Publicaciones

El planeta capturado por los spammers

Hoy en día casi no quedan zonas libres de spam en el mundo. Durante muchos años los spammers han luchado por conquistar áreas que podrían usar como fuentes de spam. Ahora tratan de mantener los territorios conquistados y anexar otros. Mientras tanto, las autoridades, los fabricantes antispam y grupos de iniciativas se esfuerzan por combatir esta ‘invasión’. En este artículo analizaremos los factores que afectan la migración de las fuentes de spam, los cambios en la distribución de estas fuentes por país, y las tendencias de migración.

2003-2009: la crónica

La historia de la industria del spam puede dividirse en varios periodos en los que las compañías antispam, las autoridades y las leyes en distintos países forzaron a los spammers a buscar métodos alternativos para propagar sus envíos masivos, desarrollar otras técnicas para evadir los filtros, y encontrar otras bases de distribución.

En el año 2003, muchos países europeos adoptaron leyes antispam como resultado de la Directiva 2002/58/EC del Parlamento Europeo y del Consejo del 12 de julio de 2002 sobre el procesamiento de información personal y la protección de la privacidad en el sector de las comunicaciones digitales (Directiva sobre privacidad y comunicaciones digitales). Esta directiva también indica que deben tomarse medidas contra las comunicaciones comerciales no solicitadas. En ese mismo año se aprobaron leyes antispam en EE.UU. y Australia. Las leyes australianas se consideran las más efectivas.

A pesar de todas las medidas jurídicas tomadas, el volumen de spam en el tráfico de correo no ha cesado de aumentar. En 2004 creció en un 14% en comparación con 2003, y representó el 80% del tráfico de correo. Mantuvo este nivel incluso hasta el año 2006. Para combatir el spam, los principales servicios de correo instalaron filtros antispam. Los principales proveedores también recurrieron a la protección antispam. Los fabricantes antivirus comenzaron a integrar motores antispam en sus soluciones.

A pesar de las leyes antispam aprobadas, EE.UU. siguió encabezando la lista de las principales fuentes de spam. Se estima que en 2004, casi la mitad de los mensajes spam provinieron de este país.

El año 2006 fue testigo de la segunda ola de iniciativas legislativas en el ámbito de la protección antispam. Entre los años 2006 y 2007 se adoptaron leyes antispam en China, Paquistán, Singapur y Nueva Zelanda. Rusia también introdujo algunas enmiendas a la ley federal sobre publicidad. Además, se introdujo el enfoque tecnológico en el combate antispam, de manera que los spammers tuvieron que perfeccionar sus métodos de propagación de spam y sus técnicas de evasión de filtros antispam. En el año 2006 los servidores usados por los spammers para sus envíos masivos por fin cayeron en descrédito y se clausuraron, lo que obligó a los spammers a usar redes zombi (botnets). Mientras tanto, el aspecto técnico del spam empezó a diversificarse: apareció el primer spam gráfico con ruido de fondo y los spammers comenzaron a usar distintas características del HTML para evadir los filtros.

Una cantidad cada vez mayor de envíos provinieron de Rusia y China. Rusia tomó la delantera en la propagación de spam cuando la red rusa RuNet llegó a propagar el 22% del spam. EE.UU. se ubicó en la segunda posición, con el 20%, seguido de China con el 11%. EE.UU. mantuvo su liderazgo como principal fuente de spam en el sector norteamericano y europeo-occidental. Rusia y China se mantuvieron entre los tres primeros distribuidores de spam. La clasificación también incluyó a muchos países de Europa occidental.

El 30 de marzo de 2006, China aprobó la ley sobre “Regulación de servicios de correo electrónico e Internet”, y a partir de los primeros meses de 2007 la cantidad de spam proveniente de este país decayó significativamente.

En el año 2007, EE.UU. estuvo a la cabeza de las fuentes de spam con el 11,2% de todo el spam distribuido, seguido de cerca por Rusia con el 10,8%. Polonia quedó tercero, siendo el único representante de Europa Oriental que resultó en los Top 20. India estuvo entre los Top 10 en el año 2007, y cuatro años después, en 2011, alcanzó el primer lugar de la lista de los principales países productores de spam. China ocupó la 9? posición. La clasificación también incluyó a cinco países latinoamericanos.

2007 fue el punto de partida de la “búsqueda geográfica” emprendida por los dueños de botnets. Tras su derrota en China gracias a sus nuevas leyes regulatorias de Internet, migraron a países menos protegidos en Asia, Oriente Medio y Latinoamérica. Además de la carencia de leyes regulatorias de Internet, los usuarios de estas regiones mostraban escasos conocimientos en informática, además de que no contaban con soluciones antivirus que impidieran a los ciberdelincuentes acceder a sus ordenadores.

E 2008, EE.UU. y Rusia intercambiaron sus posiciones en la clasificación entre las fuentes más importantes de spam: Rusia fue responsable del 22% de todo el spam propagado, mientras que EE.UU. lo fue del 16%; el resto de los países quedó muy rezagado. Ese mismo año otro país de Europa oriental, Ucrania, ingresó entre los Top 10.

En el segundo semestre de 2009, la cantidad de mensajes spam provenientes de EE.UU. creció considerablemente, llegando a representar el 24,4% de todo el tráfico spam. Al mismo tiempo aumentaba la cantidad de dominios norteamericanos infectados. Estas eran quizás las señales de un gran interés de los autores de virus por los EE.UU. o del lanzamiento de ataques combinados dirigidos a infectar los dominios y a capturar los ordenadores de los usuarios para crear redes zombi (por ejemplo, los ataques que usaban Bredolab). En el año 2009 la contribución media de los EE.UU. al spam a nivel mundial era del 16%. Por el contrario, la participación de Rusia decreció poco a poco hasta reducirse al 8,5% de todo el tráfico spam. Por detrás se encontraban Brasil (7,6%), India (5,9%) y Corea (4,8%). Los dueños de redes zombi fortalecieron sus posiciones en los países en vías de desarrollo: entre los Top 10 ya no figuraba ningún país de Europa Occidental.

2010: el cierre de las redes zombi y los programas de afiliados

Antes del año 2010, EE.UU. y Rusia encabezaban la clasificación de países con los negocios de spam más desarrollados. En distintos años la participación total de estos dos países alcanzó el 22-24% del spam mundial. Sin embargo, en 2010 la situación cambió.

El año 2010 pasará a la historia como el año de la lucha contra las redes zombi. Los centros de administración de las redes zombi también se habían cerrado en años anteriores (por ejemplo, en 2008 se cerró el proveedor de alojamiento McColo que acogía a los centros de administración de varias redes zombi). Y, sin embargo, nunca antes esta lucha había sido tan amplia y efectiva. Además, varios spammers y dueños de redes zombi comparecieron ante la justicia en 2010. Es bueno notar que no se trataba de casos aislados pues estas acciones se repetían: en marzo de 2011 se cerraron los centros de administración de Rustock.

Sin duda, esta campaña contra las redes zombi en 2010 ocasionó el traslado de las fuentes de spam. El siguiente gráfico muestra la distribución de las fuentes de spam por región, lo que permite observar la dinámica en los cambios.


Spam por región en 2010

Resulta interesante que la participación de Europa Oriental creciera en marzo y octubre y que las cifras de Latinoamérica fueran mayores en junio, mientras que la contribución de EE.UU. y Canadá al spam mundial comenzaran a decaer en septiembre y continuaran disminuyendo.

La considerable reducción en la cantidad de spam proveniente de EE.UU. se debió al cierre de los centros de administración de la red zombi Pushdo/Cutwail. El cierre del programa de afiliados Spamlt también pudo haber afectado al spam distribuido desde EE.UU.

En esta situación, los ciberdelincuentes comenzaron a explorar nuevos y más convenientes territorios para usarlos como plataformas de lanzamiento de sus envíos masivos de spam. En octubre, el volumen de spam enviado desde Rusia, Ucrania y otros países de Europa Oriental aumentó llamativamente. Esta tendencia continuó en noviembre con el aumento de las cifras correspondientes a Vietnam, India e Indonesia. En general, en 2010 casi todas las regiones del mundo estaban comprometidas en la distribución de spam. África, que nunca antes había sido parte del proceso de producción de spam, debutó con un significativo 1,64% del total de spam.

El análisis de la cantidad de mensajes con adjuntos maliciosos puede ayudarnos a detectar las nuevas bases de lanzamiento de envíos masivos de los spammers. En general, para organizar una red zombi se envían mensajes maliciosos que infectan los ordenadores de los usuarios con bots que luego se usan para propagar spam. Entre octubre y diciembre de 2010, los índices de detección antivirus de correo en EE.UU. y países de Europa occidental decayeron bastante, mientras que la cantidad de malware detectado en Europa Oriental y en Asia se incrementó.


Detección antivirus en mensajes en algunos de los países
Top 10 entre octubre y diciembre de 2010

2011: estabilización

Al contrario de lo que sucedió el año anterior, en 2011 la cantidad de spam distribuido desde distintas regiones del mundo dejó de fluctuar. Se puede afirmar que el primer trimestre de 2011 fue estable.


Spam por región en el primer trimestre de 2011

Entre las tendencias más evidentes en el primer semestre de 2011, está el crecimiento gradual de la participación de Asia y Latinoamérica en el tráfico mundial de spam, y la disminución en la participación de Europa Occidental y Oriental. Como hemos mencionado arriba, Asia y Latinoamérica eran zonas atractivas para los spammers por varias razones; a ello se debe el aumento de ordenadores infectados usados para envíos de spam.

En 2011, la clasificación de los países más populares como fuentes de spam sufrió varios cambios: ya no se da más la situación en la que tres países sean los responsables de casi la mitad del spam mundial. Los ordenadores zombi usados para propagar mensajes spam tienen una distribución uniforme por todo el mundo.


Fuentes de spam por país en el primer semestre de 2011

Esta distribución señala el final de la expansión geográfica de los spammers. Ya no quedan territorios “libres de redes zombi”, pues los ordenadores que envían spam se encuentran ya sea en Sudáfrica o en alguna isla remota del océano Pacífico. Los países en vías de desarrollo han atraído a los dueños de redes zombi debido a que carecen de una legislación antispam y a su bajo nivel de seguridad informática, mientras que los países desarrollados les resultan interesantes por sus conexiones rápidas y ampliamente disponibles.

Tras la efectiva campaña contra las redes zombi en 2010, ahora nos enfrentamos al aumento del número de redes pequeñas, pero cuyo tamaño les facilita a los spammers moverse a otra red en caso que una de ellas se cierre. Esto también origina una distribución más homogénea de ordenadores infectados por país.

Razones para la migración de las fuentes spam

Considerando lo dicho, podemos determinar varias razones para la relocalización de las fuentes de spam por región.

    1)

  1. La evolución jurídica
    El ejemplo de China ilustra en qué medida la distribución del spam depende de la efectividad de la legislación antispam: tras la adopción de la ley antispam, la cantidad de mensajes no solicitados provenientes de este país decayó ostensiblemente y hoy en día no sobrepasa el 1% del tráfico mundial de spam. Además, la introducción de políticas más estrictas para las direcciones de Internet con el dominio ‘.cn’ a finales del 2009 (las nuevas normas ahora exigen que el dominio sólo puede ser registrado por una persona jurídica), resultó en una considerable reducción en la cantidad de sitios maliciosos y spammer con este dominio. Por supuesto que es importante no sólo aprobar una ley, sino también contar con los instrumentos para su aplicación. Al parecer, China con su dura política sobre Internet sí cuenta con ellos.

    Australia es otro valioso caso. Si observamos el gráfico de las fuentes de spam por región, veremos que Australia y las islas del pacífico propagan menos spam que cualquier otra región a pesar de que Australia es un país muy extenso con conexiones Internet ampliamente disponibles. La razón es la ley antispam de este país (Spam Act 2003), que es la más dura de las legislaciones en vigencia en todo el mundo. El gobierno australiano involucra a los proveedores de Internet en la lucha contra el spam: deben detectar en sus redes equipos zombis (equipos infectados de usuarios que distribuyen malware y spam) y ayudar a los usuarios a reparar sus equipos infectados. Además, a los usuarios se les ofrece una sencilla herramienta de notificación de mensajes spam: basta con un clic del ratón para enviar una muestra del mensaje no deseado a las autoridades que se encargan de controlar el spam.
    2)

  2. La expansión geográfica
    La evolución de Internet y su expansión por todo el mundo ha dado lugar al creciente número de países que participan en la propagación de spam. Durante los cinco últimos años, la lista de fuentes de spam se amplió con países de Latinoamérica, Asia, Medio oriente y África. Hoy en día, la expansión geográfica de los spammers ha terminado.
    3)

  3. El cierre de las redes zombi
    El cierre de las redes zombi afectó casi de inmediato a la propagación de spam y sus fuentes. Aunque una botnet puede incluir equipos situados en todo el mundo, la mayoría de ellos suelen concentrarse en una región, por lo que el cierre de los centros de administración de la red zombi en esta región reduce en forma drástica el volumen de spam proveniente de ella.
    4)

  4. El cierre de los programas de asociación
    Este es un caso raro que en gran medida depende de las acciones de las autoridades. El mejor ejemplo de ello es el cierre del programa de afiliados Spamlt en octubre de 2010 que afectó a las categorías de spam y a su distribución geográfica.

    Conclusiones y pronósticos

    Hoy en día, la mayor parte del spam se propaga mediante las redes zombi, que son redes de ordenadores infectados que reciben instrucciones desde sus centros de administración. Otra porción del spam sigue enviándose desde los servidores de los spammers. La localización de estos servidores y redes zombi depende de muchos factores, entre los cuales están la legislación antispam de diferentes países y las acciones contra las redes zombi emprendidas por las autoridades y grupos no gubernamentales. Además, los spammers toman en cuenta factores como el nivel de seguridad informática de cada país, el nivel de conocimientos informáticos de sus usuarios y la frecuencia de las actualizaciones del software instalado en sus ordenadores.

    Según datos estadísticos, hoy en día las fuentes de spam tienen una distribución uniforme en todo el mundo. Esto es fácil de explicar, porque en la actualidad el número de ordenadores por persona en los distintos países es casi el mismo, y la calidad de los canales de comunicación está mejorando. Por supuesto, este es un largo proceso que puede llevar décadas, pero al final desembocará en que todos los países sean igual de atractivos para los dueños de redes zombi.

    Mientras tanto, los países del BRIC (Brasil, Rusia, India y China) y otros en rápido desarrollo estarán a la cabeza de la clasificación de las fuentes más importantes de spam porque representan particular interés para los spammers desde el punto de vista de “legislación /seguridad informática / número de usuarios / ancho de banda”.

    Prevemos el crecimiento de la cantidad de spam proveniente de EE.UU. aunque no alcanzará sus niveles anteriores: la amplia disponibilidad de conexiones de Internet y el enorme número de usuarios atraen la atención de los dueños de redes zombi a pesar de las leyes antispam adoptadas en este país y del alto nivel de seguridad informática de los usuarios. Resulta interesante que en mayo de 2011, EE.UU. haya ocupado el 2? lugar en la clasificación de países con mayor frecuencia de detección de malware por las soluciones antivirus de correo y que desde entonces no ha descendido del 4? lugar, lo que es un indicio de la organización de redes zombi en este territorio.

    El año 2010 demostró que se puede combatir el spam mediante filtros y otros métodos, como el cierre de los centros de administración de las redes y los juicios a los spammers por sus responsabilidades criminales y administrativas. Esperamos que en el futuro este enfoque de la lucha antispam mantenga su carácter integral.

El planeta capturado por los spammers

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada