correo basura
de forma unida y con una política común. Algunos técnicos de
proveedores españoles han mostrado, en el foro "Abuso en el Correo
Electrónico", su disposición a crear una plataforma parecida.
"Lo más importante de PUAS es que, a diferencia de otras listas
negras, es la comunidad académica quien bloquea las direcciones que
han enviado "spam" y quien decide las penalizaciones temporales:
primero, 2 horas; si vuelve a reincidir, un día, y así sucesivamente.
Los usuarios envían el "spam" que reciben a la central de RedIRIS, que
analiza cabeceras y contabiliza: número de denuncias, número de
universidades afectadas y veces que ya ha estado en la base de datos.
El resultado final se refleja en el servidor que chequea el correo
entrante de cualquier universidad", explica su promotor, Jesús Sanz de
las Heras.
Pero, en el último año, han crecido las críticas contra las listas
negras: Philip Jacob, en su estudio "The Spam Problem", denuncia que
bloquean de forma demasiado general, lo que afecta a usuarios
legítimos del proveedor denunciado: "Un buen número de "spam" se envía
a través de servidores inseguros de Asia y Suramérica, por lo que se
filtran. Algunos administradores están cerrando completamente el
correo que viene de Corea o China. Y esto lleva a nada más que
discriminación. Es antidemocrático que una compañía no pueda
comunicarse a través de su ISP con otra en Estados Unidos o Europa".
Además, según Jacob, el proveedor que usa listas negras no informa a
los usuarios: "¿Qué pasaría si una misteriosa organización estuviese
al otro lado de tu compañía telefónica y bloquease llamadas hacia ti,
basándose en unos criterios que no puedes controlar?". Por eso, se
tiende a nuevas herramientas, como los escáners de contenido, que
filtran a partir de lo que dice el mensaje, o los Sistemas de
Notificación Distribuida, donde los usuarios envían los "spams"
recibidos a una base de datos central. Aunque son muy fiables, no
sirven para los "webmails" ni para los proveedores: sólo funcionan en
el cliente de correo del usuario.
De esta segunda generación de programas se habló en la primera
"Conferencia sobre el Spam", celebrada a mediados de enero en el
Massachusetts Institute of Technology y auspiciada por Paul Graham,
promotor del uso de inteligencia artificial en la lucha contra el
correo basura. Legendarios hackers como Eric S. Raymond o John Draper
estuvieron allí. También Matt Sergeant, codesarrollador del popular
programa libre "SpamAssassin"; o Jon Praed, del Internet Law Group,
quien dudó que sólo con leyes se solucione el problema. Praed
recomendó que si se recibe correo basura citando una marca comercial,
como Viagra, se reenvíe a la compañía, quien lo investigará.
Aunque hay otros que prefieren la venganza directa: recientemente, el
norteamericano Alan Ralsky denunciaba una conspiración para cubrirlo
de correo basura: "Me han apuntado a todas las campañas publicitarias
y listas de correo que existen". Ralsky se ha hecho rico enviando
miles de millones de "spams" al día, según una nota aparecida en el
weblog "Slashdot", que desató la ira de los lectores. Alguien posteó
entonces las direcciones de correo y física de Ralsky y el rey del
"spam" fue "espameado".
Y AHORA, "SPAM POLÍTICO"
El profesor Mikls Sksd vivió las últimas elecciones en Hungría con
sorpresa y molestia: "En un país de diez millones de población, donde
el 53% tiene teléfono móvil y el 15%, Internet, los partidos enviaron
millones de mensajes SMS, el tráfico diario se incrementó un 20-30%.
Durante dos semanas, el 'spam' político fue una experiencia diaria".
Para las elecciones en Bélgica, el gobierno ha aprobado también este
medio de propaganda.
Aunque pocas muestras se han dado en la Internet española, en Estados
Unidos el "spam político" ya es un viejo conocido, que no entra en las
leyes porque no es comercial y algunos defienden como libertad de
expresión. El senador demócrata Joseph Liberman es la última bestia
negra: para anunciar su carrera a la presidencia de EEUU, envió un
discurso a miles de internautas, a través del servicio de correo
basura de pago ConstantConctact.
Liberman es el primer candidato a presidente de los Estados Unidos que
recurre al "spam", pero ha habido más políticos antes que él.
Demócratas y republicanos usan Internet como medio de propaganda, un
suplemento barato a las campañas de televisión, prensa y radio. El año
pasado, Bill Jones, candidato a gobernador de California, era noticia
por enviar correo no deseado a miles de direcciones electrónicas,
algunas de gente no residente en California ni tan sólo Estados
Unidos.
La última modalidad es el "spam" militar: a mediados de enero, el
Ministerio de Defensa británico enviaba 100.000 mensajes a empresas,
para avisarlas de una posible movilización de sus empleados
reservistas. Muchas no tenían trabajadores en la reserva y recibieron
la carta con disgusto. El Ministerio sólo aclaró que había comprado la
base de datos a una empresa externa.
CIFRAS
Hace dos años, el 50% de los internautas norteamericanos consideraban
el "spam" como "muy molesto". Hoy, son el 80%, según una encuesta de
Harris Interactive. Y el 74% quiere ilegalizarlo. Sólo el año pasado,
se enviaron en todo el mundo unos 140 mil millones de correos basura,
que crecen y crecen así como los estudios que muestran su dimensión.
Según Meta Grop, en algunas organizaciones, el 40% del tráfico de
correo es basura y sobrepasará en julio al correo legítimo.
Symantec también ha indagado, sabiendo que los productos "anti-spam"
empiezan a ser buen negocio y, pronto, tan imprescindibles como un
antivirus: el 37% de los encuestados recibía más de cien correos
basura al día. Al 67% le molestaba mucho. El 77% con hijos temía por
ellos. En catorce meses, el "spam" ha subido del 8% del total de
correo al 41%, afirma Bright Mail Inc.
Según esta empresa, un "spammer" puede cobrar 1.500 euros por mandar
un millón de mensajes, "lo que significa mil posibles clientes a 1,50
euros por cabeza. Estas personas suelen residir en Estados Unidos,
pero usan servidores inseguros de Asia o Suramérica para mandarlos".
EMarketer cifra el coste medio de un "spam", para quien lo envía, en
0,00032 céntimos.
Las empresas, que hasta ahora lo veían como una pequeña molestia,
empiezan a preocuparse. Según Symantec, el 65% de internautas gasta
cada día diez minutos para eliminar el correo basura. El 24%, veinte
minutos. CloudMark Inc calcula que recibir diez "spams" diarios por
empleado puede costar 86 euros anuales a una compañía, sólo en tiempo
perdido.
Ferris Research asegura que las empresas norteamericanas pierden
anualmente 8,6 mil millones de dólares por culpa del "spam". Las
europeas, 2,5 mil millones. Según sus cálculos, se invierten 4,4
segundos en abrir un mensaje, factor que debe añadirse a los gastos en
ancho de banda, seguridad y servidores más potentes para soportarlo.
--------------------------------------
PARA ILUSTRAR
chiste userfriendly
http://ars.userfriendly.org/cartoons/?id=20000728
---------------------------------------
DENUNCIAS
Agencia de Protección de Datos
https://www.agenciaprotecciondatos.org/datb.htm
Secretaría de Estado de Telecomunicaciones
http://www.setsi.mcyt.es/reclamaciones/reclamaciones.htm
Guía Asociación de Usuarios de Internet
http://aui.es/consultas/quejas.htm
LINKS
SpamWars Game
http://www.elated.com/spamwars
Spam Conference
http://spamconference.org
"The spam problem"
http://theory.whirlycott.com/~phil/antispam/rbl-bad/rbl-bad.html
"A plan for spam"
http://www.paulgraham.com/spam.html
Spamdemic Map
http://www.cluelessmailers.org/spamdemic/mapfullsize.html
EuroCAUCE
http://www.euro.cauce.org/en/index.html
Abuse.net
http://www.abuse.net
SpamFAQ
http://www.spamfaq.net
SpamArchive
http://www.spamarchive.org
Spamhaus Project
http://www.spamhaus.org
SpamAssassin
http://www.spamassassin.org
Spam Laws
http://www.spamlaws.com
"Cómo anunciarse correctamente en Internet"
http://www.ietf.org/internet-drafts/draft-ietf-run-adverts-01.txt
RedIRIS sobre "listas negras"
http://www.rediris.es/mail/abuso/apoyoln.es.html
I Campaña contra el correo no solicitado
http://aui.es/contraelspam
Directiva europea sobre el "spam"
http://aui.es/contraelspam/directiva_ue.htm
Informe Asociación de Internautas
http://www.internautas.org/article.php?sid=738
LSSI
http://www.lssi.es
Copyright (C) 2003 Mercè Molist.
Verbatim copying and distribution of this entire article is permitted
in any medium, provided this notice is preserved.
More information about the hacking
mailing list