Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2006. El correo no solicitado en el año 2006

  1. Desarrollo de los programas maliciosos en 2006
  2. Programas nocivos para UNIX y similares
  3. Virus para dispositivos móviles
  4. Ataques Internet: 2006
  5. El correo no solicitado en el año 2006

Resumen del año

  1. El porcentaje total del correo no solicitado en el sector ruso de Internet fluctúa entre el 70 y 80%. El menor porcentaje del correo no solicitado (44,1%) tuvo lugar el 4 de enero de 2006. El valor máximo (91%) se detectó el 26 de noviembre de 2006.
  2. Rusia, EEUU y China son los que envían la mayor parte del correo no solicitado a los usuarios del sector ruso de Internet.
  3. El 2006 ha sido el año de las “tecnologías gráficas” en el correo no solicitado.
  4. Los spammers continúan disfrazando de cartas personales sus mensajes no solicitados para obligar al usuario a leer atentamente los mensajes recibidos y reaccionar de la forma que necesita el spammer (llamar por teléfono, seguir un enlace, etc.).
  5. El spam en diferentes idiomas se diferencia:
    • el spam en lengua rusa contiene propuestas de servicios educacionales y diferentes mercaderías: desde bustos de Putin hasta dispositivos traductores del ladrido de los perros;
    • el spam en inglés contiene anuncios sobre acciones bursátiles, ofertas de Viagra y software barato.
  6. Los servicios jurídicos y de auditoría son el nuevo tema en el spam ruso.
  7. La criminalización del spam se está incrementando. Los spammers del sector ruso de Internet explotan los servicios de SMS.

Kaspersky Lab recibe y analiza de 300.000 a 600.000 mensajes spam al día. Algunos días la cantidad de mensajes puede alcanzar el millón. La fuente del tráfico spam analizado son buzones especiales que actúan como “trampas” y secciones de diversa calidad y densidad de tráfico postal proporcionados por nuestros clientes y socios. Todo el tráfico spam entrante se clasifica de forma automática. Una parte del tráfico entrante se analiza también manualmente. Un sistema de clasificación único en su género permite analizar en todos sus detalles la distribución cualitativa y cuantitativa de los mensajes spam.

El porcentaje de spam en el tráfico postal: 70% – 80%

El año pasado mostró que el spam1 no tiene intenciones de rendirse. Según los datos de Kaspersky Lab, el spam ocupa por lo menos el 70% del total del tráfico postal (excepto en los feriados de fin de año y caídas episódicas de un día).

Por supuesto, estos son datos promedio. En los servidores de los servicios postales gratuitos, que son los blancos preferidos de los spammers, el porcentaje de spam puede ser mayor, mientras que en algunos servidores corporativos puede ser menor. Pero el porcentaje de spam nunca es menor al 50%. Este es un índice alto y según observan los analistas de Kaspersky Lab, este cuadro es común al sector ruso de Internet y al de los países occidentales.

El menor porcentaje del correo no solicitado (44,1%) tuvo lugar el 4 de enero de 2006. El valor máximo del spam en el sector ruso de Internet (91%) se detectó el 26 de noviembre de 2006. En general, el gráfico de distribución del spam en el año 2006 es más uniforme que en 2003-2005: prácticamente no tiene subidas o bajadas bruscas de más de 1-2 días. La única bajada notable en el gráfico está relacionada con las fiestas de fin de año.

El cuadro de la distribución del spam en 2006 es el siguiente:

  • en enero hubo una caída del spam hasta su expresión mínima: 44% del total del tráfico postal (4-5 de enero);
  • luego se observó un salto hasta el 86,4% en febrero (14-17 de febrero);
  • hubo también varios saltos bruscos con fluctuaciones desde el 63,8% hasta el 81,2%;
  • el spam volvió a su zona de estabilidad (70-80%), donde se ha quedado desde marzo hasta mediados de noviembre;
  • se detectó una leve subida del porcentaje de spam hacia finales de julio de 2006;
  • en este periodo también hubo varios saltos relacionados con envíos especialmente masivos;
  • desde mediados de noviembre hasta finales de año el porcentaje de spam se ha acercado hasta casi alcanzar el umbral del 80%. El pico observado el 26 de noviembre alcanzó el 91% de spam.

Tamaño de los mensajes de spam

El tamaño de los mensajes de spam, al igual que el de los mensajes legítimos, puede variar:

Los mensajes, tanto de spam como legítimos, son en su mayoría (un 35%) de entre 1 a 5 KB. Además, en la distribución del tamaño de los mensajes spam se observa un pico (cima) muy remarcado (28,4%) en el intervalo de 10 a 20 Kb. En la distribución del tamaño de los mensajes legítimos no existe tal pico. Una gran cantidad de mensajes spam, cuyo tamaño está entre los 10 a 20 KB, es precisamente el llamado “spam gráfico” (ver más adelante).

El tamaño de la gran mayoría de mensajes spam (95,6%) está en el intervalo entre 5 y 40 KB. Los mensajes que no superan 1 KB (1% en el spam y 13,7% en el correo legítimo) y los mensajes “pesados”, cuyo tamaño es mayor a 80 KB (3,4% en el spam y 16,3% en el correo legítimo son mucho más raros en el correo spam.

Países desde dónde se envía el spam

Entre los países-spammers que atacan al sector ruso de Internet, el liderazgo lo ocupa Rusia (22%); el 20% del spam se envía desde EEUU, el 11% desde China (vale decir que estos dos países son los líderes mundiales en la estadística de spammers).

Las tecnologías usadas por el spam en 2006

Las principales tecnologías de generación y envío de spam en 2006 siguen siendo las mismas que antes:

  • Para enviar el spam se usan sobre todo las redes zombi, es decir, conjuntos de ordenadores (en primer lugar ordenadores domésticos) infectados que son administrados por los malhechores.
  • Los trucos que se usan para evadir los filtros antispam son los mismos que se usaban antes: generación automática de texto según una plantilla predefinida, uso del HTML para ocultar a los ojos del usuario el texto destinado a esquivar los filtros y el uso de textos en formato gráfico.

En el siguiente diagrama se muestra la distribución de los ordenadores-zombi detectados por Kaspersky Lab en diferentes países:

Rusia está por detrás de EEUU y China en el número de equipos desde los cuales se envía spam al sector ruso de Internet. Es posible que esto se deba a que en Rusia la conexión de banda ancha a Internet es accesible sólo a los habitantes de las grandes ciudades, y que a los spammers no les conviene usar conexiones lentas para hacer sus envíos masivos.

2006: el año del spam gráfico

A pesar de que en 2006 no han aparecido tecnologías totalmente nuevas para el envío de spam, este año no ha transcurrido sin novedades: los spammers han perfeccionado notablemente la técnica de envío de spam en archivos gráficos adjuntos. En sí, la idea de poner el texto del mensaje spam en un gráfico y no como texto, no es nueva. La tecnología de spam gráfico fue ensayada en los años 2003-2004 y abandonada enseguida, debido a la falta de recursos computacionales para generar diferentes gráficos durante un solo envío masivo. En ese entonces los spammers no tardaron casi nada en volver a usar los medios del idioma HTML.

En 2005 los spammers trataban de evadir los filtros antispam sobre todo aumentando la velocidad de los envíos del spam. Sin embargo en 2006 una gran parte de los módulos antispam adquirió, de una u otra forma, la capacidad de reaccionar ante el spam con más velocidad que antes. Por esta razón los spammers, que ya no tenían posibilidades de incrementar la velocidad de los envíos, tuvieron que resucitar sus viejos trucos de introducir cambios únicos en cada mensaje postal.

En 2006 los spammers, una vez más, apostaron por el spam gráfico. También podemos afirmar que 2006 fue el año del spam gráfico.

Las tecnologías de más éxito usadas para el spam gráfico fueron dos:

  • se llevó al límite el perfeccionamiento de la introducción de modificaciones en los adjuntos gráficos dentro de los límites de un envío masivo (en cada ejemplar se cambiaban los parámetros del gráfico adjunto)
  • y la novedad de 2006, el spam animado

Además del perfeccionamiento del formato de los envíos masivos, durante este año los spammers trabajaron sobre la reducción del tiempo de envío del spam (las novísimas tecnologías spam permiten enviar cientos de miles de mensajes en sólo unas decenas de minutos) y empezaron a poner a su servicio métodos sicolingüísticos para influir en los que leyeran el spam. En otras palabras, los spammers continuaron trabajando con textos, disfrazando el spam como si fueran mensajes personales.

Adjuntos gráficos en el spam: experimentos con el color y el texto

Desde principios de 2006, los spammers hicieron varios intentos de perfeccionar las tecnologías que usan elementos del spam gráfico. Por ejemplo, cambiar algunas letras en el texto por su representación gráfica, usar en los “gráficos con texto” tipos de letras infrecuentes (como las góticas), inclinar el texto en varios grados, etc. Los spammers prácticamente volvieron a andar el camino que habían recorrido en 2003. Todo parece indicar que en 2006 estos intentos tampoco tuvieron gran éxito y por esto no se llegaron a usar en gran escala.

A finales de 2006 los spammers llevaron casi hasta la perfección la generación de gráficos polimórficos, con diferentes fondos que cambiaban dinámicamente, diferentes textos, etc. El objetivo principal de los “experimentos gráficos” de los spammers era lograr que los filtros antispam: a) no pudiesen identificar diferentes mensajes del envío masivo como portadores de la misma publicidad y b) no pudiesen detectar en el gráfico las palabras y frases típicas del spam (es decir, que no fuesen capaces de usar tecnologías de reconocimiento óptico de texto). A este efecto, los adjuntos gráficos con idénticos mensajes publicitarios tienen fondos de diferente color, tipos de letra, tamaño e incluso diferente división por renglones. En sus intentos de generar gráficos que los filtros antispam fuesen incapaces de detectar, a finales del año los spammers llegaron a tal extremo que al usuario le era muy difícil leer los mensajes. Con esto, la tecnología gráfica de envío de spam una vez más se vio en un callejón sin salida.

A continuación ponemos ejemplos de varios mensajes con el mismo texto spam que muestran en acción la nueva tecnología de los spammers:


La dificultad de filtrar semejantes mensajes spam estaba condicionada por el hecho de que desde el punto de vista de la estructura del mensaje y su presentación, eran impecables:

  • Los encabezados de los mensajes imitaban con gran astucia el formato de una de las versiones más populares de MS Outlook.
  • De la misma manera, la forma de adjuntar los gráficos en el mensaje postal era muy similar a la de la misma versión de MS Outlook. El mensaje no se diferenciaba de aquellos mensajes que crearía un usuario de MS Outlook si “arrastrase” con el ratón la imagen con el texto.
  • Dentro de las cartas, además de imágenes con publicidad, habían diversos textos, descargados automáticamente de sitios que gozaban de popularidad.

Los productores de software antispam y los proveedores postales más importantes no se quedaron atrás e inventaron diferentes métodos de lucha contra este tipo de spam. En primer lugar, se puede aislar cierta cantidad de características que diferencian las imágenes enviadas por spam de aquellas que suelen encontrarse en el correo legítimo. Podría ser la presencia de una gran cantidad de texto, el uso de pocos colores en el gráfico, la distribución insólita de colores en la paleta, etc. En segundo lugar, se crearon métodos de agrupación de los gráficos usados en el mismo envío masivo, lo que permitió detectarlos según una pequeña cantidad de muestras.

En realidad, las “nuevas” tecnologías de lucha contra el spam gráfico surgidas en 2006 continuaban el desarrollo de las técnicas que sobrevivieron al año 2003.

Adjuntos gráficos en el spam: técnicas de animación

En agosto de 2006 los spammers empezaron a explotar la tecnología del spam animado. Los primero envíos animados fueron detectados por los analistas de Kaspersky Lab a finales de agosto de 2006. El pico del spam animado fue en septiembre-octubre, pero desde noviembre y hasta el fin de año la cantidad y el porcentaje de spam animado se redujo drásticamente.

Los spammers usaban la animación GIF, ya que todos los navegadores de Internet son capaces de detectarla y reproducirla de forma automática. El adjunto animado contenía desde 3 hasta varias decenas de cuadros. Al mismo tiempo, sólo uno o unos cuantos de los cuadros eran portadores de significado. Todos los demás eran ruido de fondo. No tenían ningún sentido lógico y contenían elementos de fondo, figuras geométricas, etc.

Los cuadros significativos se mostraban al usuario desde un par de segundos hasta 10 minutos, en cambio los complementarios sólo fragmentos de segundo, y el ojo humano era incapaz de percibirlos. Después el gráfico se rotaba. Por ejemplo, se veían tres cuadros de un GIF animado.

Hacia octubre, los spammers habían perfeccionado la tecnología: el texto del anuncio spam era distribuido entre varios cuadros, cada uno de los cuales contenía 1-2 renglones del mensaje publicitario. Los cuadros se superponían unos a otros y como resultado el usuario veía el texto completo del mensaje spam. En la animación, al igual que antes, se conservaban los cuadros llenos de ruido de fondo al principio y al final.

Lo más probable es que esta técnica esté destinada a la lucha contra las tecnologías de reconocimiento óptico de caracteres (OCR) de los filtros antispam.

A pesar de que con la aparición de la animación spam todos los desarrolladores de software antispam se han topado con determinadas dificultades, desde el punto de vista técnico el problema no resultó ser tan complejo y no es una amenaza seria para el correo. Por supuesto, nos referimos al correo defendido por un filtro antispam.

El spam y la psicología

Enviar rápidamente un mensaje y hacer que llegue a su destino evadiendo todos los filtros es una parte importante del proceso de envío de spam, pero esto no es suficiente. Es importante para los spammers conseguir que el usuario lea el spam y ejecute las acciones exigidas (llame por teléfono, siga un enlace, etc.).

En 2006 los spammers continuaron haciendo uso de métodos sicológicos de influencia sobre los destinatarios de los mensajes. En particular, para llamar su atención y hacer que lean las cartas, los spammers hacían que los usuarios piensen que estaban ante mensajes personales, y no ante spam. A principios de año los spammers, a grandes rasgos, usaban trucos primitivos: ponían en el asunto RE o FW para mostrar que el mensaje dado era una respuesta a una carta o era enviado por un remitente conocido. Pero avanzado el año estas sencillas técnicas empiezan a complementarse con otras sutilmente disfrazadas.

Los spammers dirigieron su atención directamente al texto de los mensajes. Ahora algunos textos spam se elaboran, estilística y léxicamente, como correspondencia privada. Se puede encontrar ejemplares tan convincentes, que hasta un especialista puede equivocarse a primera vista, y ni qué decir de los usuarios inexpertos. Con frecuencia este spam suele ser neutro en extremo (no contiene vocativos o son de tipo general, como “amiga”, “nena”, etc.), para que el usuario se haga la ilusión de que la carta está dirigida personalmente a él. A veces, en la imitación se usan nombre propios. En todo caso, el usuario puede querer saber qué mensaje es éste, de dónde viene, si habrá la necesidad de remitirlo y, como mínimo, leerá el ejemplar de spam.

Abajo mostramos varios ejemplos más de spam, disfrazado de carta privada:

Hola, mi querida mamacita:

Te escriben tus hijos Alejandro y María. Ya sé que tienes mucho trabajo, y sólo quiero recordarte que mañana es el cumpleaños de María, y que este año será su primer año escolar. Por favor, no te olvides de felicitarla…

Nuestra vida ha cambiado tanto desde que te cambiaste de trabajo. Papá dice que tu cargo es importante: CONTADOR GENERAL. ?Estamos orgullosos de ti, mamá!

Extrañamos mucho tu cálida sonrisa, tu tierna voz y tus caricias. Papá, como siempre, cocina cosas no muy sabrosas, y como si esto fuera poco, riñe usando palabras incomprensibles: debe, haber, créditos…

Y también dice que si tu programa de contaduría fuese respaldado por buenos especialistas, con el uso de tecnologías modernas, tú volverías antes del trabajo.

Llama al teléfono {xxx-xx-xx}, ellos te ayudarán a llegar antes a casa. Ya te hemos preparado la cena…?por favor!

Con amor,

tus hijos Alejandro y María.


?Hola, amiguísimo!

¿Recuerdas que te quejabas de lo caro que estaban los materiales para tu oficina?

Pues he encontrado unos muchachos que pueden ayudarte a economizar grandes sumas.

Figúrate, ellos me rellenaron 3 cartuchos de impresora por 900 rublos, me cobraron por transferencia bancaria, trajeron todos los documentos fiscales. Nuestro contador está muy felíz

Su número es {xxx-xx-xx}. No tengas reparos en llamar 🙂

?Adiós!

Distribución temática del spam en 2006

El siguiente diagrama da una idea de los temas más frecuentes2 usados por los envíos de spam:

Grupo temático Núcleo de este grupo de spam %%
1 Medicamentos; productos y servicios médicos Publicidad de Viagra, Sialis y otras tabletas 16,0
2 Estafas informáticas Phishing, cartas nigerianas, notificaciones falsas de premios de lotería, etc. 14,3
3 Educación Publicidad de seminarios y entrenamientos 13,2
4 Finanzas personales Propuestas de comprar acciones a precios fabulosamente bajos 8,6
5 Ordenadores e Internet Publicidad de software barato y cartuchos para impresoras 8,3

Las temáticas líderes en 2006

Todas las categorías temáticas que se encuentran entre los líderes están inglés, a excepción del grupo “Educación” que incluye sobre todo propuestas en ruso.

Los analistas de Kaspersky Lab suponen que los usuarios del sector ruso de Internet no son el objetivo del spam en inglés. La llegada de mensajes en inglés a los usuarios de habla rusa se explica por las dimensiones totales de los envíos masivos de spam. El envío de spam no es un ataque de alta precisión, sino más bien recuerda la técnica militar de “bombardeo de alfombra”, dónde el objetivo se alcanza gracias a la cantidad de mensajes enviados. Actualmente son millones de mensajes: la propuesta típica que hacen los spammers en su publicidad, que también se difunde por correo electrónico, es enviar spam a 3-5 millones de direcciones.

El mayor segmento en el diagrama corresponde al grupo temático “Otros productos y servicios”. En general, es publicidad de pequeños productores y vendedores: calentadores de asientos para automóviles, ceniceros de malaquita, bustos de Putín (o sus retratos hechos de ámbar), linternas eternas, lapiceros con tintas invisibles, aparatos para hacer trenzas o traductores electrónicos del ladrido de los perros a cinco idiomas y muchos otros. Es precisamente este tipo de spam el más popular en el sector ruso de Internet en el año 2006.

Durante mucho tiempo el spam en ruso era demasiado heterogéneo y variado, lo que impedía destacar con precisión subgrupos temáticos, pero a finales de 2006 se formaron grupos temáticos típicos del spam del sector ruso de Internet. Éstos son ofrecimientos de servicios jurídicos, de bienes raices y de imprenta. En los últimos tres meses de 2006, el porcentaje de estas ofertas ha alcanzado valores sustanciales y se ha distribuido de la siguiente forma (respecto al volumen total de spam):

Categoría temática octubre noviembre diciembre Término medio de los tres meses
Servicios jurídicos y de auditoría 8,0% 2,1% 2,1% 4,0%
Bienes raices 5,0% 2,5% 2,3% 3,3%
Imprenta (poligrafía) 2,0% 2,0% 2,3% 2,1%

La lista de los grupos temáticos que lideran el spam en ruso es la siguiente:

  1. Educación
  2. Ocio y viajes
  3. Servicios de publicidad electrónica
  4. Servicios jurídicos y de auditoría (en el diagrama son parte de la categoría “Otros productos y servicios”)
  5. Bienes raices (en el diagrama son parte de la categoría “Otros productos y servicios”)

La subsiguiente criminalización del spam

La criminalinalización del spam es un proceso que está en desarrollo desde casi el momento de la aparición de la industria del spam. Las premisas de la criminalización son los rasgos de los envíos de spam tales como el anonimato y la falta de medios efectivos de control legal.

Señales de que el spam ha seguido criminalizandose en el 2006:

  • aumento del porcentaje de la categoría temática “Estafas informáticas3” en todo el spam;
  • aparición de nuevos tipos estafas spam;
  • tendencia a la criminalización de otros grupos temáticos (como lo que sucede ahora con el grupo temático “Finanzas personales”);
  • uso de métodos que infringen la legislación de diferentes países (por ejemplo, las redes zombi);
  • el spam se sigue usando como instrumento de propagación de programas nocivos;
  • uso del spam para robar datos personales (phishing);
  • demostración de la solidaridad de los spammers contra las amenazas de parte de los programadores antispam: la serie de ataques contra el servicio antispam Blue Frog condujo a la clausura del proyecto4.

Sobre algunas de estas señales hablaremos más adelante.

Spam de la categoría “Finanzas personales”

El bruco crecimiento del grupo temático “Finanzas personales” empezó en agosto de 2006 y continúa hasta nuestros días. Este es el aspecto de la dinámica del crecimiento de este grupo en 2006:

La masa principal del spam en la categoría “Finanzas personales”, que provocó el crecimiento de todo el grupo temático, eran envíos masivos que incitaban a invertir dinero en acciones (Stock Spam). Por ejemplo, en septiembre (al inicio del “bum financiero”), el porcentaje de spam financiero constituía el 66% de la categoría “Finanzas personales”, y cerca del 9% del volumen total de spam.

Los spammers intentaban convencer a los usuarios del correo electrónico para que compraran acciones de compañías poco conocidas. A pesar de que en un principio los expertos clasificaban este tipo de spam dentro del grupo temático “Finanzas personales5“, este tipo de spam tiene una notable inclinación a criminalizarse. Estos “informes” contienen información falsa y una apreciación deliberadamente alta del posible crecimiento del precio de las acciones:

El spam criminalizado en el sector ruso de Internet

Uno de los tipos de estafa difundidos en el sector ruso de Internet en 2006 fue la explotación de vulnerabilidades míticas en los sistemas de pago (WebMoney, Yandex-Dengui, etc.). Según afirman los spammers, estas “vulnerabilidades” permiten aumentar el dinero en las cuentas. Los usuarios, supuestamente, sólo tienen que poner dinero en determinadas cuentas y esperar sus beneficios. Se desconoce cual es el origen de este mito, pero las fábulas sobre las “cuentas mágicas” de WebMoney están muy difundidas y parece que les han traido grandes ganancias a los spammers:

Sólo los usuarios muy inexpertos reaccionan ante este spam, pero la cantidad de usuarios de Internet está en constante crecimiento. Y muchos de ellos son inexpertos, jóvenes y crédulos.

Los spammers del sector ruso de Internet inventaron en 2006 nuevos tipos de estafa, algunos de los cuales explotan peculiaridades exclusivas de la realidad rusa.

En otoño, en reemplazo de las “cuentas mágicas”, llegaron los “mensajes de texto mágicos”. El esquema de la estafa era el mismo: los spammers, bajo diferentes pretextos, obligan al usuario a transferir dinero de su cuenta a la cuenta del spammer. La única diferencia es que en este caso la transferencia de dinero no se hace por medio de sistemas de pago en línea, sino con la ayuda de servicios de SMS especializados (que son servicios destinados a transferir dinero de la cuenta del teléfono celular a otra cuenta).

Para usar los servicios de SMS para transferir dinero, es necesario enviar SMS con determinado contenido a un número determinado. Para persuadir al usuario a hacerlo, el spammer necesita un pretexto convincente. Por ejemplo, el autor del siguiente mensaje spam informa al usuario que ha ganado una lotería inexistente6:

El enfrentamiento fuera del plano técnico

El presente informe toca en primer lugar los aspectos técnicos de los envíos masivos de spam y el contenido de los mismos. Pero el problema del spam se sale de estos marcos. Aunque en este informe no tengamos la posibilidad de referirnos a todos los aspectos de este problema – en particular los aspectos jurídicos y sociales – algunos sucesos del 2006 fueron tan significativos que es imposible dejar de mencionarlos.

La legislación rusa contra el spam: el primer paso ya ha sido dado

Desde el 1 de julio de 2006 entró en vigor la nueva redacción de la ley “De la publicidad” en la Federación de Rusia, en la cual apareció una sección7 que regula la publicidad “difundida por las redes de comunicación electrónica”. Esto significa que el spam, por primera vez, ha quedado bajo la jurisdicción de la legislación rusa.

Se trata de parte del spam, ya que la ley “De la publicidad” está destinada a regular las relaciones en la esfera del negocio de la publicidad y los servicios de publicidad. No todo el spam es publicidad (es decir, no todo el spam corresponde a la definición de “publicidad” según el texto de la ley). Entre las variedades de spam está el llamado “spam político”, los envios masivos que sirven para validar las bases de datos de los spammers, las estafas y algunos tipos más de correo no solicitado.

Los spammers han reaccionado ante los cambios en la legislación con más celeridad que todos los demás usuarios de Internet. A partir de mayo del 2006, en el sector ruso de Internet se han agilizado los envios masivos de spam con publicidad de los mismos servicios de envío de spam. El principal argumento de estos es que es necesario pedir el envío de spam lo antes posible, antes de que la nueva ley entre en vigencia: “Apresúrese a pedir sus envíos antes de que entre en vigencia la nueva ley “De la publicidad”. Trabaje dentro del marco legal”, escribían los spammers y ponían un enlace al texto de la nueva ley. El porcentaje de publicidad de los servicios de spam creció a un ritmo sostenido hasta principios de julio y al parecer, la ola de agitación jugó uno de los primeros roles en el crecimiento de los pedidos de envíos de spam en junio y julio.

Pero ya hacia finales de julio y despúes, el porcentaje de spam en el correo empezó a bajar. Es posible que los clientes de los spammers estuvieran indecisos a la espera de los resultados de la promulgación de la nueva ley, o quizá ya habían gastado su presupuesto para este periodo. Es difícil decirlo a ciencia cierta, pero es un hecho real: a finales del verano de 2006, el spam se redujo y esto se sintió sobre todo en el segmento de la publicidad de productos.

Se podría suponer que los spammers se inquietaron por este hecho y se ocuparon activamente de buscar nuevos clientes. Este proceso se puede apreciar muy bien en el gráfico de distribución del spam del grupo temático “Servicios de publicidad electrónica” en los últimos tres meses del verano:

También esta vez los spammers apelaron a la nueva legislación, pero en un tono completamente distinto. Los spammers describían un esquema que permitiría efectuar el envío de spam sin quebrantar la ley.

La base de este esquema es la subscripción formal de un contrato de prestación de servicios informáticos (y no publicitarios), que no caen bajo la ley “De la publicidad”.

En septiembre de 2006 la reducción del porcentaje de spam en el tráfico postal se detuvo y hacia finales de noviembre, el porcentaje de spam creció hasta alcanzar el 80% y sobrepasarlo.

Con esto, se crea la impresión de que la nueva ley no cuenta con mecanismos reales para hacerse cumplir. Tampoco está claro quién y cómo debe prestar al usuario la información operativa sobre este o aquel envío de spam, para que cuente con pruebas documentales que le permitan iniciar un juicio. Mientras tanto, las soluciones tecnológicas – programas que filtran el spam – son más comprensibles y cómodas para el usuario que la aplicación de la nueva ley

Los spamers unidos ¿jamás serán vencidos?

En mayo del 2006 fue clausurado el proyecto Blue Frog. Esta era una solución antispam basada en la idea de crear una lista de direcciones de correo electrónico cuyos dueños no quisieran recibir spam. La idea no es nueva, pero los autores del proyecto la ejecutaron con una gran dosis de agresividad. Al sitio del cliente del envío de spam que ignorara la solicitud de borrar de la base de datos del spammer la dirección del usuario se enviaban automáticamente miles de solicitudes desde los equipos de los miembros del proyecto. En cierta forma, era un ataque similar a los ataques distribuidos, pero a diferencia de los ataques anónimos, los organizadores de Blue Frog daban la cara y advertían con anticipación sobre sus intenciones. Se puede discutir sobre el aspecto ético de estos métodos de lucha contra el spam, pero en cualquier caso, a medida que el proyecto iba creciendo, sumando cada vez más miembros, los spammers empezaron a sentir su efectividad. Como resultado, tuvieron que contraatacar.

La causa de la clausura del proyecto fue el ataque de los spammers al servidor principal de Blue Frog. Los propietarios del recurso se preocuparon, ya que los miembros del proyecto que habían ingresado sus direcciones en la base de datos de Blue Frog podian convertirse en víctimas de las acciones de los spammers. Las mismas reservas fueron expresadas por el proveedor respecto a los usuarios que no tenían nada que ver con el proyecto. A fin de cuentas, Blue Frog tuvo que cerrarse.

La situación con el proyecto Blue Frog demostró la capacidad de los spammers a la rápida consolidación contra las amenazas de los programadores antispam. Fue una advertencia: la aparente falta de unión entre los spammers (supuestamente análoga a las relaciones entre los grupos de hackers) era sólo eso: una apariencia. En realidad, los spammers están en contacto entre sí y son bastante unidos, porque de lo contrario no hubiesen podido responder de forma tan rápida y organizada.

Las posibilidades potenciales de consolidación y centralización de los spammers en dimensiones internacionales son una nueva amenaza a la seguridad de las comunicaciones electrónicas.

Pronósticos

El pasado 2006 demostró que en el plano tecnológico los desarrolladores de antispam ya en este momento pueden proporcionar una defensa fiable contra los spammers. Pero el volumen y el porcentaje de spam no se reducen y todavía es temprano para decir que el problema del spam es un problema del pasado. La tendencia de desarrollo de la situación actual del spam en el 2007 es evidente:

  1. Es poco probable que el spam desaparezca o se reduzca notablemente. Los spammers buscarán vías de evadir la defensa, mientras que los antispammers tendrán éxito en el enfrentamiento.
  2. Es poco probable que aparezcan nuevas tecnologías de spam en 2007, pero las tecnologías actuales seguirán desarrollándose.
  3. Todo parece indicar que los spammers seguirán desarrollando la tendencia “gráfica”. Pero tampoco creemos que tenga grandes perspectivas. Los grandes productores de antispam están en condiciones de cerrar completamente esta tendencia de los spammers.
  4. Continuarán desarrollándose las tecnologías de creación automática de gran cantidad de ejemplares de texto con sentido según un patrón de envío, posiblemente con la aplicación de algoritmos lingüísticos y no al azar, como se hacía antes.
  5. La criminalización del spam continuará, tanto en el plano de la adaptación de los envíos en inglés a las realidades rusas, como en el plano de aparición de otros tipos de estafa informática específica del sector ruso de Internet.


1 En la legislación rusa no existe la definición del término “spam”, por eso los expertos de la compañía Kaspersky Lab usan su propia definición, hecha con anterioridad, de este fenómeno. Se entiende por spam los “envíos masivos, anónimos y no solicitados efectuados por medios electrónicos de comunicación, sobre todo, por correo electrónico”.


2 Este grupo temático reune los mensajes spam que no se pueden catalogar con exactitud en un grupo determinado. Por ejemplo, el grupo temático “Educación” reune al spam con publicidad de seminarios y entrenamiento, cursos de idiomas extrajeros, materiales educativos y demás.


3 El grupo temático “Estafas informáticas” reune el phishing, las “cartas nigerianas”, las notificaciones falsas de premios de lotería y similares, cuyo objetivo es apoderarse del dinero o datos personales por medios fraudulentos.


4 Para más detalles puede leer, por ejemplo http://www.spamtest.ru/document?pubid=186922917 y http://www.spamtest.ru/document?pubid=187626850


5 El grupo temático “Finanzas personales” agrupa las propuestas de seguros, reducción de deudas crediticias, condiciones ventajosas de préstamos, compra de acciones, inversiones, etc.


6 La información de que el spammer utiliza un número de pago, el número de su cuenta en el servicio “Hucha electrónica” es secreta.


7 El artículo 18 “Publicidad difundida por redes de comunicación electrónica y envíos postales” de la ley “De la publicidad” de la Federación de Rusia.

Kaspersky Security Bulletin 2006. El correo no solicitado en el año 2006

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada