El spam en el primer trimestre de 2010

Resumen del trimestre

• El porcentaje medio de spam en el tráfico de correo ha sido del 85,2%.
• Se han encontrado vínculos a sitios phishing en el 0,57% de todos los mensajes electrónicos.
• El 11,7% de mensajes spam contenía adjuntos gráficos.
• EEUU, India y Rusia son los tres países desde donde se envía más spam.
• Los spammers han transferido sus dominios de la zona .cn a la zona .ru.

Distribución porcentual del spam

Porcentaje de spam en el tráfico postal

En el primer trimestre de 2010 el porcentaje medio de spam en el tráfico de correo ha sido del 85,2%. Esta cifra coincide con los índices generales de 2009. En la primera mitad de marzo se observó una notable reducción de la cantidad de spam. Es posible que la reducción se deba a la clausura en febrero de 277 sitios relacionados con la botnet Waledac. Pero Waledac no es el participante más activo en el mercado del spam y en este caso la reducción del spam no fue tan drástica como en el caso de la clausura de McColo.

En general, el total de spam en el tráfico de corre sigue estando en los límites del 84-87%. Hemos escrito en una ocasión anterior que el mercado del spam ya se ha consolidado. Y ahora podemos decir que la cantidad de spam en el tráfico de correo se está estabilizando. Se conserva la tendencia, observada el año pasado, de reducción del crecimiento del spam en el tráfico de correo. Esto acredita que el porcentaje de spam está cerca de su nivel límite. El valor máximo del spam en este trimestre tuvo lugar el 21 de febrero con un 90,8%. El 5 de marzo el nivel de basura en el correo alcanzó el mínimo, un 78%.

Países desde dónde se envía el spam

Distribución de las fuentes de spam por región

 
Distribución de las fuentes de spam por región

Al igual que el año pasado, Asia sigue siendo la región que más spam envía (31,7%). Por otra parte, Europa no está muy por detrás del líder, porque desde el territorio de los países europeos se ha enviado un 30,6% del spam. Y si añadimos a Rusia a la lista de los países europeos, esta región pasa a ocupar el primer puesto en la estadística (36,6%).

Se ha reducido la cantidad de spam enviado desde Sudamérica. En 2009 alcanzó el 15% y en el primer semestre ocupó el segundo lugar en la estadística de regiones. Pero ahora Sudamérica tiene el 10,5%, muy cerca del índice de 2008 (11%).

Al mismo tiempo, ha aumentado la cantidad de spam enviado desde Europa del Este (16,4% del total). Es evidente la dinámica de crecimiento de la cantidad de spam enviada desde esta región en el primer trimestre de 2010:

Dinámica del envío de spam desde los países de Europa del Este y Central

Distribución de las fuentes de spam por países

 
Países—fuentes de spam

La estadística de países fuentes de spam no ha experimentado cambios radicales: no hay nuevos líderes, a la cabeza de la lista están los EEUU, en el segundo y tercer lugar tenemos a India y Rusia respectivamente. Más abajo van, sobre todo, los países asiáticos y de Europa del Este. Casi todos los antiguos participantes de la estadística siguen estando entre los 10 primeros y sólo han intercambiado lugares.

En Brasil la situación ha mejorado notablemente: ha bajado del tercer al sexto lugar. Turquía y China ya no están entre los 10 primeros. En el caso de China, su caída por lo visto guarda relación con el endurecimiento de la política estatal en el campo del registro de dominios. Ucrania y Alemania, por el contrario, de nuevo están entre los 10 líderes en el envío de spam. En 2008 también habían estado en el TOP10, y según los resultados de 2009 no subieron más arriba del vigésimo puesto entre los países desde los cuales se envía spam.

Hacemos notar que con frecuencia el idioma del spam enviado desde un determinado país no es el mismo que el idioma oficial del país. Por ejemplo, desde la India se envía mucho spam en ruso; desde Brasil, spam en alemán y desde Alemania, en español. Esto sucede porque el idioma del spam no se determina por la pertenencia de la dirección IP a una región geográfica, sino por que determinado ordenador pertenece a determinada botnet.

Tamaño de los mensajes de spam

Distribución de los idiomas de los mensajes de spam

Está en aumento la frecuencia con la que los spammers recurren al envío de mensajes cuyo tamaño no supera un kilobyte. Esto se explica porque estos mensajes contienen sólo un enlace y, por lo tanto, representan determinada dificultad para los filtros orientados al análisis de contenidos. Además, para propagar mensajes tan “livianos” se necesita menos recursos. Además, la mayoría de los usuarios modernos, al ver que un mensaje es spam, lo elimina de inmediato. Por esto, los spammers tratan de comprimir toda la información publicitaria en una sola frase, para que el usuario la alcance a leer antes de pulsar el botón “Eliminar”. En el primer trimestre de 2010, los mensajes cortos constituyeron casi una tercera parte del spam (31,3%). En cambio, hubo pocos mensajes grandes, de más de 50 KB (2,9%).

Tipos de adjuntos en los mensajes spam

Distribución de los tipos de adjuntos en los mensajes spam

La mayor parte de los mensajes spam del primer trimestre contenían una parte en html. Remarcamos que los mensajes de pequeño tamaño con HTML pueden estar compuestos de sólo un enlace. En el 8,7% de los mensajes spam habían adjuntos en formato jpeg y en el 6,4%, en formato gif. Algunos mensajes contenía una parte en jpeg y la otra en gif: en jpeg estaba el contenido principal del mensaje y en gif, el formulario de baja.

El total de spam gráfico (es decir, los mensajes que contenían imágenes) fue del 11,7%. La mayor cantidad de mensajes con imágenes se envió en febrero:

Porcentaje de mensajes spam con adjuntos gráficos

Phishing

En el primer trimestre de 2010 el porcentaje medio de spam en el tráfico de correo fue del 0,57%. Al mismo tiempo, si en enero y febrero el porcentaje de mensajes spam estaba a casi el mismo nivel de la media del año pasado, en marzo bajó bruscamente y cayó hasta el 0,03% del tráfico de correo. Es difícil explicar el motivo de esta reducción de mensajes phishing en marzo. Pero haremos un seguimiento de los acontecimientos.

Porcentaje de mensajes phishing en el correo

Como antes, los phishers atacan con más frecuencia y perseverancia el sistema de pagos PayPal: más de la mitad de los ataques phishing en este trimestre estaban dirigidos contra él. El segundo puesto le sigue perteneciendo al otro pertinaz líder, la subasta eBay (13,3%).

 
TOP10 de organizaciones atacadas por los phishers

De forma inesperada , en el cuarto lugar del TOP10 está la red social Facebook. Durante todo el tiempo que venimos observando este fenómeno, es la primera vez que los ataques a una red social son tan virulentos. Hoy en día Facebook es una de las redes más populares. El número de sus usuarios supera los 400 millones y sigue creciendo sin cesar. Al apoderarse de las cuentas robadas, los delincuentes reciben también la posibilidad de enviar spam a los dueños de las cuentas robadas y a sus amigos de la misma red. Este método de enviar spam permite cubrir un auditorio enorme y utilizar las posibilidades adicionales de la red social: enviar (dentro de la red y a las direcciones email de los usuarios) diferentes solicitudes, enlaces a fotografías, invitaciones, etc. añadiendo publicidad a los mensajes. Además, durante el alta de las cuentas se obtienen diferentes datos del usuario, por ejemplo, direcciones de correo electrónico, que los spammers pueden agregar a sus bases de datos para enviar spam.

En este contexto, es notable que la red social rusa VKontakte haya ocupado el puesto 25 entre las organizaciones atacadas. Esta red ha desbordado los límites del sector ruso de Internet y sigue expandiéndose.

Adjuntos maliciosos en el spam

En el primer trimestre de 2010 el 0,68% de mensajes electrónicos contenía ficheros nocivos adjuntos, un 0,3% menos que en el último trimestre de 2009.

La geografía de los intentos de inoculación de los ordenadores de los usuarios mediante correo electrónico en el primer trimestre de 2010 tiene el siguiente aspecto:

 
Geografía de la infección de ordenadores mediante spam

Los usuarios de Alemania, Inglaterra, Italia, Francia y España (es decir, países de la Unión Europea) recibieron más del 35% de mensajes que contenían adjuntos maliciosos. El 7,6% de los mensajes infectados estaba dirigido a los habitantes de Japón y un 13% más fue enviado a otros países asiáticos: Taiwán, India y China. Casi el 7% de los mensajes maliciosos ingresó a las direcciones de los usuarios que viven en los EEUU.

El TOP10 de los ficheros maliciosos más propagados mediante el correo electrónico en el primer trimestre de 2010 es el siguiente:

 
TOP10 de ficheros maliciosos más propagados en el correo electrónico

El primer lugar de la estadística lo ocupa el empaquetador Packed.Win32.Krap.x. El trimestre anterior también formaba parte del TOP10, pero entonces ocupaba el cuarto lugar. A principios de 2010 Krap.x empezó a detectarse en los mensajes electrónicos con dos veces más frecuencia que a finales de 2009. Pero este no es el único empaquetador de la estadística: Packed.Win32.Katusha.j (sexto lugar) es, en esencia, una nueva generación del empaquetador Packed.Win32.Krap.ah, el programa más propagado mediante correo electrónico en el trimestre pasado.

Recordamos que Krap.ah (Katusha.j) y Krap.x, como regla, se usan para empaquetar el troyano espía Zbot y los antivirus falsos. Además, Krap.x se usa para empaquetar Iksmas, un gusano de correo con funcionalidades de robo de datos y envío de spam.

Merece la pena destacar que más del 55% de todos los mensajes con Packed.Win32.Krap.x en el adjunto fueron enviados en los países desarrollados, entre ellos 16,7% en Japón, 16,7% en Alemania y casi el 8% en EEUU.

Los programas maliciosos empaquetados por Krap.x se propagaron también en mensajes que proponían a los usuarios instalar una actualización para Microsoft Outlook.

En el segundo lugar está el troyano Trojan-Spy.HTML.Fraud.gen, cuya principal tarea es recopilar los datos personales y de registro del usuario. En enero y marzo de 2010 este programa malicioso estaba en el primer lugar de los programas maliciosos propagados por correo electrónico.

Más del 70% de las detecciones de Trojan-Spy.HTML.Fraud.gen (al igual que Packed.Win32.Krap.x) ocurrieron en los países desarrollados. El 39% de los casos en que nuestro antivirus detectó este troyano tuvieron lugar en Inglaterra.

Trojan-Downloader.Win32.FraudLoad.gmx está en el tercer lugar de la estadística. Este troyano descarga al ordenador de la víctima otros programas maliciosos, entre ellos un falso antivirus que extorsiona a las víctimas para obtener dinero. La mayor parte de las veces fue recibido por usuarios de países cuyo idioma oficial es el inglés: Inglaterra, EEUU, Australia y Canadá. En el conjunto de estos países nuestro antivirus de correo detectó más de la mitad de los casos de este programa malicioso. Trojan-Downloader.Win32.FraudLoad.gmx se propagó con especial intensidad durante marzo, en el envío masivo efectuado en nombre de Facebook.

Traslado de los dominios de spammers a la zona .ru

El año pasado los spammers usaron activamente los dominios chinos para organizar sitios con publicidad de Viagra y otros tipos de contenidos spam tradicionales. Se envió una cantidad colosal de spam con vínculos a estos dominios. Después de que China endureciera las reglas de registro de los nombres de dominio a finales del año pasado, se redujo notablemente la cantidad de vínculos a dominios chinos en el spam. Desgraciadamente, esto no hizo que el spam desapareciese, porque los dominios de spam se mudaron de la zona .cn a la zona .ru. Esto es un testimonio de que los dominios rusos no están protegidos como se debe contra los delincuentes y atraen a los spammers por su fácil accesibilidad.

Por otra parte, las acciones del estado chino condujeron a que en marzo los más importantes registradores de nombres de dominio, Go Daddy y Network Solutions, dejasen de funcionar en China. El motivo para que Go Daddy y Network Solutions haya dejado de registrar nuevos nombres de dominio en China fue la exigencia del gobierno de presentar fotografías y documentos de identificación de una serie de clientes vendedores de direcciones de Internet.

Conclusión

En lo que a la industria spam se refiere, 2010 ha empezado de una forma relativamente tranquila. La cantidad de spam en el tráfico de correo ha dejado de crecer y en el primer trimestre no ha superado el nivel del año pasado. Y a juzgar por la dinámica de los últimos años, ya se puede hablar de que el spam ha saturado el tráfico de correo. El análisis del porcentaje de spam en el tráfico postal de la última década muestra que su crecimiento transcurrió en forma de parábola.

A principios de esta década, el porcentaje de spam se duplicaba cada año: 15% en 2001, 30-40% en 2002, 50% a mediados de 2003 y a finales de 2003 la cifra ya alcanzaba el 70-80%. Hacia el año 2004, el negocio del spam ya se había consolidado a grandes rasgos y el consiguiente crecimiento del porcentaje de spam en el tráfico postal ya no era tan impetuoso: de 2004 a 2009 subió del 75% al 85%. El cese del crecimiento del spam en el correo electrónico también puede estar relacionado con la aparición de nuevas oportunidades para los spammers, como los blogs y las redes sociales.

A pesar de que la cantidad de spam en el tráfico en general es estable, sus fuentes migran a diferentes regiones. Así, en este trimestre se ha reducido la cantidad de spam enviado desde América Latina, pero ha aumentado el enviado desde Europa Central y del Este.

Los spammers no inventan nuevas tecnologías y apuestan por los mensajes cortos que se pueden propagar rápidamente en gran cantidad.

Los estafadores y escritores de virus aplican activamente las tecnologías spam. Estos últimos siguen usando las redes sociales para enviar programas maliciosos.

Después del endurecimiento a finales del años pasado de las reglas de alta en el registro de nombres de dominio en China, los contenidos spam migraron de la zona .cn a la zona .ru.

Para concluir queremos afirmar que si en Rusia y en todo el mundo se luchara con más empeño en el ámbito legislativo, no tendríamos estos negativos sucesos y el spam se reduciría.