Informe sobre spam: Febrero de 2011

Febrero en cifras

• El volumen de spam en el tráfico de correo se incrementó en un 1,1% en relación a enero, alcanzando un 78,7%.
• La cantidad de mensajes de correo phishing permaneció estable en febrero, con un 0,03% del total del tráfico de correo.
• Se detectaron archivos maliciosos en un 3,18% de los mensajes de correo, lo que significa un incremento del 0,43% en comparación a los registros de enero.

El spam en la mira

China y EE.UU. se unen en la lucha antispam

Los fabricantes de soluciones antispam buscan proteger a los usuarios finales contra los mensajes no deseados en lugar de atacar a las fuentes de spam. Simple y llanamente, carecen de recursos y de autoridad para controlar el registro de dominios spam, clausurar servicios de alojamiento de spam que ofrecen plataformas para redes de robots, o para desmantelar estas redes. Los fabricantes de soluciones antispam están en condiciones de ofrecer asesoría experta, pero es necesario que el público la pida. Para que esto suceda, se requiere de una efectiva legislación antispam que las respectivas autoridades puedan ejecutar para combatir los mensajes de correo indeseables.

Además, el spam es un negocio de alcance regional e internacional, lo que significa que cualquier medida que se tome para atacarlo debe estar por encima de un país individual. Es decir, las autoridades de distintos países deben cooperar mutuamente.

A esta conclusión llegaron las autoridades de China y de EE.UU. que por el momento están dispuestas a dejar de lado sus diferencias en temas relacionados con Internet a fin de concentrarse en su lucha antispam. Un documento conjunto redactado por representantes de ambos países, llamado “Fighting Spam to Build Trust”, se publicará en marzo.

Esperamos que esta iniciativa aliente a otras organizaciones y países a imitarla.

Hasta el año 2010, China era una de las principales fuentes de spam, y el dominio .cn era sinónimo de la mayoría de los sitios spam. La implementación de medidas legales logró reducir muy notoriamente la cantidad de spam proveniente de China (del 3,5% de todo el spam en el año 2009, al 1,9% en el año 2010), a la vez que los sitios spam se erradicaban casi por completo en la zona del dominio chino.

Por otra parte, a finales del año 2010, EE.UU. figuraba como el mayor distribuidor individual de spam (16%). Se implementaron varias exitosas medidas antispam en el segundo semestre de ese año. La clausura de la red de robots Pushdo/Cutwail en agosto de 2010, por ejemplo, logró reducir en diez veces la cantidad del spam distribuido desde EE.UU. A diferencia de China, las medidas que las autoridades de EE.UU. tomaron no tuvieron un efecto a largo plazo.

Resurgimiento del tráfico spam desde EE.UU.

En nuestro informe de enero observamos un aumento gradual en el tráfico de mensajes spam provenientes de EE.UU., y en febrero esta tendencia se acentuó.

Como se mencionó líneas arriba, tras la clausura de la red de robots Pushdo/Cutwail, el volumen de spam proveniente de EE.UU. decayó de forma considerable. EE.UU. logró mantener el récord de bajo nivel de distribución de spam durante el otoño y principio del invierno (6% en septiembre y un 1-1,5% de octubre a diciembre).

El volumen de spam proveniente de EE.UU. aumentó constantemente desde principios de enero llegando al 2,5% del tráfico total de spam a fines de ese mes. En febrero alcanzó su máximo nivel en cuatro meses: 4,27%. Aparentemente, esta cifra continuará en aumento en los siguientes meses.

Volumen de spam distribuido desde EE.UU. entre diciembre 2010 y febrero 2011

Este pronóstico se confirma analizando los datos sobre los mensajes spam: EE.UU. aparece segundo según las detecciones realizadas por nuestro módulo antivirus de correo en marzo.

Ya hemos señalado en varias ocasiones que los mensajes spam se usan como un método para distribuir códigos maliciosos, incluyendo programas maliciosos capaces de capturar equipos para redes zombis. El aumento en el nivel de detecciones antivirus de correo en una determinada región sugiere que la cantidad de spam proveniente de dicha región aumentará en un futuro cercano.

El número de detecciones realizadas por el módulo antivirus de correo en EE.UU. ha decaído significativamente tras la clausura de la red de robots Pushdo/Cutwail. Aparentemente los ciberdelincuentes afectados no sólo perdieron una enorme red zombi sino que temporalmente suspendieron las actividades de otras redes zombi más pequeñas. Esto puede haber sido como una precaución contra el creciente interés de las autoridades en sus actividades.

Nuestro módulo antivirus de correo ha registrado un creciente número de detecciones en los dos últimos meses.

Detecciones antivirus de correo registradas en EE.UU. entre diciembre 2010 y febrero 2011

Resumen estadístico

Spam en el tráfico de correo

El volumen de spam detectado en el tráfico de correo se incrementó en un 1,1% en comparación al mes anterior, llegando al 78,7%. Se registró el mínimo (72,3%) el 11 de febrero y el máximo (86,8%) el 13 de febrero.

Fuentes de spam

India se ha mantenido como la principal fuente de spam en febrero, con el 8,83% del tráfico spam total (una caída del 1,02% en relación a enero).

 
Fuentes de spam en febrero 2007

Casi la mitad de todo el spam provino de Rusia, la segunda fuente, en comparación al mes anterior, después de una caída del 4,26%. El volumen de spam proveniente de Rusia decayó en el transcurso del mes y en la última semana de febrero nuevamente se registró un mayor volumen de spam proveniente de EE.UU. y Rusia.

Corea del Sur subió seis lugares, hasta alcanzar la quinta posición. La cantidad de spam proveniente de Corea del Sur creció en un 1,4% en comparación al mes anterior.

Las cifras de los otros países en la clasificación Top 5 permaneció virtualmente estable en febrero, aunque las posiciones sí se modificaron. Brasil subió al tercer lugar (+0,41%%) e Indonesia avanzó un lugar para ubicarse cuarto (-0,39%). Por su parte, Italia descendió a la sexta plaza (-0,78%).

EE.UU. terminó el mes en la octava posición.

Programas maliciosos en el tráfico de correo

Se detectaron archivos maliciosos en el 3,18% de todos los mensajes en febrero, lo que significa un aumento del 0,43% en comparación al mes anterior.

 
Países en los que con mayor frecuencia se detectaron programas maliciosos en febrero 2011

El país con mayor número de detecciones de adjuntos maliciosos por parte de nuestro antivirus de correo, fue Rusia. EE.UU. quedó en segundo lugar, desplazando a Vietnam e India a la tercera y cuarta posiciones, respectivamente. Una vez más, nuestro antivirus de correo detectó altos niveles de adjuntos maliciosos en el tráfico de correo en Reino Unido y Alemania.

Los programas maliciosos más frecuentemente detectados en el tráfico de correo en febrero fueron:

 
Los Top 10 programas maliciosos distribuidos por correo en febrero de 2011

Los programas maliciosos de la clasificación de febrero pueden dividirse en dos grupos. El primero son gusanos que ya hemos tratado en anteriores informes. Este grupo incluye el gusano Email-Worm.Win32.Mydoom.m, que ocupa la segunda posición y un asiduo en nuestras bases de datos antivirus, cuya función principal es recopilar direcciones de correo que le permitan seguir propagándose. Mayor información sobre este gusano se encuentra aquí.

En el sexto lugar de nuestra clasificación se encuentra el casi debutante Email-Worm.Win32.NetSky.q, con idénticas funciones. Mayor información sobre este gusano se encuentra aquí.

Además de recopilar direcciones de correo para poder propagarse, Email-Worm.Win32.Agent.gnd, que ocupa la quinta posición, instala otros programas maliciosos. Estos suelen ser troyanos descargadores que inmediatamente intentan acceder a determinados sitios web desde los que descargarán otros programas maliciosos.

En el octavo lugar y con funciones más complejas que los sencillos gusanos de correo, Email-Worm.Win32.Bagle.gt no instala descargadores en el sistema, sino que por sí mismo se conecta con sitios web para descargar programas maliciosos. Este gusano también recopila direcciones de correo y las usa para seguir propagándose.

El segundo grupo de programas maliciosos está formado por programas diseñados para robar información confidencial. Incluye Trojan-Spy.HTMLFraud.gen, líder de la clasificación desde hace ya bastante tiempo.

Este grupo también incluye un par de nuevos registros de representantes de la familia Trojan-Banker: Trojan-Banker.Win32.Banker.bgsd y Trojan-Banker.Win32.Banker.bghb. Estos dos programas están diseñados para robar la información confidencial de los usuarios.

Trojan-Spy.Win32.SpyEyes.ffc es otro debutante en la clasificación y también se dedica a robar la información confidencial de los usuarios.

Otros dos programas que aparecen en la clasificación no pertenecen a ninguno de los dos grupos: Trojan-Ransom.Win32.PornoBlocker.efo, que inutiliza el equipo del usuario y exige un pago a cambio de su reactivación, y Worm.Win32.Mabezat.b, un asiduo de nuestra clasificación (mayor información se encuentra aquí.)

Conclusiones

Tal como habíamos pronosticado, el volumen total de spam en el tráfico de correo aumenta gradualmente, y esta tendencia es particularmente evidente cuando se trata de spam proveniente de EE.UU. Habíamos pronosticado un retorno a niveles del 81-82% de spam hasta abril-mayo de 2011.

En base a la actual evidencia, parece que EE.UU. una vez más aparecerá entre los Top 5 fuentes de spam en marzo.

La clasificación de febrero de los programas maliciosos más comunes detectados en el tráfico de correo nos recuerda que los ciberdelincuentes tienen un interés extremo en acceder a cualquier información confidencial valiosa guardada en el equipo del usuario. Estos cibervillanos disponen de innumerables herramientas para lograr sus propósitos. La trinchera de defensa del usuario es su sentido común para mantener siempre actualizada su solución antivirus y nunca abrir mensajes con adjuntos sospechosos provenientes de remitentes desconocidos.