El correo no deseado como problema de seguridad

El sistema de correo electrónico nació como una curiosidad focalizada a la comunicación personal. Como concepto, el correo electrónico existe desde la creación de los sistemas multiusuarios, y su conformación como el servicio que hoy conocemos se remonta a los orígenes mismos de la Internet, al presentarse como uno de los servicios ofrecidos en ARPANET (1970). Pese a que los desarrolladores de la red precursora de la actual Internet nunca consideraron el correo electrónico como un servicio prioritario en el desarrollo de la red global, la creación del programa “sendmsg” y los subsecuentes desarrollos, colocaron al correo electrónico entre los servicios de mayor uso. La creación del esquema de dominios en 1982, trajo al servicio de correo el famoso símbolo “@”(RFC 822), que permitió incorporar un elemento identificador de la empresa o servicio Internet que provee el buzón de correo electrónico, con lo cual la universalidad del servició quedó establecida.

De la evolución de los sistemas de correo, se ha desarrollado un modelo general, que se cumple en la mayor parte de las organizaciones que cuenta con el servicio.

Usualmente, el usuario elabora el correo electrónico desde su estación de trabajo, mediante el uso de una herramienta denominada “cliente de correo”. Esta aplicación se conecta con su servidor de correo para “colocar” el mensaje en la cola de salida. Este servidor analiza la dirección del destinatario de correo, y procede a ubicar en la Internet al servidor responsable de recibir los correos del dominio (por ejemplo “@ve.pwc.com”). A partir de allí, el emisor inicia un enlace que permite depositar el correo, en el buzón del destinatario quien finalmente, utilizando programas similares del emisor, recupera su correspondencia del servidor y la lee.

Al igual que muchos de los protocolos de Internet, la mayor parte de los relacionados al servicio de correo poseen cerca de una década de creación. La Tabla N° 1 presenta los principales protocolos utilizados, y sus fechas de publicación:

Fuente: The Internet Engineering Task Force - http://www.ieft.org
Tabla N° 1. Principales protocolos relacionados con el servicio de correo

De los protocolos arriba mencionados, el “SMTP” es el de mayor utilización por ser el estándar para la transmisión de correos entre los millones de servidores en Internet, y es paradójicamente el más antiguo.


Origen del SPAM

“SPAM” es el acrónimo de “Spice Ham”, y es una denominación general dada a carne picada y compactada, similar al jamón. Su origen remonta a los años 20, y se hizo famosa por su utilización durante la segunda guerra mundial como alimento para la tropa. La utilización del término SPAM asociado productos “no deseados” se atribuye a cierto capítulo de la comedia “Monty Phyton’s Flying Circus” , en el cual se hizo un uso excesivo de la palabra “SPAM”. La asociación final con el correo electrónico no deseado, fue consecuencia natural del uso del término a toda la correspondencia física (correo comercial y catálogos) enviada por las empresas de mercadeo. Tan inusual como el origen del término, es el conocimiento general sobre la antigüedad del SPAM en los servicios de correo electrónico. 

Según investigaciones, el primer reporte de un correo SPAM data del 3 de mayo de 1978, cuando un empleado de Digital Equipment utilizó el directorio correos del entonces ARPANET, para anunciar la nueva serie de servidores DEC-20 . A partir de entonces, la complejidad y métodos utilizados para el envío de correspondencia no deseada, ha evolucionado hasta transformarse en un malestar que afecta a la mayor parte de los usuarios de este servicio.

Pese a sus más de 25 años de edad, es la asociación del término SPAM al correo no deseado, la referencia histórica para identificar el momento en el cual se convierte en problema de atención (1994). En aquella época unos de los más famosos casos, estuvo relacionado a un grupo de abogados que contrató los servicios de un programador, para divulgar por los diversos grupos de noticias existentes en Usenet, publicidad sobre sus servicios de inmigración (“Green Card Lottery – Final One?”). 

Como puede deducirse de ambas anécdotas, el término SPAM está asociado al envío no solicitado de correspondencia, generalmente con fines publicitarios y se caracteriza el envío masivo a direcciones de correo obtenidas usualmente por métodos irregulares. 


Funcionamiento del SPAM y el SPAMMER

Como mencionamos anteriormente, los protocolos utilizados para el envío y recepción de correos fueron diseñados hace ya algunos años, por lo cual sus características se corresponden a realidades diferentes a las actuales. Como ejemplo de ello tenemos que:

- El envío de correspondencia entre los servidores, no viaja en forma cifrada, por lo que la correspondencia Internet en su mayoría puede ser sujeta a espionaje.
- Por defecto, el esquema de recepción de correos no verifica la autenticidad del emisor. Bajo condiciones normales, un usuario con conocimientos generales del protocolo SMTP, puede conectarse a un servidor y enviar correspondencia a nombre de terceros.

La información transmitida por el “SPAMMER” (término utilizado para designar a aquel hace uso de esta técnica de distribución de correos no deseados), está básicamente relacionada con productos y servicios. Sin embargo, con el desarrollo y masificación de la Internet, el SPAM se ha diversificado.

Usualmente, el SPAMMER desarrolla una lista de direcciones de correo a quienes desea enviar su información y configura entonces un servidor que procederá a hacer los envíos de la correspondencia a cada uno de los destinatarios. En la medida que estas listas de direcciones se van haciendo mayores, el envío de SPAM puede convertirse en un asunto de alta demanda de su enlace Internet, por lo cual el SPAMMER procede a ubicar servidores de otros usuarios o empresas, con debilidades en su configuración en el servicio de correo, y los utiliza para distribuir la carga de su SPAM. De este modo, el SPAMMER envía el correo a un servidor, indicándole los destinatarios a los cuales debe hacer llegar el correo, y este servidor se encarga de la distribución (Servidores SMTP Relay). De esta manera, el SPAMMER multiplica su capacidad de envío, utilizando el ancho de banda de otras empresas.

En cuanto a la generación de estas listas, existen técnicas que van desde el hurto o adquisición de bases de datos, a la obtención de direcciones mediante los foros de discusión y el desarrollo de programas que acceden a múltiples portales buscando direcciones de correo. Una técnica un poco más compleja, es el envío de SPAM a direcciones generadas utilizando diccionarios y programas generadores de palabras.

Usualmente, los SPAM no son enviados desde una dirección válida de correo. El objetivo en la mayoría de los casos del SPAM contemporáneo es la generación de tráfico a portales Internet. Debido a la omnipresencia de Internet en el mundo, y a la poca regulación que sobre el tema se ha hecho, existen empresas que utilizan esta técnica de mercadeo hasta los límites en que la justicia local lo permita, o utilizando servidores de otros países para evitar la prosecución por el delito.

El objetivo del SPAM puede también ser para obtener direcciones de correo válidas: es común que se envíen correos con el mensaje “si no desea recibir mas este tipo de información haga clic aquí”, o incorporar hipervínculos (URLs) a imágenes o código que permiten confirmar la apertura del correo. En estos casos el SPAMMER busca la identificación de direcciones en uso, a fin de hacer más efectivo su mercadeo o revender estas direcciones a otras empresas.

Pero el SPAM también puede ser una técnica de ataque. Muchos de los virus que han sido distribuidos por la Internet, han utilizado el e-mail como su canal de navegación. En este sentido, la distribución masiva de virus y código para la instalación de software indeseado en los computadores, han usado en muchos casos técnicas de spamming.

Como consecuencia de los múltiples controles que han establecido las empresas, así como la creciente aprobación de leyes relativas al envío de correspondencia no solicitada, los SPAMMERS han incursionado en técnicas de ataque y control de computadoras conectadas a Internet, con el objeto de utilizar éstas para el envío de SPAM. Los ahora denominados “SPACKERS”, buscan de esta manera ampliar su capacidad de envío de correspondencia, anular algunas técnicas “anti-spamming” y ocultar su identidad a fin de evitar sanciones.

Los enlaces Internet y su tamaño (ancho de banda), así como la tecnología relacionada, representan costos cada vez mayores para las organizaciones. Es de suponer entonces que el SPAM se haya convertido en los últimos años en un problema que aqueja financiera y operativamente a las empresas y los usuarios de Internet. 

El SPAM representa para las empresas incrementos en los costos de telecomunicaciones, almacenamiento de información e inversión de tiempo en recurso humano para su análisis y eliminación. Según Ferris Research, en el año 2002, el costo por SPAM alcanzó los 8.9 millardos de dólares para las empresas estadounidenses, y para finales del año 2003, esta cifra se incrementó a 10 millardos. En términos de números de mensajes, la compañía MessageLabs estimó en 50.5% el porcentaje de SPAM en el tráfico de correspondencia por Internet. Lo relevante de esta cifra es el crecimiento exacerbado registrado y la posibilidad que se incremente durante el 2004.

Adicionalmente, existen los costos relacionados con la dedicación que el personal debe realizar para eliminar el correo no deseado de sus buzones. La mayor parte de los especialistas en el tema establecen una media de 3 segundos por correo. Otros costos asociados al SPAM es el relacionado con las labores de soporte técnico y atención de emergencias de seguridad como consecuencia de la introducción de virus o software “spyware” en las estaciones de trabajo de los empleados. 


El SPAM como herramienta para la generación de DoS

Producto del aprendizaje que los SPAMMERs y SPACKERS han venido desarrollando a lo largo de estos últimos años, se ha diseñado una compleja estructura para el hurto de ancho de banda a empresas que poseen conexiones permanentes a Internet. Dicha estructura también los ha provisto de una eficiente herramienta para la generación de negaciones de servicio (DoS, Denial of Service). Si un SPAMMER se establece como objetivo utilizar toda su capacidad contra un sólo receptor de correo, cualquiera de las siguientes situaciones puede ser una consecuencia:

• Saturación y colapso del servidor de correo como consecuencia del elevado volumen de correo recibido.

• Saturación del ancho de banda de acceso Internet, afectando todos los servicios que operen por el canal.

• Inhibición del Firewall (equipo que protege a la empresa de ataques desde Internet) al identificar el ataque, afectando el resto de los servicios.

En todos los casos arriba mencionados, las posibilidades de reacción a corto plazo de la empresa son mínimas, ya que estos ataques pueden operar indefinidamente, y la capacidad de generación de tráfico de estos atacantes, en la mayoría de los casos, es decenas de veces mayor que la capacidad instalada en plataforma tecnológica de la empresa (servidores, Firewalls, telecomunicaciones, etc.).

Estos ataques tienen diferentes esquemas, pero en general, proviene de miles de servidores alrededor del mundo. Es por ello que son denominados ataques distribuidos de negación de servicio (DDoS, Distributed Denial of Service). A continuación describiremos un par de ejemplos de este tipo de ataque:

SPAM directo: Esta es una técnica que consiste en la generación de correo cuyo destino es un sólo dominio. El atacante, utiliza servidores de correo en modalidad de relevo (SMTP relay), que les permiten multiplicar su ataque y procede a generar el SPAM. En este caso, el SPAMMER enviará millones de correos a usuarios –existentes o no- del dominio objeto del ataque y, como en la mayoría de los casos, el destinatario no existe, el servidor víctima devolverá un correo (NDR, Non Delivery Report) hacia el emisor, generando tráfico adicional que ayuda a saturar el enlace.

Para aumentar el tráfico y evitar las denominadas “listas negras” (blacklist), los SPAMMERs incrementan el uso de máquinas previamente atacadas y bajo su control (denominados zombis). Mediante la instalación de software proveniente de correo, virus, visitas a páginas Internet o por la existencia de brechas de seguridad en la configuración de sus sistemas operativos, el computador queda a la espera de instrucciones del SPAMMER, quien para el momento de utilizarlo procederá a indicarle el destino de su ataque. Estas máquinas “zombis” pueden actuar como servidores de relevo de correo (SMTP Relay) o poseer software especializado para SPAM y proceder a generar individualmente el correo y enviarlo a la víctima.

El método anteriormente descrito es un método bastante conocido y estudiado, por lo que la mayoría de las herramientas para combatir el SPAM pueden detectarlo. Sin embargo, es importante recordar que este tipo de ataque busca exceder las capacidades de la plataforma tecnológica, por lo que una solución tradicional “anti-spam” no es suficiente para atender esta situación.

SPAM por NDR: Esta es una técnica más compleja, que aprovecha los mensajes de no recepción de correo (NDR, Non Delivery Report), para generar tráfico. Esta técnica se inicia con la creación de un correo cuyos destinatarios son intencionalmente inválidos, pero su dominio (@empresa.com) existe. Como remitente del correo se coloca también un destinatario inexistente en el dominio objetivo del ataque (@atacado.com).

El correo es entonces enviado por el atacante, utilizando enlaces hurtados, máquinas zombis o proveedores ISP (Internet Service Provider) que protegen las direcciones origen de los SPAM. El servidor que recibe el correo, identifica la inexistencia de los varios destinatarios, y procede a emitir un mensaje NDR por cada dirección inválida contra el dominio emisor del correo. Este mensaje NDR tiene por destinatario otro buzón inexistente, por lo cual el dominio atacado genera un segundo mensaje NDR que envía hacia el servidor que recibió el SPAM original.

Este ataque posee ciertas características que complican su prevención y generan daños colaterales:

1. El ataque no es directo, sino que proviene de servidores de correo legítimos, por lo cual la utilización de listas de direcciones restringidas no funciona.

2. El contenido del mensaje es un contenido deseable, ya que los usuarios de correo requieren saber cuando un correo no es recibido por el destinatario.

3. El servidor atacado puede ser catalogado como emisor de SPAM, apareciendo en las listas de emisores de correspondencia no deseada (blacklist).

Al igual que en el modelo de ataque anterior, las posibilidades de poder atender semejante volumen de correspondencia excede en decenas de veces la capacidad de los servidores dimensionados para la necesidad de una empresa. Es importante mencionar que diversas organizaciones, incluso en los países con mayor avance en el desarrollo de un marco legal contra el delito informático, han sido objeto de sobornos bajo la amenaza de efectuar ataques de negación de servicios como los arriba mencionados.


Acciones legales con relación al SPAM en el mundo

Noticias relacionadas con SPAM tienen presencia constante en la Internet y en las publicaciones especializadas, dado que el tema de los correos no deseados se ha convertido en un “dolor de cabezas” para los especialistas de tecnología de información. El SPAM es un problema que trasciende las fronteras de los países, por lo cual los marcos legales regionales poco pueden hacer para detenerlo de una manera concluyente.

El SPAM por otro lado se apoya en vulnerabilidades intrínsecas al servicio de correo, y la posibilidad de enviarlo, puede asociarse al derecho de todo individuo de comunicarse. Por esta razón, y pese a que las situaciones descritas a lo largo de este boletín, conforman un verdadero tema de interés mundial, las acciones legales han tenido la cautela de establecer un balance en los derechos del emisor y el receptor, en tanto que las soluciones técnicas no han sido del todo eficientes.

En el aspecto legal, la administración Bush puso en vigor una Ley (diciembre de 2003) que regula el envío de correspondencia con fines publicitarios, el cual tipifica algunos delitos relacionados con el correo SPAM, como son la utilización de direcciones inválidas como remitentes del correo, la oferta “engañosa”, recabar direcciones desde páginas web o adivinarlas, el envío de material censurable y obligando al emisor a incorporar herramientas que permitan al receptor eliminar su dirección de correo de la lista de envío, así como también obligando al emisor a incorporar en el correo una dirección física relacionada a la empresa promotora.

En España, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), ya incorporaba la prohibición expresa del envío de SPAM, en su artículo 21. Si embargo, en modificación efectuada durante el mes de noviembre de 2003, se flexibilizó la disposición original de no permitir envío alguno, pero se incorporaron un conjunto de condiciones que deben cumplirse, como es el caso de ofrecer al receptor la posibilidad de solicitar la supresión de su dirección de correo de la lista de envío y la necesidad que los portales que recaban información para fines publicitarios ofrezcan a sus usuarios la potestad de decidir su inclusión a estas listas.

Según datos de la Unión Europea (UE), el SPAM está generando pérdidas del orden de los 2.500 millones de euros, al representar 51% de los correos electrónicos que circulan en la zona Euro. En atención a este problema, en el mes de octubre la UE pasó a ser el primer organismo supranacional que anunció la creación leyes orientadas a la regulación de este flagelo.


¿Qué hacer?

El SPAM tiene varios flancos que deben ser atendidos: SPAM tradicional y ataques DDoS. Aunque los resultados de un plan de acción sobre ambos aspectos podrán coincidir en las soluciones a utilizar, cada empresa debe apoyarse en personal calificado para identificar los riesgos y desarrollar las medidas de control necesarias.

El SPAM es un problema que lejos de resolverse en el corto plazo, requiere de cambios legales y técnicos de envergadura, requiriendo también la participación de los proveedores ISP (Internet Service Provider) y el establecimiento de consensos extra frontera sobre las acciones a seguir con las empresas o individuos que generan dicho correo.

De manera individual, es fundamental el establecimiento de un marco de seguridad integral del negocio que considere, entre otros aspectos, los lineamientos de seguridad y control generales para los activos de la información. Sobre este Marco global deberá diseñarse el modelo de seguridad de Internet sobre el análisis de los servicios y procesos que se apoyan en la red y los planes a mediano y largo plazo del negocio. Luego de este análisis, la empresa estará en capacidad de identificar los requerimientos técnicos para la detección y eliminación del SPAM, así como de atender el resto de los riesgos relacionados con Internet. La Figura N° 1 muestra un resumen del Marco de Seguridad Internet y los principales elementos que lo conforman.

Como puede apreciarse, los elementos que conforman este marco de seguridad, establece no sólo aspectos técnicos, sino el desarrollo de labores de educación y el establecimiento de convenios de servicio con los ISP, que permitan atender cada uno de los riesgos identificados.


Conclusiones 

El SPAM ha demostrado a lo largo del tiempo su capacidad de adaptarse a los cambios que los servicios de correo han sufrido a lo largo de los años y las técnicas de “anti-spam” diseñadas. Lejos de resolverse en el corto plazo, el SPAM presenta características que requieren cambios importantes en la infraestructura de correo existente, por lo cual toda solución que se plantee requerirá de la utilización de herramientas y procedimientos accesorios al servicio. Por otro lado, este problema está afectando a las mayorías de las organizaciones en el mundo, y los costos relacionados a su solución sugieren que para atender el problema, las empresas deberán apoyarse en organizaciones especializadas en el diseño de soluciones de seguridad integral y en proveedores de servicios, bien sea para atender el SPAM como un problema de gestión del servicio de correo o como técnica de ataque. 

En el largo plazo, es probable que la problemática del SPAM tendrá que ser atendida desde la perspectiva de los ISP, debido a los altos requerimientos técnicos, y la necesidad de integrar acciones con otros ISP para identificar y detener aquellos equipos conectados en Internet que lo estén generando.

Fuente: Espiñeira, Sheldon y Asociados,
Firma miembro de PricewaterhouseCoopers