El spam durante el primer semestre 2008

Resultados del primer semestre

• Cada cambio de estación del año provoca la disminución de la cantidad de spam.
• Los spammers prestan más atención a la calidad de la publicidad.
• El mercado ruso de spam se desarrolla de manera muy activa.
• Aumenta significativamente la cantidad de spam de la categoría “Reproducciones de artículos de lujo”.
• Para enmascarar el texto de las cartas, los spammers han inventado una serie de trucos que sacan partido de las particularidades de los programas de correo electrónico.

• Distribución proporcional del spam
• Tipos y tamaño de los mensajes Spam
• El mercado ruso de spam se desarrolla de manera bastante activa
  • Distribución del spam en el sector ruso de Internet por idiomas
  • Geografía de los puntos de procedencia del spam en el sector ruso de Internet
  • Redes zombi: distribución por países
  • Redes zombi: actividad diaria
• Distribución de spam según temáticas
• Métodos y procedimientos spam
• Conclusiones

Distribución proporcional del spam

En el primer semestre de 2008 el spam ocupó el 85% del tráfico en el correo del sector ruso de Internet. Según señalan los analistas de Kaspersky Lab, el 3 de mayo se registró el nivel mínimo de spam, con un 64,2% y el 1 de marzo el máximo, que fue del 97,8%.

Durante el primer semestre de 2008 el porcentaje de spam en el tráfico de correo ha sufrido variaciones constantes. No obstante, se pueden observar algunas tendencias. El elevado porcentaje de spam en enero se debe a las fiestas de fin de año y, por tanto el correo legítimo disminuyó considerablemente. En meses posteriores, el porcentaje de spam disminuye, pero en marzo otra vez se notó un súbito salto al alza.

En mayo, el porcentaje de spam disminuyó notablemente, aumentando ligeramente en el mes de junio. Estamos ante la disminución clásica de spam durante el verano. Es curioso que no se haya visto un descenso tan serio desde hace dos años: en 2007 la disminución durante el verano fue insignificante y en 2006 no se observó ningún descenso.

El concepto de estación del año es algo típico en el mercado de spam. En verano la gente lee menos su correo y muchos están de vacaciones y, por tanto, la efectividad del spam es menor. Por esta razón, en verano los spammers suelen tener menos clientes y la cantidad de spam disminuye.

Sin embargo, en los dos últimos años el mercado de spam se ha desarrollado tan vertiginosamente que el descenso en los meses de verano ha pasado casi desapercibido: los spammers adquieren tantos nuevos clientes que incluso durante los meses de verano la cantidad de spam sigue creciendo. El característico descenso en el porcentaje de spam durante el verano, que ahora observamos, podría confirmar que el mercado de spam está saturado y que el número de clientes sigue en el mismo nivel. Eso se confirma indirectamente al ver la disminución de la cantidad de publicidad de servicios de spam: si en 2007 en la rúbrica de “Servicios de publicidad electrónica” el porcentaje era de más de 7%, en 2008 es de 4,3%.

Tipos y tamaño de los mensajes Spam

Tipos de mensajes spam

Como se puede observar en el gráfico, la mayoría de los mensajes spam son cartas en formato de texto simple. En este formato las cartas son más ligeras y por consiguiente el envío masivo se hace más rápido. En segundo lugar están las cartas que contienen una parte en html. Estas cartas pesan un poco más, pero el uso de html permite hacerlas más atractivas y usar trucos suplementarios para evadir los filtros. Después están las cartas que llevan imágenes adjuntas (jpeg o gif), que en total constituyen un 23,9%.

Es notable que las otras cartas con diferentes archivos adjuntos no lleguen ni siquiera al uno por ciento. En 2007, los spammers intentaron activamente usar diversos tipos de archivos adjuntos: pdf, fdf, exl, mp3. Pero esos experimentos no resultaron efectivos y se volvió al uso de los tipos clásicos de spam.

Tamaño de los mensajes spam

Es fácil notar la relación entre el tamaño y tipo de mensajes o cartas spam. Las cartas más “ligeras” son las que están en el formato de texto simple. Las que contienen una parte en html pesan de 1 a 20 KB, es decir, están en las tres primeras columnas del gráfico dependiendo del tipo de carta (hay cartas que contienen sólo un enlace html pero también están aquellas que llevan tablas grandes y llamativas). Las cartas más pesadas son las de 20 KB y por lo general son mensajes con imágenes.

Si hacemos una comparación con los resultados de finales del año pasado, el gráfico de distribución del tamaño de los mensajes ha cambiado notablemente – ha crecido la cantidad de cartas de 1-5 KB y >50 KB, ha disminuido la cantidad de cartas 5-10KB y 20-50 KB. Este cambio puede estar relacionado con dos tendencias opuestas. La primera: los spammers tratan de reducir el tamaño de sus mensajes para enviarlas en menos tiempo a un mayor número de usuarios. La segunda: los spammers tratan de hacer que el aspecto de sus cartas sea más atractivo para captar más clientes.

El mercado ruso de spam se desarrolla de manera bastante activa

Si bien en 2004-2005 los spammers rusos aprendían de sus “colegas” de occidente, tomando de ellos la tecnología y métodos publicitarios; ahora los spammers rusos actúan de una manera completamente profesional y agresiva. El flujo de spam es generado sobre todo por spammers de habla rusa. Esto se confirma tanto por el predominio de cartas spam en ruso como por la actividad de las redes zombi o botnet, desde las cuales se envía spam a usuarios rusos.

Distribución del spam en el sector ruso de Internet por idiomas

En el sector ruso de Internet aparece cada vez más spam en ruso. Si bien hace un par de años los índices de este spam eran de aproximadamente 60%, ahora están cerca de 80%.

Lo curioso es que los spammers rusos también se han puesto manos a la obra en cuanto al 21% se refiere. Últimamente los spammers están ampliando su base de direcciones para enviar spam. Si antes los spamers rusos ofrecían enviar spam a diferentes ciudades de Rusia, a veces a Ucrania y Kazakhstán, ahora se puede ver muy a menudo ofertas de envío de spam a países de Europa y EE.UU. Lo que significa que pueden hacer uso de los servicios de los spammers tanto empresarios rusos que quieren vender su producción u ofrecer sus servicios en el extranjero, como los clientes extranjeros. En la publicidad de servicios que prestan los spammers es cada vez más frecuente ver ofertas de envío por todo el mundo. Todo parece indicar que las direcciones rusas también se usan en tales envíos y como resultado los usuarios rusos reciben spam en inglés y otro spam de los mismos spammers rusos. Esto se puede evidenciar de manera indirecta viendo la actividad diaria de las redes zombi (que funcionan según la zona horaria de Moscú), y también viendo que el spam en inglés (por ejemplo, publicidad de Viagra) viene en cartas con palabras en ruso escritas en letras latinas.

Geografía de los puntos de procedencia del spam en el sector ruso de Internet

La geografía de los puntos de procedencia de spam en el sector ruso de Internet es la que se esperaba. Los dos primeros puestos los ocupan Rusia y EE.UU., que son los líderes en el envío mundial de spam. Luego están los países de Europa y América Latina. Lo interesante es que China sigue bajando puestos de tal manera que, a finales del segundo semestre, está en el mismo nivel que Ucrania.

Redes zombi: distribución por países

Esta es la distribución de equipos infectados en diferentes países a finales del primer semestre de 2008:

Destacar que, a pesar de que EE.UU. ocupa el segundo lugar como punto de procedencia de spam, no se encuentra dentro de la lista de los primeros cinco líderes de equipos infectados. China, en cambio, se encuentra en el cuarto lugar de dicha lista. Es posible que la explicación de este fenómeno esté en la diferencia que existe entre las legislaciones de los países y en la posibilidad de monitorizar y neutralizar las redes zombi – en EE.UU. la lucha contra el spam y spammers es más activa que en China.

Les recordamos que el spam se envía desde las redes zombi o botnets y teóricamente se las puede controlar desde cualquier país del mundo, sin importar dónde se encuentren las máquinas infectadas. En su mayoría, el spam que viene en el flujo de correo y que se envía con ayuda de las redes zombi está en ruso. Además de esto, la actividad de las redes zombi a diferentes horas del día es también bastante significativa.

Redes zombi: actividad diaria

El gráfico muestra la conducta de tres redes zombi que han sido observadas por los analistas de Kaspersky Lab. A pesar de que sólo el 13% de los ordenadores infectados que componen estas redes están en Rusia, la actividad diaria de las redes está orientada a la zona horaria de Moscú: se nota un aumento de actividad en todas las redes desde las 10 de la mañana y se ve su declive sobre las 17-18 horas. Esto demuestra que la gente que controla las redes zombies vive según la hora moscovita.

Distribución de spam según temáticas

En general la distribución de spam según la temática durante el primer semestre es la siguiente:

1. “Medicinas; productos y servicios dedicados al sector de salud” – 27,45%
2. “Educación” – 13,86%
3. “falsificaciones o copias” – 10,68%
4. “Ocio y viajes” – 8,45%
5. “Servicios de publicidad por Internet” – 4,33%

Los primeros cinco puestos en cuanto a temática son los tradicionales, a excepción de una nueva rúbrica: “falsificación o copias de productos de lujo” – publicidad de artículos de lujo falsos (sobre todo copias de relojes Rolex y teléfonos móviles Vertu). El spam con esta temática existe desde hace mucho tiempo, pero este año ha sido clasificado en una categoría aparte debido a que la cantidad de este tipo de spam ha aumentado significativamente.

En marzo, esta temática de spam se clasificó dentro de una nueva categoría aparte y de inmediato ocupó el tercer lugar y no ha bajado de puesto. La aparición de esta reseña es una evidencia del dinamismo de los spammers rusos. El porcentaje que alcanzó esta categoría se debe precisamente a la cantidad de cartas en ruso. Las cartas en inglés con esta temática existen desde hace mucho tiempo, pero nunca jugaron un papel importante en la distribución temática de spam.

Es interesante ver que la categoría “estafa mediante ordenadores”- uno de los líderes del primer semestre de 2007- no solamente está fuera de los cinco primeros, sino que se ha convertido en un outsider, su porcentaje es solo de 2,54%. Esta cifra se ha mantenido más o menos constante durante todo el primer semestre y no ha sobrepasado el 3%. Les recordamos que en 2007 esta categoría ocupaba el 6,9% del tráfico (el 8,6% durante el primer semestre de 2007) y en 2006… ¡llegaba al 14,3%! Desgraciadamente, es dudoso que esta disminución sea una evidencia de que Internet esta menos criminalizado. Lo que sí se puede afirmar es que los ataques de estafadores están dirigidos a blancos específicos, y que se hace hincapié en la calidad y no en la cantidad de cartas enviadas.

Durante el primer semestre de 2008 los spammers pusieron más atención a la calidad en la publicidad de sus propios servicios, es decir, auto-publicidad. En comparación con 2007, el porcentaje de publicidad de servicios de spam disminuyó del 7,2% al 4,3%. Sin embargo, su calidad aumentó notablemente: en la publicidad de sus envíos los spamers usaban trucos como la falsificación de correo privado, referencia a importantes sucesos internacionales (en particular, al campeonato de fútbol), haciendo que sus mensajes fuesen más atractivos. Para captar clientes, los spammers ofrecían realizar envíos gratis en los que se ofrecía ayuda en la búsqueda de personas desaparecidas. Así, los spammers consideran que su actividad es completamente legal, mientras que el spam está prohibido prácticamente en todos los países del mundo, incluyendo Rusia.

Métodos y procedimientos spam

Durante el primer semestre de 2008 los spammers hicieron varios intentos de perfeccionar sus antiguos métodos de eludir los filtros anti-spam. Se hizo hincapié en los métodos de enmascaramiento de texto. Esta vez los spammers trataron de hacer que por una parte la carta enmascarara el texto (para los filtros antispam) pero que por otra parte quedara “claro” para el usuario. Para lograr este objetivo usaron etiquetas html.

Hace ya tiempo que los spammers usan el código de html para burlar los filtros anti-spam. Con la ayuda de dicha codificación se puede cambiar el color de parte del texto, para crear cartas que parezcan únicas o para disminuir su tamaño, haciendo de esta manera que el texto introducido para evadir los filtros sea menos notorio a la vista (haciendo que la carta sea legible para su destinatario, pero que cambie constantemente para el filtro). Anteriormente los spammers usaban el llamado “texto blanco”, que coincidía totalmente con el color de fondo, pero ahora todos los filtros bloquean con éxito aquellas cartas que lleven integradas ese tipo de texto. Esta vez los spammers crearon nuevos trucos, aprovechando las particularidades de los clientes de correo.

En enero apareció un spam con pseudo etiquetas html. En las cartas se integraba carta una secuencia de letras al azar, que estaba dentro de unos paréntesis triangulares. El contenido de estas etiquetas era visto por el cliente como una etiqueta mal escrita y simplemente no las visualizaba al abrir la carta.

En febrero los spammers empezaron a intercalar en el texto etiquetas con comentarios. El cliente de correo tampoco muestra estas etiquetas al usuario. Dentro de las etiquetas se insertaba un texto al azar para hacer que cada envío fuese único para el filtro anti-spam.

En el siguiente ejemplo, los spammers no sólo agregan un texto al azar a las etiquetas de comentarios, sino que usan el código html para evitar que el usuario vea el verdadero enlace (en la columna izquierda marcado con azul): de esta manera, el usuario ve el enlace al popular sitio postcard.ru, pero el verdadero enlace lo conducirá a un sitio totalmente diferente.

En abril, a los spammers se les ocurrió un nuevo truco: cambiar al azar la codificación de algunos caracteres a UTF-8. El cliente de correo muestra de forma normal el texto con códigos ANSI y UTF-8 combinados, pero el filtro anti-spam considerará cada una de estas cartas como única y por consiguiente, el contador de mensajes masivos no entrará en función.

(en rojo se muestran los códigos UTF-8)

Conclusiones

Durante los últimos años hemos sido testigos de la consolidación del mercado ruso de spam. En la actualidad, como sucede con cualquier mercado desarrollado, los servicios del mercado ruso responden a una especie de distribución del trabajo. Por ejemplo, diferentes personas se encargan de la elaboración de software para hacer envíos spam, recopilar direcciones para las bases spam, de relacionarse con clientes que requieren spam, elaborar la publicidad spam y enviarla. La época de los spammers solitarios ya acabó hace mucho tiempo.

Los spammers actúan sobre todo en las ciudades rusas como Moscú y San Petersburgo. Lo más seguro es que en estas ciudades los sectores de influencia ya estén repartidos entre las grandes compañías de spam. Y los spammers tratan de atraer nuevos clientes mediante la calidad de la publicidad enviada. Es evidente que en la creación de los modelos de cartas trabajan no sólo programadores, sino también especialistas en marketing y diseñadores.

Lamentablemente, toda esta profesionalidad está prestando servicios a un negocio ilegal ya que el spam en Rusia, así como en muchos otros países, está al margen de la ley. De esta manera, hay una interrelación activa entre spammers y otros cibercriminales: estafadores de Internet y creadores de virus. Precisamente esta interrelación hace que el spam sea más peligroso.

¿Qué nos deparará el siguiente semestre? Lo más probable es que los spammers continúen experimentando con el código html y no se excluye tampoco que se vuelvan a utilizar algunos de los viejos trucos y métodos. No cabe duda de que en otoño aumentará la cantidad de spam en el correo – después del tradicional declive estacional del spam, es seguro que habrá un ascenso.