Autores
Resumen del primer semestre de 2009
- La crisis económica no ha influido en el volumen del spam enviado: el porcentaje medio de spam en el tráfico de correo ha sido del 85,5%.
- El 0,3% de los mensajes spam contenían adjuntos maliciosos.
- El 0,6% de los mensajes contenía vínculos a sitios de phishing.
- Los principales puntos de origen del spam ya no están en Europa Occidental y EEUU, sino que se han desplazado a Asia y América Latina.
- Durante el periodo de crisis se ha reducido el porcentaje de publicidad spam enviada por las pequeñas y medianas empresas.
- En los flujos de spam, la publicidad de servicios de envío de spam ha sustituido parte de la oferta del sector real de la economía.
Porcentaje de spam en el tráfico de correo
Porcentaje medio de spam en el tráfico de correo en el primer
semestre de 2009
En el primer semestre de 2009 el porcentaje medio de spam en el tráfico de correo fue del 85,5%. El índice más bajo fue registrado el 26 de abril y fue del 72,8%. El pico del spam se registró el 22 de febrero y ocupó el 93% del tráfico de correo. El 0,3% de los mensajes spam contenían adjuntos maliciosos.
La crisis financiera que empezó en otoño del año pasado no se ha reflejado en el porcentaje de spam contenido en el tráfico de correo: en comparación con el primer semestre del año pasado, no ha sufrido cambios sustanciales.
Phishing
En general, el porcentaje de phishing ha bajado.
Porcentaje de mensajes phishing en el tráfico de correo del primer
semestre de 2009
En el primer semestre de 2009 el porcentaje de mensajes phishing del tráfico de correo fue del 0,6%. Cada mes que transcurría (excepto mayo) iba reduciéndose la cantidad de mensajes phishing: en el primer trimestre constituyeron el 0,78% de toda la correspondencia y en el segundo, sólo el 0,49%.
Gracias a los sistemas de antiphishing los usuarios están protegidos mejor que nunca contra este tipo de estafas. Y para los delincuentes, el phishing está perdiendo su atractivo desde el punto de vista del lucro que ofrece.
Los principales blancos de los ataques phishing
Organizaciones atacadas por los phishers en el primer semestre de 2009
El sistema de pagos PayPal sigue siendo el principal blanco de los phishers. El sistema de subastas eBay ocupa el segundo puesto. Más del 60% de los mensajes phishing pretenden ser mensajes de estas organizaciones. Y como ya sabemos, PayPal, eBay y una serie de importantes bancos difunden activamente entre sus usuarios información sobre el peligro que representa el phishing. Como resultado, los usuarios tienen más cuidado y los ataques phishing dirigidos a los mismos pierden su efectividad. Al mismo tiempo, los ataques que los phishers emprenden contra servicios menos populares no parecen dar resultados tangibles. Es posible que sean estos factores los que han provocado la reducción paulatina de la correspondencia phishing.
Países-fuentes del spam que afecta a Rusia: giro de Occidente hacia Oriente
Países
Este semestre ha cambiado de forma notable la lista de los diez países desde los cuales se envía más spam. Llegó menos spam desde España e Italia. Estos países, que en el segundo semestre de 2008 ocuparon el tercer y cuarto lugar en la clasificación, ya no se encuentran entre los diez primeros países en envío de spam. Alemania y Ucrania también han abandonado la lista TOP10. Se empezó a enviar más spam desde India, Tailandia, Rumania y Polonia, que entraron en la lista TOP10.
Países desde los cuales se envía spam (segundo semestre de 2008; primer
semestre de 2009)
Rusia y EEUU siguen siendo los líderes entre los países generadores de spam, pero no se excluye la posibilidad de que en el segundo semestre sean desplazados: la cantidad de mensajes spam enviados desde estos dos países está bajando. Así, en el segundo semestre de 2008, el 22% del spam se envió desde Rusia, pero en el primer semestre de 2009, sólo fue el 11%. Los índices correspondientes de EEUU son: 16% y 10%.
Al llegar junio, la cantidad de spam enviada desde Rusia se redujo al 8%. Sin embargo, la lucha contra el spam en Rusia no es tan exitosa como para permitir pronosticar la subsiguiente reducción del spam generado en este país. Es probable que la cantidad de spam enviado desde Rusia se estabilice en el nivel del 8 al 10% del total.
India ha hecho grandes progresos en el campo del envío de spam. Si en 2008 desde este país se enviaba el 2% del spam, en el primer semestre de 2009 ya era el 4%. En junio su aporte al flujo de spam enviado al sector ruso de Internet alcanzó un récord del 10%. La media del semestre fue del 7%. El interés de los spammers por la India puede estar relacionado, por una parte, con el hecho de que el desarrollo económico conlleva la difusión de novísimas tecnologías de Internet, tales como la banda ancha; y por otra parte, por el bajo nivel de protección que los usuarios indios tienen por el momento. Esta última circunstancia crea condiciones para que los equipos sufran infecciones masivas de programas nocivos que los conviertan en redes zombi (botnets) que envían spam.
El aporte de Turquía en la difusión de spam también ha crecido: en el segundo semestre de 2008 desde este país se enviaba sólo el 3% de los mensajes spam, pero en el primer semestre de 2009 esta cantidad se incrementó en más de dos veces y alcanzó el 6,6% del total del spam.
Entre los países europeos también cambió la lista de países de remitentes de spam. En 2008 los tres países líderes eran España, Italia y Ucrania. Pero ahora el primero en la lista es Polonia, seguido de Rumanía e Italia.
Tabla. 1. TOP10 de países europeos desde donde se envía spam
| Polonia | 4,30% | 2,30% |
| Romania | 3,00% | 2,00% |
| Italia | 2,60% | -2,40% |
| Ucrania | 2,00% | -1,00% |
| España | 1,90% | -3,30% |
| Alemania | 1,90% | -1,30% |
| Gran Bretaña | 1,60% | -0,40% |
| República Checa | 1,10% | 0,70% |
| Francia | 1,00% | -1,60% |
| Hungría | 0,90% | 0,50% |
En general, los flujos de spam procedentes de todos los países de Europa Occidental se han reducido, pero se ha incrementado la cantidad de spam enviado desde los países de Europa Oriental.
Regiones
En la distribución de las fuentes de spam según regiones se observa que la migración desde Occidente hacia Oriente se ha convertido en una tendencia. El spam enviado desde países asiáticos ha aumentado más de dos veces: del 18% en el segundo semestre de 2008 al 35% en el primer semestre de 2009. También se ha incrementado el porcentaje de participación de los países de América Latina y de los países de Europa Oriental (sin Rusia). Al mismo tiempo, la cantidad de spam enviado desde Europa Occidental ha sufrido un declive de cerca del 50%. Si en la segunda mitad de 2008 cerca del 20% del spam se enviaba desde los países de Europa Occidental, en el primer semestre de 2009 esta cifra fue de sólo el 12%.
Países—fuentes de spam: segundo semestre de 2008, primer
trimestre de 2009
Creemos que la migración de la actividad del spam hacia el Oriente está conectada con varios factores: por una parte, EEUU y los países de Europa Occidental han hecho hincapié en la lucha contra el spam: han clausurado los hosting de spam, introducido mejoras en la legislación y hasta se ha demandado a algunos spammers. Esto hace que para los spammers sea más complicado y peligroso enviar spam desde Europa Occidental y EEUU. Al mismo tiempo Asia y América Latina, y en parte Europa Oriental (con excepción de Rusia) se han hecho más atractivas para los spammers: en estos países ha crecido notablemente el número de usuarios de Internet y se está difundiendo cada vez más el uso de banda ancha. Además, en estos países los usuarios están peor protegidos contra los programas nocivos y menos informados sobre las amenazas informáticas.
De esta manera, los principales puntos de origen del spam se han mudado de Europa Occidental y EEUU a Asia y América Latina. Para los usuarios esto es una buena noticia: aquellos que no mantienen correspondencia con personas de estas regiones pueden dejar de aceptar mensajes provenientes de países asiáticos o latinoamericanos, haciendo unos simples cambios de configuración para librarse de más de la mitad del spam.
Particularidades temáticas del spam
Países-fuentes del spam que afecta a Rusia
Categorías del spam que lideraron en el primer semestre de 2009:
- Fármacos; bienes y servicios para la salud (22,1%).
- Publicidad de servicios spam (16,6%)
- Spam “para adultos” (11%)
- Educación (10,4%)
- Reproducciones de artículos de lujo (7,4%)
El primer lugar en la clasificación de los temas del spam, por cuarto año consecutivo, lo sigue ocupando la publicidad de fármacos y servicios para la salud. La mayor parte es publicidad de preparados como Viagra y Cialis, además de pastillas y complementos alimentarios para adelgazar.
En el segundo lugar, dejando atrás a los líderes tradicionales, está la publicidad de servicios de spam, que en el 2008 ocupó sólo el séptimo lugar.
El spam “para adultos”, a pesar de ocupar el tercer lugar en la lista TOP10, ha bajado sustancialmente. En comparación con el semestre anterior, su cantidad se redujo casi el 50%. Es posible que la reducción se deba a que la mayor parte de este spam son cartas que conducen a sitios de estafa, donde se trata de sacar dinero a los usuarios induciéndolos a enviar SMS a un número. Este tipo de estafas funciona bien, hasta que se hacen públicas. Por esto, el periodo de funcionamiento de las mismas es limitado y en este momento se está reduciendo la cantidad de spam pornográfico.
La crisis económica se refleja en el spam. Las principales categorías temáticas del spam no han sufrido cambios, pero la crisis económica ha influido en la distribución de las temáticas.
¿Quién ha incrementado el volumen de publicidad spam?
En primer lugar, la crisis ha provocado que crezca la cantidad de autopublicidad de los spammers. Está claro que en el periodo de crisis los spammers han perdido parte de sus clientes habituales y han dirigido los recursos liberados a publicitar sus propios servicios, con la esperanza de encontrar nuevos clientes.
Porcentaje de spam que publicita servicios de spam en el primer
semestre de 2008 y 2009
En el primer semestre de 2008, antes de que empezara la crisis económica en Rusia, la autopublicidad de los spammers ocupaba una media del 4,3% del total del spam. En el primer semestre de 2009 este índice casi se cuadriplicó y alcanzó el 16,6%.
En comparación con el año anterior, ha crecido sustancialmente el spam de la categoría “Bienes inmuebles”. En este spam se publicita sobre todo el arrendamiento de fincas (en abril estas ofertas constituyeron el 69% de todo el spam de esta temática).
Porcentaje de spam “Bienes inmuebles” en el primer
semestre de 2008 y 2009
Al perder clientes en la complicada situación económica, los pequeños arrendadores hacen publicidad activa de las superficies libres. Es posible que también parte de las grandes compañías de bienes raíces estén usando el spam como una forma más barata de publicidad.
¿Quién ha reducido el volumen de publicidad spam?
Han reducido sus gastos en envíos de spam los representantes de pequeñas empresas (categoría “Otros bienes y servicios”).
Porcentaje de spam “Otros bienes y servicios” en 2008 y 2009
(segundo semestre)
En general, el volumen de envíos masivos de esta temática ha decaído un 4% en comparación con el primer semestre de 2008.
El sector del turismo antes de la crisis hacía muchos encargos de spam. El spam que publicitaba ocio y viajes el año pasado ocupaba el 8% de todo el spam. En los primeros seis meses de 2009 la cantidad de spam de esta temática se redujo un 50%: ahora es de sólo el 4%. La caída, sin duda alguna, está relacionada con la crisis mundial, que ha hecho que muchas personas hayan caído en una situación económica mucho peor que el año pasado y se hayan visto obligadas a dejar de viajar.
El spam de la categoría “Ocio y viajes” sufre fluctuaciones de temporada, pero con la crisis son menos notables:
Porcentaje de spam “Ocio y viajes” en el primer semestre de 2008 y 2009.
El volumen del spam de temática educacional de los primeros cinco meses de 2009 se redujo en aproximadamente un cuarto. Sin embargo, hacia junio el porcentaje de este spam volvió al nivel de antes de la crisis, debido al periodo de exámenes en las escuelas y universidades.
Porcentaje de spam “Bienes inmuebles” en el primer semestre
de 2008 y 2009.
De esta manera, la crisis ha influido sustancialmente en el spam que publicita bienes y servicios del sector real de la economía. Este sector ocupa cerca del 35% de todo el spam. Comparemos: en el primer semestre de 2008 (antes de la crisis) la cantidad de este spam era de cerca del 45%. A pesar de la creciente cantidad de spam “bienes raíces”, en general la cantidad de spam que publicita bienes y servicios del sector real se ha reducido casi en un cuarto.
En mucho menor grado la crisis ha influido en el restante 65% de spam, que contiene las ofertas de la economía sumergida, como también del spam malicioso y de estafa. Y las causas son claras: en primer lugar, para las estructuras criminales el spam es el método más seguro de encontrar clientes (gracias a que es anónimo) y además, poco les importan los aspectos morales de este tipo de publicidad. En segundo lugar, sin el spam algunos tipos de estafas (por ejemplo, el phishing) no podrían existir, ya que en estos casos el spam es parte integrante del esquema de estafa. Además, muchas estructuras informáticas criminales tienen sus propias botnets y cuentan con capacidades para enviar spam, con lo que sus gastos de envío son mínimos.
Tipos y tamaño de los mensajes spam
Distribución de los mensajes por tamaño
El tamaño de la mayor parte de mensajes spam sigue siendo inferior a 10KB. Hay que remarcar el crecimiento de la cantidad de pequeños mensajes inferiores a 5KB: en la primera mitad de 2009 representaban el 58%, mientras que en 2008 representaban el 46%. La aplastante mayoría de estas cartas están conformadas por una frase y un enlace a un sitio web. El texto y los sitios web cambian en cada mensaje de cada envío masivo. Las páginas web de publicidad se ubican en dominios comprados en zonas baratas (como .cn) o en dominios creados en hostings gratuitos. Con la ayuda de estos subterfugios los spammers tratan de evadir los filtros antispam.
La mayor parte de los mensajes spam (45%) se envían en formato de texto simple (text/plain).
Distribución de los mensajes por tipo
El spam gráfico
La cantidad de mensajes con adjuntos gráficos rondó el 15%. Esto está condicionado por el florecimiento de la autopublicidad de los spammers, cuya mayor parte se envió como imágenes. De esta manera los spammers trataron de alcanzar dos objetivos: evadir los filtros antispam y hacer más atractiva su publicidad. Una vez más remarcamos que en la preparación de envíos masivos de spam trabajan no solo programadores, sino también diseñadores profesionales y especialistas en marketing.
Con frecuencia la imagen contiene una falsa opción para darse de baja:
Fragmento de imagen de mensaje spam
Una gran parte de los mensajes con adjuntos gráficos contenía también una parte en texto. En algunos casos el mensaje publicitario y la información de contacto eran parte de la imagen y el texto al azar estaba puesto exclusivamente para dificultar el funcionamiento de los filtros antispam. En otros casos, la parte en texto contenía los contactos de los spammers (por lo general, un enlace a un sitio web) y la imagen se usaba para atraer la atención de los remitentes y poner la información publicitaria propiamente dicha.
Conclusión
Actualmente se hace patente la migración de las principales fuentes de spam desde Occidente hacia Oriente. Los países de Asia y América Latina, como también los de Europa Oriental (con excepción de Rusia), se han vuelto más atractivos para los spammers, en vista de que los usuarios de estos países están menos protegidos contra las amenazas cibernéticas.
Pero todavía es temprano para decir hasta dónde llegará este proceso. No obstante, podemos suponer que en el futuro, cuando los usuarios de los países orientales aprendan a optimizar la defensa de sus equipos, será más uniforme la distribución de los equipos infectados que envían spam. Si tenemos en cuenta que las tecnologías informáticas (gracias a su accesibilidad) se desarrollan más dinámicamente que la economía, podemos suponer que esta uniformización tendrá lugar antes de que las regiones en vías de desarrollo alcancen un alto nivel de desarrollo general.
Nos complace que, a pesar de los pronósticos, haya bajado el porcentaje de mensajes phishing en el correo. Les recordamos que debido a la crisis se esperaba un crecimiento de mensajes phishing, ya que los phishers suelen usar cualquier situación fuera de lo común para asustar a los usuarios y robarles su información personal. Sin embargo, todo parece indicar que las medidas antiphishing tomadas por los grandes sistemas de pagos y los bancos, junto con el crecimiento general de los conocimientos de los usuarios son un obstáculo para las actividades de los estafadores virtuales.
A pesar de que la crisis no se ha visto reflejada en la cantidad de spam, ha cambiado sustancialmente la correlación de las temáticas del spam. En primer lugar esto ha afectado a la publicidad de los mismos spammers, cuya cantidad ha alcanzado el record del 16,6%. Al mismo tiempo, el porcentaje total de spam con ofertas de ventas de producto y servicios del sector real de la economía ha bajado en un 10%. En el informe de 2008 habíamos hecho notar que la virulencia con que se difunde este tipo de spam es un peculiar indicador del estado de las pequeñas y medianas empresas en el periodo de crisis. Y efectivamente, en comparación con el mismo periodo del año anterior, en el spam hay menos ofertas de compañías de turismo y educación y de publicidad de diferentes productos y servicios. Remarcamos que el porcentaje de estas categorías había repuntado levemente en junio. Sólo el tiempo podrá decir si este repunte es a corto o largo plazo. Kaspersky Lab continuará observando el desarrollo de la situación.
Autores
De los mismos autores
En la misma categoría
El spam en el primer semestre de 2009