News

El spam y la legalidad

El spam, o mensajes no deseados, es ilegal en muchos países, incluyendo Rusia. Entonces, ¿por qué se lo combate técnica y no legalmente? Este artículo trata sobre la legislación antispam sancionada en varios países y su efectividad. También analiza qué se puede hacer para que dicha legislación sea más eficaz.

¿Qué hace al spam tan peligroso y por qué es tan difícil combatirlo?

Cada usuario de Internet y de correo electrónico está bastante familiarizado con el spam. El actual tráfico de correo contiene alrededor de 85% de mensajes spam.

El spam puede causar serios problemas, como: excesivo tráfico de correo, sobrecarga de los servidores (que constituye un verdadero dolor de cabeza para los proveedores de correo electrónico y para las redes locales corporativas), pérdida de tiempo de trabajo del personal, que aunque no se las puede evaluar con exactitud, conlleva pérdidas financieras considerables. Y estos no son todos los daños que el spam ocasiona. Gracias a su anonimato, el spam es una efectiva herramienta para actividades fraudulentas, avisos ilegales, ofertas de artículos falsos o falsificados, distribución de pornografía, y para cometer otros delitos. Además, el spam es un “dispositivo de distribución” de malware (programas maliciosos). Un programa malicioso puede venir adjunto a un mensaje de correo o estar en un sitio web al que se accede mediante un vínculo incrustado en el cuerpo del mensaje spam. Los phishers, o ladrones de contraseñas y datos personales, recurren al spam para, mediante engaños, conducir al usuario a sitios fraudulentos especialmente diseñados para robar sus datos personales.

Cualquier sistema de correo electrónico, incluyendo los gratuitos, utiliza filtros antispam para separar el correo legítimo de los mensajes no deseados. Sin embargo, es imposible filtrar todos los mensajes spam sin afectar a los mensajes legítimos. Es por ello que seguimos recibiendo en nuestras bandejas de entrada invitaciones a seminarios, molestos avisos de medicamentos con fines sexuales, notificaciones de ganadores de lotería, etc.

Una de las principales dificultades en la lucha contra el spam es su característica internacional. El mundo virtual no tiene fronteras de manera que los spammers, o creadores de spam, pueden operar con toda libertad a escala mundial. El mismo mensaje spam puede llegar a la bandeja de entrada de un usuario en Canadá, en Australia, o en cualquier otro país. Un aviso no deseado escrito en chino puede distribuirse desde un equipo infectado en India a través de un centro administrativo en Rusia. Sólo podemos intentar adivinar cuál es el origen del mensaje.

Por el contrario, la legislación antispam está limitada por las fronteras territoriales y puede variar de un país a otro. Incluso puede variar en un mismo país. O bien, puede no existir legislación alguna en otro país. Esto naturalmente fractura la posibilidad de juzgar y condenar a los ciberdelincuentes.

Aparentemente, estos casos son difíciles de investigar y resulta incluso más difícil comprobar la culpabilidad del spammer. Sin embargo, no es este el único problema. La segunda dificultad es la subestimación del peligro y los daños que el spam ocasiona. Muchas personas, incluyendo las autoridades respectivas, no ven problema alguno en el simple hecho de recibir mensajes no deseados en su bandeja de entrada. Es por esto que se presta mucha menos atención al combate antispam que, por ejemplo, a la lucha contra el fraude informático.

Legislación antispam: Historia del problema

El proceso que dio lugar a la creación de instrumentos legales que regulen las actividades en Internet comenzó durante los años 80, y en los 90 se vio la introducción de un marco legal internacional para combatir el spam. Sin embargo, gran parte de esta legislación fue efectiva solo a finales de los 90 y a comienzos del año 2000. Esto no significa que los ciberdelitos cometidos con anterioridad a esta fecha hubiesen quedado impunes, pues muchos cayeron bajo el peso de las leyes existentes entonces. El desarrollo de tecnologías y la expansión mundial de Internet requirieron de una descripción más detallada de los nuevos tipos de delitos cometidos en Internet y de los métodos que los ciberdelincuentes usaron para cometerlos.

El 8 de junio de 2000, el Parlamento y el Consejo europeos adoptaron la Directiva 2000/31/EC sobre ciertos aspectos legales de los servicios públicos de información, en particular el comercio electrónico, en el mercado doméstico (‘Directiva sobre el comercio electrónico’). La mencionada directiva describe el proceso de las compras en Internet.

El 23 de diciembre de 2001, el Consejo de Europa adoptó la Convención sobre la ciberdelincuencia. Hasta el momento, esta convención se ha aprobado en 46 países, 24 de los cuales la han ratificado. Esta convención solicita a los firmantes que establezcan leyes contra la ciberdelincuencia y tomen las medidas necesarias para el efectivo procesamiento legal de los delitos cibernéticos. Cubre una amplia variedad de delitos, como el acceso no autorizado a datos personales, fraude informático, distribución de pornografía y violación a los derechos de autor. Por desgracia, Rusia, China y algunos países latinoamericanos, cunas privilegiadas de spam y malware, no se encuentran entre los países signatarios de la convención.

El 12 de julio de 2002, el Parlamento y el Consejo europeos promulgaron la Directiva 2002/58/EC sobre el procesamiento de información personal y la protección de la privacidad en el sector de la comunicación electrónica (‘Directiva sobre la privacidad en la comunicación electrónica’). Esta directiva tiene por objeto la protección de la información personal y de la privacidad en el ambiente electrónico. También reconoce como inadmisibles los mensajes comerciales de correo masivos y no deseados.

La jurisdicción de ambas directivas es un tanto restringida, pero gracias a ellas, muchos países europeos crearon y ratificaron sus propias leyes sobre la ciberdelincuencia y la distribución de spam.

La Convención sobre la ciberdelincuencia y las directivas del Parlamento y Consejo europeos llevaron a muchos países europeos, a los EE.UU. y Australia a adoptar leyes antispam y añadir otras nuevas a las ya existentes.

En Europa y en EE.UU. se han promulgado varias leyes antispam entre los años 2000 y 2003, mientras que los países orientales y latinoamericanos iniciaron este proceso solo algunos años después. China y Rusia adoptaron leyes antispam en 2006, India y Brasil, en 2008. La participación de estos países en la lucha contra el correo no deseado es muy importante, ya que son las mayores fuentes de spam (en 2009, Rusia, Brasil e india ocuparon el segundo, tercer y cuarto lugar, respectivamente, en la clasificación de los 10 países más importantes como fuente de spam; China también sé encontraba entre los líderes).


Fuentes de spam en 2009

Principales legislaciones antispam

Obviamente las autoridades legislativas de distintos países adoptan mutuamente sus experiencias, por lo que las leyes antispam sancionadas en estos países poseen mucho en común:

  • Principio OPT-IN: un usuario no debe recibir correo masivo si no está suscrito;
  • Principio OPT-OUT: un usuario debe siempre tener la posibilidad de dar de baja su suscripción a estos mensajes;
  • un mensaje de correo debe contener claramente la dirección del remitente, el campo “De” debe estar llenado correctamente, la información sobre el origen del mensaje y sobre su transmisión a través de servidores de correo no debe ser falsa;
  • el encabezado del mensaje debe reflejar su contenido; los mensajes con publicidad deben estar apropiadamente marcados;
  • un mensaje de correo debe contener los datos de contacto del remitente, en particular su dirección de respuesta;
  • no se debe usar software diseñado para recolectar direcciones.

El OPT-IN, el elemento más importante de las leyes antispam, se acepta casi en todos los países. Sin embargo, existen diferencias y restricciones. Por ejemplo, en el Reino Unido la legislación se refiere sólo a los mensajes enviados a la dirección privada de correo de los usuarios, lo que significa que el spam que llega a las cuentas de correo corporativas escapa al alcance de dicha legislación. En Alemania, los mensajes masivos con publicidad sólo se permiten si el usuario alguna vez compró algo del anunciante.

Una de las leyes antispam más famosas es la estadounidense conocida como CAN-SPAM, o ley de Control de agresiones de pornografía y marketing no solicitado. Según esta ley, los mensajes comerciales no solicitados deben estar debidamente marcados (el tema del mensaje debe contener la palabra “AD” o “Advertisement”). Debe incluir la dirección física del remitente, y debe ofrecer al destinatario la posibilidad de dar de baja la suscripción. Esta ley también prohíbe la recolección de direcciones de correo a través del monitoreo de sitios web y la selección automática de direcciones mediante la técnica de sustitución. La violación de la ley CAN-SPAM puede ser castigada con una multa o incluso con prisión. Sin embargo, esta ley no incluye el principio OPT-IN: no requiere el consentimiento previo del usuario para recibir mensajes masivos. En otras palabras, la distribución de cualquier cantidad de mensajes de correo está permitida siempre y cuando contengan una dirección de respuesta claramente señalada y se ajuste a los requerimientos del principio OPT-OUT.

A pesar de la ausencia del principio OPT-IN, la legislación federal antispam de los EE.UU. es bastante efectiva. Sólo en mayo de 2009 se sentenció a varios acusados de violar la ley CAN-SPAM. Uno de estos acusados fue Alan Ralsky, que fue sentenciado a 4 años y 3 meses en prisión seguidos de 5 años de libertad condicional, una multa de 250.000 $US por fraude, conspiración criminal y distribución masiva de mensajes de correo.

Hoy en día, la legislación antispam más rigurosa es la ley australiana antispam 2003 que manda que el remitente proporcione al destinatario información sobre sí mismo y le dé la posibilidad de dar de baja su suscripción. Además, requiere el consentimiento previo del usuario para recibir mensajes masivos. Las multas que esta ley prevé por la distribución de spam son muy altas y pueden llegar al millón de dólares australianos (unos 800.000 $US) por cada mensaje no deseado enviado a varias direcciones. El gobierno australiano involucra activamente a los proveedores de Internet en la lucha contra el spam: deben detectar en las redes equipos zombies (equipos infectados de usuarios que distribuyen malware y spam) y ayudar a los usuarios a reparar sus equipos infectados. Asimismo, se ofrece a los usuarios una sencilla herramienta para quejarse por el spam que reciben: es suficiente pulsar el ratón para enviar una muestra del mensaje no deseado a agencias estatales que se encargan de controlar el spam.

Esta ley, conocida como Spam Act 2003, ha reducido de manera significativa el spam originado en Australia. Antes de la sanción de esta ley, este país se encontraba entre las 10 fuentes más importantes de spam, pero tras su aplicación en 2003, Australia ni siquiera llega a entrar en el TOP20 de países fuente de spam. Por desgracia, esto no significa que ahora haya menos spam en Australia, pues los spammers han cambiado de localización, transfiriendo su actividad a los otros territorios. Aquellos que siguen realizando sus actividades ilegítimas en Australia se enfrentan a serios procesos legales. Por ejemplo, en marzo de 2010, un camarógrafo australiano fue sentenciado a pagar una multa de unos 20.000 $US por distribuir spam comercial en flagrante violación de la legislación antispam nacional.

La ley antispam china, conocida como “Método de vigilancia del servicio de correo por Internet” promulgada en 2006, se basa en las experiencias de otros países. También incluye algunas interesantes innovaciones: se adhiere al principio OPT-IN pero el spam comercial debe en todos los casos estar marcados con la palabra “AD” con o sin el consentimiento previo del usuario. Además, la ley requiere que el remitente ofrezca al destinatario la posibilidad de dar de baja su suscripción. (OPT-OUT). Prohíbe el uso de software para recolectar y vender direcciones de correo. La legislación antispam china también regula las actividades de los proveedores: todo proveedor debe primero registrarse y obtener una licencia gubernamental que le permita ofrecer servicios de correo por Internet. Cualquier violación a esta ley se castiga severamente a través de multas o cancelación de la licencia.

Legislación antispam en Rusia

En Rusia existen dos leyes federales para la protección de los usuarios de Internet contra el spam, una es la ley “Sobre publicidad” y la otra, la ley “Sobre la información personal”. Ambas leyes claramente señalan que el correo masivo sólo es aceptable con el consentimiento de los destinatarios, es decir, se adhieren al principio OPT-IN.

Por desgracia, estas leyes no siempre son aplicadas.

Primero porque tienen muchas excepciones, y segundo porque su redacción no es lo suficientemente clara (por ejemplo, estas leyes no contienen una definición para “spam”). No está claro cómo un operador o un distribuidor de publicidad deben probar que cuentan con el consentimiento de un destinatario. Algunos abogados también sostienen que el simple hecho de que a un operador o a un distribuidor de publicidad se le delegue la responsabilidad de probar que tienen tal consentimiento viola la supuesta inocencia, lo que significa que un distribuidor es culpable hasta que no demuestre lo contrario.

La lucha contra los spammers: La visión y la realidad

Como hemos visto, prácticamente todos los países desarrollados y varios países emergentes has adoptado leyes antispam. Pero la cantidad de spam en el tráfico de correo sigue incrementándose año tras año. Entre los años 2003 y 2004 cuando las leyes antispam se aplicaron en los EE.UU. y en la mayoría de los países europeos, mucha gente pensó que el spam estaba condenado a una pronta desaparición. Sin embargo, han pasado siete años, las nuevas leyes han entrando en vigencia, las viejas leyes se han mejorado, y la situación del spam sólo ha empeorado. ¿Por qué?

En primer lugar, como se mencionó líneas atrás, el spam es un fenómeno internacional que no conoce de fronteras internacionales, de manera que sólo una legislación internacional puede resultar efectiva. Por supuesto, no significa el desarrollo de legislaciones que estén por encima de las leyes federales de varios países (en este caso se requiere establecer una organización internacional). Es importante que las leyes locales apliquen principios generales. Además, debería existir un solo mecanismo internacional de cooperación en este ámbito, por ejemplo, una organización internacional no comercial que ayude a cuerpos ejecutivos en distintos países en su lucha contra los spammmers, una especie de ciberInterpol que trate los problemas de fraude informático, virus y spam. En Europa existen organizaciones de este tipo, como por ejemplo CERT. Entre sus tareas está la unificación de las legislaciones y la facilitación de la cooperación internacional en lo que respecta al spam. (véase [ec.europa.eu PDF 946,35 Кб]). En las otras regiones, esta cooperación no se ha desarrollado lo suficiente.

En segundo lugar, ningún país tiene una ley contra quienes solicitan la distribución de spam, aunque resulta mucho más fácil identificarlos y acusarlos porque sus datos de contacto figuran en cada mensaje spam. Al contrario de los spammers, sus clientes no pueden ocultarse en el anonimato. Si se contara con la mencionada ley, las pequeñas empresas quedarían fuera de los esquemas del spam, quedando en esta esfera sólo los estafadores y los distribuidores de artículos ilegales, y consecuentemente se minaría la credibilidad del spam. El único problema en este caso es que esta ley posibilitaría las falsificaciones y difamaciones, ya que para dañar a un competidor sería suficiente enviar un mensaje spam a nombre suyo. A pesar de todo, esperamos que un apropiado mecanismo judicial ayude a desarrollar una legislación que ayude a disminuir los niveles de spam.

Sin embargo, una efectiva legislación antispam no es suficiente para evitar que los pequeños negocios recurran al spam para publicar sus productos y servicios. Los pequeños negocios deben tener la oportunidad de anunciar legalmente sus actividades y productos a través del correo y otros medios electrónicos. Esto le permitiría al usuario recibir mensajes con publicidad que le interese, y a su vez, los anunciadores podrán fácilmente encontrar potenciales clientes. Para esto están los portales temáticos que proporcionan al usuario la posibilidad de suscribirse y cancelar su suscripción. Debe tomarse en cuenta que en aquellos países en los que dichos sistemas se desarrollan (por ejemplo, los EE.UU.), las pequeñas empresas prácticamente no recurren a los servicios de los spammers. En Rusia, esta oportunidad la ofrecen algunos paneles de anuncios electrónicos, aunque no son muy comunes.

Otro elemento importante en la lucha antispam es la educación de los usuarios de Internet. Ante todo, esto va dirigido a las autoridades judiciales y ejecutivas. Cuando comprendan por completo la amplitud de los problemas causados por el spam, elaborarán las leyes necesarias y pondrán en práctica las medidas necesarias contra quienes violen las leyes.

Ninguna ley por sí misma puede evitar la distribución de spam. La comunidad internacional en su conjunto debe reconocer que el spam es un grave problema y que cualquier avance sólo será posible si cada país implementa sus correspondientes iniciativas legales y prácticas jurídicas, si se logra la cooperación internacional en la lucha antispam y si se introduce un paquete de medidas para educar a los usuarios de Internet.

El spam y la legalidad

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada