Molesto e inseguro... el Spam

En los últimos años, el Spam ha acabo siendo un fenómeno común para todos los que poseemos o usamos una dirección de correo electrónico. Sin embargo, esta familiaridad no debe ocultarnos los riesgos inherentes de esta poco ética comercial, además de no olvidar que tanto el tiempo que perdemos borrándolos, o aún peor, leyéndolos, como el espacio en disco que ocupan y el ancho de banda de comunicación son recursos valiosos y escasos.

Quizás nos hemos preguntado alguna vez de dónde deriva este nombre. La palabra spam designa a un alimento enlatado consistente en carne de cerdo picada con especias. A partir de este nombre, el genial grupo cómico inglés Monty Python, hilvanaron una actuación en la que la camarera de un restaurante describe los platos del menú a una pareja. Curiosamente, todos los platos contienen spam. Por ejemplo, spam con salchichas y spam; spam con huevo, spam y spam. El spam termina por tapar a todo el resto de menú, como sucede a nuestro correo electrónico con estos pseudos correos comerciales.

Antes que nada, debemos aclarar que el spam ni es comercio electrónico ni se asemeja a la técnica comercial del mailing, o envío de información comercial a un catálogo muy específico de posibles clientes obtenido a partir de un listado de contactos conocidos y obtenidos lícitamente.

Si un spammer envía un número enorme de mails, no puede denominar a su actuación como marketing electrónico o mailing masivo, su actuación es básicamente un robo de los recursos de los usuarios, además de ser totalmente ineficaz para generar una clientela fiel y estar totalmente desaconsejado por los expertos en marketing.

Ciertamente es mucho más productivo tener una base de datos de contactos conocidos y que se mantienen de forma voluntaria en nuestro catálogo (y que pueden ejercer sus derechos de cancelación o rectificación) y que quieren recibir nuestras ofertas que mandar miles de mails a personas a las que no les interesan nuestros productos y que sólo se harán una mala imagen de nuestra empresa.

Existen compañías que se dedican a enviar spam en nombre de otras empresas o comercios que creen estar llevando a cabo una efectiva labor comercial cuando en realidad sólo están generando una imagen pésima a terceros, además de ser una técnica básicamente inútil pues el índice de respuesta del acceso a supuestos clientes que no nos conocen ni están interesados en nuestros productos será prácticamente nulo. De forma añadida, al pagarle su tarifa al spammer sólo estaremos perdiendo nuestro dinero pues realmente es el usuario el que está pagando el ancho de banda que precisa al descargar un e-mail que no solicitó.

Frente a esta molesta técnica, la legislación reciente ha incrementado las multas legales asociadas al envío de correo no deseado, aunque los creadores de spam continúan adaptándose e inundando las bandejas de entrada de las compañías.

La valoración negativa de esta técnica se basa en múltiples criterios que fundamentan la apreciación del impacto negativo del correo no deseado en la empresa: mina la productividad del usuario, introduce una potencial responsabilidad jurídica y aumenta la carga de trabajo del personal, la infraestructura y el presupuesto de TI.

En líneas generales, nos encontramos ante un problema de gran entidad ya que según evaluaciones técnicas, este tipo de tráfico constituyó más del 60% del conjunto de movimiento de correo electrónico durante el primer semestre del año 2005.

Esta nefasta técnica entronca de forma directa con inseguridades de los sistemas operativos ya que los creadores de spam también han diseñando nuevas formas de secuestrar computadoras para enviar correo no deseado, como lo demostraron recientes gusanos informáticos de correo electrónico masivo, como Sasser, Netsky y SoBig.

Los análisis iniciales han expuesto que aunque los gusanos no tenían una carga útil especialmente nociva, instalaban un programa de correo en las computadoras de las víctimas que creaban las condiciones para implementar una red inmensa de conductos de identidades ocultas a través de los cuales el correo no deseado se podía retransmitir

Este fenómeno está también íntimamente relacionado con el uso del correo no deseado como herramienta de nuevos ataques sofisticados de estafa electrónica o “phishing”. Estos ataques utilizan direcciones de correo electrónico falsificadas y sitios Web fraudulentos diseñados para engañar a los destinatarios para que divulguen información financiera personal como números de tarjetas de crédito, nombres de usuario, contraseñas de cuentas, así como otros códigos de identificación personal.

Por ejemplo, a comienzos del año 2004 el troyano de descarga (downloader) Mimail.B utilizó correo no deseado para propagar el gusano Mimail.P, que a su vez utilizó un ataque de estafa electrónica para inducir a los usuarios a que instalaran la carga útil en sus sistemas. Una vez instalada, a los usuarios les aparecían cuadros de diálogo falsos de PayPal que luego enviaban la información obtenida a los atacantes originales.

Evidentemente el negocio del correo no deseado está en pleno desarrollo. No volverá la época en que el correo no deseado se podía solucionar fácilmente con métodos caseros y filtros estáticos de palabras clave. La última generación de correo no deseado incorpora tácticas sofisticadas como aleatoriedad extrema, ocultamiento del origen y evasión de filtros mediante el uso de HTML.
A pesar de los grandes esfuerzos que hacen las empresas y consumidores, el correo no deseado continúa proliferando porque el aspecto económico, aparentemente, sigue siendo muy atractivo. Contra este panorama, y dado que las tácticas de los creadores de spam son cada vez más sofisticadas, es imperativo que las empresas adapten continuamente sus técnicas de filtrado para hacer frente a los creadores de spam y eliminar los ataques.

Aunque, como en otros de mis artículos relacionados con TI, mantengo que la tecnología no debe ser nuestra única línea de defensa sino que, básicamente como complemento, ha de actuar conjuntamente con una robusta definición de políticas y una correcta formación de nuestros usuarios, para que estos sean los primeros en ser conscientes de que el spam no es únicamente una molestia diaria, sino que puede suponer además un gravoso gasto de tiempo, recursos personales y físicos.

Jesús Estrada Villegas
Fuente: Belt Ibérica S.A.