- Kaspersky Security Bulletin: Boletín de seguridad 2009. Desarrollo de las amenazas informáticas en 2009
- Kaspersky Security Bulletin: Boletín de seguridad Estadística general del 2009
- Kaspersky Security Bulletin: Spam en 2009
Resultados al fin del año
- El porcentaje de spam (correo no deseado) en el tráfico de correo alcanzó un promedio del 85,2% en 2009.
- La mayoría del spam en este año (16%) se envió desde los EE.UU. También los países asiáticos se constituyeron en importante origen de spam en 2009.
- El porcentaje del correo phishing (robo de información confidencial) en el tráfico total de correo significó el 0,86%.
- Se detectaron adjuntos maliciosos en el 0,85% de los mensajes.
- La crisis económica tuvo un gran impacto en las categorías de spam en 2009.
- Las estafas por SMS se mantuvieron como una característica expandida del spam.
- Por primera vez aparecieron mensajes spam con vínculos a videos de spammers (elaboradores de spam) en YouTube.
- Los spammers siguieron mejorando el uso de html para camuflar los vínculos incluidos en los mensajes spam.
- Los spammers recurrieron a la distorsión de imágenes para burlar los filtros antispam.
- Los spammers siguen recurriendo a temas de interés general y a nombres de celebridades para atraer la atención del usuario de Internet.
- Los spammers se están aprovechando de la popularidad de los sitios web de redes sociales.
El porcentaje de spam
El porcentaje de spam en el tráfico total de correo en 2009 alcanzó un promedio del 85,2%, o un 3,1% más que el promedio de 2008. El más alto nivel de spam se registró el 22 de febrero con un 93%, mientras que el más bajo se registró el 26 de abril con un 72,8%.
El porcentaje de spam en 2009
Durante el año, las fluctuaciones en los porcentajes de spam en el tráfico de correo se mantuvieron en un marco del 5%. El promedio del porcentaje mensual fluctuó entre el 82,6%, en diciembre, y el 87,2% , en febrero. En el segundo semestre del año, el porcentaje se estancó, y desde julio hasta agosto, las cifras no variaron en más de un 2,5%. Diciembre se caracterizó por la tradicional declinación del volumen de spam. En 2008, el rango era mucho más amplio, con un porcentaje de spam que durante varios meses osciló entre un 73,7% y un 90,7%. Sólo el tiempo dirá si este cambio significa que el índice de crecimiento de spam en el tráfico total está disminuyendo y estabilizándose en un 85%.
Origen de spam en el mundo
Origen de spam en el mundo
El año pasado, los EE.UU. fueron el origen principal de spam en el sector ruso de Internet. Rusia alcanzó el segundo lugar, y Brasil se ubicó tercero. Recordemos que en 2008, los tres orígenes principales de spam eran Rusia, EE.UU. y España. Como ya se mencionó en nuestro artículo El spam en el primer semestre de 2009, constatamos una cantidad notablemente menor de spam originada en Europa occidental en 2009, y una mayor proveniente de países asiáticos y latinoamericanos.
El siguiente gráfico muestra los cambios dados en las tendencias de spam provenientes de diferentes países en 2009:
Origen del correo spam en el mundo (tendencias trimestrales)
El gráfico muestra el marcado repunte en el número de mensajes spam enviados desde los EE.UU. Es importante notar que este aumento tuvo lugar al mismo tiempo que se disparó el número de dominios estadounidenses infectados; Kaspersky Lab analizó este fenómeno en su informe del tercer trimestre.
Spam por categorías
Detalle de spam por categorías, 2009
Las primeras cinco categorías de spam en 2009 fueron:
- Fármacos y otros bienes y servicios relacionados con la salud – 18,9% (-4,7% desde 2008)
- Educación – 15,9% (+3,9%)
- Publicidad de servicios de spam – 11,7% (+6,8%)
- Otros productos y servicios – 11,2% (-4,9%)
- Imitaciones de bienes de lujo – 8,5% (-6%)
A diferencia del porcentaje de spam, las distintas categorías de spam sufrieron grandes cambios durante el año.
Categorías de spam en el primer semestre de 2009
Categorías de spam en el segundo semestre de 2009
Como se evidencia en el gráfico, la categoría Educación creció más del doble en el segundo semestre del año, mientras que la categoría Ocio y turismo aumentó más de 2,5 veces, desplazando cómodamente a los anteriores líderes.
El spam en la crisis financiera
Se puede rastrear el desarrollo de la crisis económica tomando como referencia las fluctuaciones de las diferentes categorías de spam del año pasado. Ya hemos escrito sobre la caída del volumen de spam que ofrece productos y servicios de pequeñas y medianas empresas desde el inicio de la crisis, y el actual aumento en la cantidad de spam delictivo y spam publicitario.
El porcentaje de spam en el sector económico comenzó a declinar en agosto de 2008 y, aunque se registraron algunos picos durante el año, continuó su descenso hasta mayo de 2009 (el pico de la crisis). Se relacionó esto con el hecho de que los clientes de este tipo de spam (representantes de empresas pequeñas y medianas) o habían quebrado por efecto de la crisis, o habían reducido sus presupuestos publicitarios y dejaron de usar el spam. Los mismos spammers empezaron de manera proactiva a reclutar nuevos clientes. La cantidad de avisos que ofrecían servicios de spam en envíos masivos de correos no deseados creció vertiginosamente y en abril de 2009 registraron un pico del 19,7%, mientras que antes nunca habían sobrepasado el 4 – 5% de todo el tráfico de spam.
Sin embargo, hasta entonces los antiguos clientes de spam no habían renovado sus pedidos. Mientras tanto, los spammers tuvieron que enfrentar una gran inactividad y cuentas que pagar por el mantenimiento de servidores y gastos de botnet. Se las ingeniaron para conseguir apoyo de los programas conocidos como partner programs (programas de socios).
Los partner programs de Internet son un tipo de marketing muy común en SEO (Search Engine Optimization u optimización del motor de búsqueda, una serie de pasos para mejorar el posicionamiento de un sitio web en los resultados proporcionados por los motores de búsqueda) y en la promoción de productos y servicios. El objetivo de los programas >partner es atraer clientes de otros sitios web. Es así como funciona: un partner coloca un banner o un vínculo al sitio de un cliente en su propio sitio web. Si un cliente quiere visitar el sitio del partner, usa el vínculo y termina haciendo una compra, entonces el partner recibe un porcentaje de la ganancia por la venta. En algunos casos, los partners pagan incluso si un potencial cliente sólo visita el sitio web del cliente.
Los acuerdos partner son muy populares hoy en día, incluso en negocios delictivos cibernéticos. Al usar programas partner, los fármacos con receta se venden sin ella, así como las imitaciones de artículos de lujo y software barato. Este enfoque de marketing es también común en la industria pornográfica, donde un partner recibe ganancias por cada usuario que visita el sitio web. Además, los estafadores usan métodos similares para engañar a los usuarios de Internet y conducirlos a sitios web que ofrecen falsos programas antivirus y a sitios web cuyos dueños lucran mediante estafas en mensajes de texto.
Un spammer involucrado en un programa partner recibe dinero no por cada tantos millones de mensajes enviados, sino por cada persona que, engañada por el mensaje spam, realiza una compra.
El cuadro siguiente muestra una clara relación entre la cantidad de spam que se genera como parte de los programas partner (en las siguientes categorías: Fármacos y otros bienes y servicios relacionados con la salud, Imitaciones, Contenidos para adultos, y Ordenadores e Internet), y el spam de transición, por los que un cliente paga a un spammer por envíos masivos que ofrecen sus artículos o servicios (para las siguientes categorías de spam: Educación, Otros productos y servicios, ocio y turismo, Bienes raíces, Servicios jurídicos y de auditoría, e Imprenta). Además, también podemos ver que los spammers publicitaron sus propios servicios cuando los pedidos de sus clientes empezaron a caer.
Porcentajes de spam tradicional, spam generado bajo programas partner,
y spam que ofrece servicios de spam
El proceso que se muestra en el cuadro puede fácilmente compararse con el desarrollo de la crisis financiera. Por lo general, las compañías que piden spam a través de un programa partner suelen ser grandes organizaciones delictivas, lo opuesto a las pequeñas y medianas empresas, que suelen pedir spam de manera directa. Como se ve en el cuadro, de febrero a mayo, la cantidad de spam tradicional declinó para llegar a su punto más bajo en mayo. También sucede que mayo es el mes en el que –según afirman los expertos- la crisis tocó fondo. A principios de mayo de 2009, la cantidad de spam que ofrecía productos y servicios de pequeñas y medianas empresas comenzó a aumentar, mientras que el spam generado a través de programas partner comenzó a declinar, al igual que la cantidad de avisos de spam. En diciembre, todos estos indicadores habían, en mayor o menor grado, vuelto a sus niveles previos a la crisis.
Estafas informáticas
En el segundo semestre de 2009, el volumen de spam en la categoría Estafas informáticas se elevó considerablemente.
La categoría Estafas informáticas en 2009
Esta categoría incluye mensajes spam tipo phishing, las cartas fraudulentas nigerianas, los falsos avisos de lotería, mensajes de texto fraudulentos, y otros tipos de estafas.
Phishing o mensajes fraudulentos
En la primavera de 2009, la cantidad de mensajes con vínculos phishing se redujo notoriamente. Los expertos afirman que la crisis tocó su fondo en primavera. El repunte en la cantidad de mensajes phishing se dio cuando la crisis empezó decaer, en agosto de 2009. El porcentaje promedio de mensajes phishing en el tráfico total llegó a un 0,86%. Nuestras expectativas de que la difícil situación económica llevaría a los phishers a ser más activos resultaron equivocadas. En vez de ello, parece que los ingenieros sociales llegaron a la conclusión de que en tiempos difíciles los usuarios estarían más atentos y precavidos y no arriesgarían sus ahorros. Y cuando la crisis empezara a ceder, significaría que los usuarios dispondrían de más ingresos y tendrían menos reparos en gastarlos. Además, está claro que cada proyecto phishing necesita cierta cantidad de gastos y, por tanto, es mucho más fácil lanzarlo bajo condiciones económicas más favorables.
Cantidad de mensajes con vínculos phishing en el total del tráfico de correo
En 2009, PayPal fue una vez más la organización que más ataques sufrió. Los ciberdelincuentes siguieron apuntando sus esfuerzos contra este sistema electrónico de pago durante todo el año. El sistema de subastas en línea de eBay fue el segundo blanco favorito de los ataques.
Los grandes bancos americanos, como el Bank of America y el Chase Bank, se colocaron en la tercera y cuarta posición, respectivamente. Es importante tomar en cuenta que por segundo año consecutivo el Chase Bank se ubicó entre las cinco primeras organizaciones más afectadas, con ataques masivos aunque efímeros. En 2009, esta organización fue la más atacada en agosto, pero no logró siquiera estar entre las diez primeras durante el resto del año.
Organizaciones atacadas por phishers en 2009
Es importante observar la presencia de la oficina de impuestos de los EE.UU. (Internal Revenue Service -IRS) en la lista de las organizaciones que sufren más ataques. Los ciberdelincuentes empezaron a atacar al IRS en septiembre de 2009, no mucho antes del vencimiento del último plazo para la entrega de las declaraciones impositivas. Durante los tres meses del otoño, el IRS se ubicó entre las diez organizaciones más atacadas.
A principios de verano, se observaron varios tipos distintos de mensajes phishing dirigidos a usuarios del popular juego en línea MMORPG World of Warcraft. Las cuentas de los sitios de redes sociales también han atrapado el interés de los ciberdelincuentes. A finales del año, Facebook se convirtió en un blanco preferido de los phishers.
Durante los últimos meses, la cantidad de phishing en el tráfico de correo casi volvió a los niveles que tenía en enero.
Estafas en mensajes de texto spam
Además del phishing, de las fraudulentas cartas conocidas como cartas nigerianas y las falsas notificaciones de ganadores de la lotería, la categoría Estafas informáticas también incluyó mensajes a cuyos destinatarios se le urge enviar un costoso mensaje de texto a un número de pago. El usuario, de quien se espera obtener una jugosa suma, por lo general no recibe a cambio el servicio prometido. Este tipo de spam sólo se da en Rusia y Ucrania. En otros países, el proceso de obtener números telefónicos de pocos dígitos es mucho más complicado. Quienes solicitan tales números tienen que proporcionar detallada información, lo cual posibilita detectar a los estafadores y acusarlos.
El año pasado, cuando esta artimaña empezaba a aparecer, los estafadores usaron clásicos métodos de ingeniería social: informaban a los destinatarios que habían ganado algo, amenazaban con cerrar una cuenta, o bien ofrecían pornografía barata. Este año, constatamos el uso de tácticas más creativas para persuadir a los usuarios a que envíen mensajes de texto, y se generan temas increíbles.
Uno de los temas más candentes hoy en día es el de los “audionarcóticos”, y el de localizar a las personas a través de sus teléfonos celulares.
Estos ardides logran atrapar a los usuarios ofreciéndoles un archivo mp3 que supuestamente pone al usuario en un estado de conciencia alterada, similar a los efectos de los narcóticos. En la última artimaña, los estafadores prometen que son capaces de localizar a una persona usando su número de teléfono móvil.
Para cada uno de estos servicios, los estafadores sugieren que los usuarios paguen a través de mensajes de texto. Pero el coste del mensaje es mucho mayor que el publicitado (algo típico en las estafas de mensajes de texto).
Según las investigaciones, ambos tipos de servicios resultaron ser una farsa. Para prevenir a usuarios desprevenidos, la prensa publicó informes sobre cómo un archivo mp3 es incapaz de lograr que una persona alcance un estado de conciencia alterada. Es difícil acusar a los estafadores ya que sus sitios web incluyen una sección especial de “Reglas” (generalmente, es difícil encontrar esta sección, el tamaño del texto es muy pequeño y tiene un color que dificulta su lectura) que incluye información sobre los servicios o la ausencia de los mismos, y los costes reales de enviar los mensajes de texto.
El siguiente es un ejemplo de un típico mensaje spam que ofrece servicios de localización:
¡Bienvenido! Acabamos de lanzar un nuevo proyecto que puede ayudarle a localizar cualquier usuario de teléfono celular que use Internet. ¡Haga click para saber más!
[vínculo] Atentamente, YANDEX&RAMBLER]
Esto es lo que el usuario encontrará en la sección Reglas del sitio de un estafador:
Descargo de responsabilidades (a) El usuario usa este servicio bajo su propio riesgo. Los servicios están disponibles para el Usuario tal cual están. Los servicios no presumen ninguna responsabilidad de parte del proveedor del servicio, incluyendo pero no limitado a la correspondencia de los resultados con la petición de búsqueda del Usuario; (b) El Sitio web es un juego usado con fines de entretenimiento. Toda la información presentada en el Sitio web es ficticia y no se debe tomar con seriedad.
La sección Reglas también indica que los mensajes de texto enviados para pagar estos servicios cuestan unos 10$US (unos 300 RUB), y no 5 RUB.
En algunos casos, los spammers piden a los usuarios que envíen no uno, sino tres costosos mensajes de texto, a cambio de proporcionarles recursos pagados. Cuando el usuario envía los mensajes, recibe un vínculo a sitios web que resultan ser gratuitos.
Actualmente, muchos proveedores de telefonía celular están avisando a sus usuarios acerca del coste de enviar un mensaje de texto a cualquier número de pago. Este servicio puede ayudar a proteger a los usuarios contra las estafas. Sin embargo, sólo los usuarios conscientes y precavidos los aprovechan, es decir, el tipo de usuarios que difícilmente caería víctima de dichas estafas. Como se ve, los proveedores de telefonía celular están empezando a tomar medidas contra las estafas.
Mientras tanto, el usuario tendrá que atenerse a sí mismo, ser más consciente y verificar los costes de los mensajes de texto enviados a números de pocos dígitos antes de enviarlos. Y por supuesto, el usuario nunca debe dar crédito a lo que está escrito en un mensaje spam.
Tamaños y tipos de mensajes spam
Distribución de distintos tipos de mensajes spam en el primer
y segundo semestres de 2009
Distribución de distintos tipos de mensajes spam en el primer y segundo semestres de 2009.
El spam con texto y HTML ocupó el segundo lugar, y consolidó esta posición en el segundo semestre, aumentando del 31,6% al 39,1%.
Se evidenciaron algunos cambios en lo que se refiere a los adjuntos gráficos. En el primer semestre, los mensajes con imágenes jpeg se constituyeron en líder indiscutible entre los distintos tipos de spam gráfico. A mediados de año, el porcentaje de mensajes spam con imágenes jpeg comenzó a decaer, cediendo su lugar al formato de imágenes gif.
Esto puede explicarse por el hecho de que los spammers suelen preferir el formato gif para gráficos que contienen sólo texto.
Por ejemplo, la siguiente imagen se compone de tres adjuntos gráficos: el primero es la foto de un atleta y las píldoras, en formato jpeg, mientras que los otros dos, el texto negro (“We respect your rights…”) y el texto gris (“If you wish…”) están en formato gif.
La distribución de mensajes spam de distintos tamaños no sufrió notables cambios:
Tamaño de los mensajes spam
Como antes, casi la mitad de todo el spam se compone de pequeños mensajes spam que pesan unos 5 Kb. La gran mayoría son cortos mensajes en texto simple o HTML. También incluyen un puñado de mensajes spam con gráficos que no pesan más de 5 Kb, como el de la siguiente imagen:
¡Un equipo de profesionales para la renovación de su piso! Desde pequeñas modificaciones hasta una renovación al estilo europeo, cualquier nivel de dificultad. Todo tipo de reparaciones, renovaciones y trabajos de construcción.
Electricidad, plomería, pintura, carpintería, techos, pesos, etc.
Calidad garantizada a precios razonables.
Todo tipo de trabajos con garantía de un año.
Llame a: [número]]
Ardides y técnicas Spam
La principal renovación en el spam en 2009 fue el uso de YouTube para spam de video. En octubre se detectaron varios mensajes con vínculos a avisos cargados a YouTube. Todos estos mensajes ofrecían servicios de spam.
A pesar de que esta era una nueva técnica, los filtros antispam no tuvieron dificultad en neutralizar estos mensajes. Sólo hubo unos cuantos vínculos usados para desviar a los usuarios a publicidades (sólo una docena de vínculos) y no resulta nada difícil neutralizar estos mensajes que usan siempre la misma URL.
Al final del año, lo spammers recurrieron a una interesante artimaña (aunque no era exactamente nueva) que implicaba archivos mp3 adjuntos a mensajes spam. El archivo de sonido contenía la agradable voz de una mujer anunciando el nombre de un sitio web que vendía Viagra. El nombre y el productor de la grabación también conducían al sitio web del spammer. Los spammers usaron el sonido de una mujer que jadeaba como fondo de la grabación.
Los spammers siguieron usando y mejoraron notablemente algunas de las mismas tácticas usadas en años anteriores.
Uno de estos ardides fue la grabación de una oferta promocional y/o la información de contacto usando sólo HTML, sin letras ni imágenes. No se trataba de un nuevo método, pero fue mejorado en 2009. El mensaje incluye una tabla con gran número de celdas. Algunas de las celdas aparecen vacías, mientras que otras llevan un color oscuro. Los spammers usaron una combinación de celdas vacías y coloreadas para producir el texto que querían.
Anteriormente, los spammers usaban tablas con celdas relativamente grandes, lo cual resultaba en cartas y números voluminosos y con una rara apariencia.
En 2009, los spammers se dieron cuenta de que si usaban tablas con celdas minúsculas, el texto aparecería mucho más claro y produjeron textos como el que aparece en el siguiente mensaje:
Otro ardid que cambió en 2009 fue el uso de imágenes con fondos cambiantes. Para evitar que los filtros antispam reconocieran los textos incluidos en mensajes spam como avisos idénticos e identificaran el texto usado en imágenes como típicas palabras clave usadas en spam, en 2006 los spammers comenzaron a usar fondos “ruidosos” en imágenes con manchas oscuras, manchas con formas, y a veces figuras geométricas en distintos lugares. Tanto la apariencia como la legibilidad de estos mensajes se vieron afectadas. En aquel entonces, este tipo de mensajes se veía así:
En 2009, los spammers combinaron imagines “ruidosas” y tuvieron mayor cuidado con la apariencia misma del mensaje. En vez de un fondo caótico, empezaron a recurrir a atractivas mujeres en el fondo. Para lograr un gran número de opciones distintas para la misma imagen, la imagen se descomponía en varias piezas. Cuando se la veía en un buscador, estas piezas se recomponían y el usuario vería una sola y atractiva imagen.
Al principio, este método se usó en avisos en inglés para tratamientos médicos, aunque pronto se usó en mensajes spam en ruso con contenidos para adultos:
Similares métodos se usaron en 2006, y se están volviendo a usar tras tenerlos en el olvido por algún tiempo.
Otra táctica usada en el spam gráfico consiste en distorsionar el texto del aviso de manera que las líneas del texto spam sean onduladas.
ВEste método primero se probó y se usó ampliamente en avisos en inglés para fármacos, y pocos meses después apareció en spam en ruso:
A los spammers también les gusta usar asuntos atractivos que mencionen temas candentes y nombres de celebridades.
En 2009, la personalidad más citada por los spammers fue el presidente de los EE.UU., Barak Obama. Su nombre se usó ampliamente tras su toma de posesión el 20 de enero de 2009, y los spammers lo usaron frecuentemente el resto del año. Su nombre se mencionó en relación con titulares sensacionalistas, chantajes, y fraudes nigerianos.
El siguiente mensaje se llama “Terrible enfermedad de Obama” y anuncia la tan conocida pastilla Viagra:
Los spammers no desperdiciaron la oportunidad de usar la fiebre A1H1 como un tema atractivo. Asuntos sensacionales anunciaban los mensajes que ofrecían soluciones para prevenir terribles enfermedades, y se proporcionaban vínculos a farmacias “canadienses” que en realidad vendían Viagra. Con todo el pánico alrededor del virus A1H1, que alcanzó su pico en septiembre de 2009, los spammers sacaron ofertas más inteligentes, como una inexistente vacuna y mascarillas.
El siguiente mensaje ofrece la venta al por mayor de mascarillas contra la gripe:
Inmediatamente tras la muerte de Michael Jackson el 25 de junio, los spammers comenzaron a usar este tema. Sus mensajes contenían vínculos a sitios infectados con programas maliciosos. Las campañas que usaban el nombre de Michael Jackson continuaron durante el verano.
Sin embargo, este siguió siendo un tema de gran interés incluso al terminar el verano. Los usuarios de Internet siguen recibiendo mensajes spam ofreciendo la oportunidad de comprar uno de los trajes de Michael Jackson, o un vídeo póstumo. Incluso en noviembre, Kaspersky Lab recibió un mensaje diciendo. “¡Michael Jackson está vivo!” “Mire la prueba”, con un vínculo a un sitio web en el cuerpo del mensaje:
Este vínculo conducía al usuario a Trojan.Script.IframerPor supuesto que hubo otros numerosos temas que los spammers también usaron: días de fiesta (empezando con el 8 de marzo (día de la mujer en Rusia) hasta terminar con el Día de gracias en EE.UU. y Canadá), partidos de campeonatos mundiales de fútbol en 2009, y los estrenos de las películas más taquilleras. Sin embargo, los temas recién mencionados fueron los más sobresalientes en el spam durante largos periodos de tiempo.
El correo spam y las redes sociales
El spam ha llegado a ser muy común en los sitios de las redes sociales y en blogs. Si una comunidad no tiene moderador, o si no se desactiva la opción de comentarios anónimos, entonces la cantidad de spam recibido a través de blogs y de redes sociales podría ser catastrófica.
Incluso el spam de correo aparece ahora en las redes sociales. Primero, recibimos varias notificaciones que contienen spam. Después, los spammers usan los sitios de redes sociales y los blogs como otro terreno para sembrar los mismos avisos que están vinculados en los mensajes. Estos mensajes spam ofrecen nuevas y desconocidas redes sociales que a menudo resultan ser sitios de citas. El término “red social” se usa como anzuelo de la trampa.
Los spammers también usan el nombre de famosas redes sociales y de servicios de blogs para burlar los filtros y llamar la atención del usuario; después de todo, una falsa notificación desde una red social merece crédito. Además, los ataques phishing contra redes sociales para acceder a las cuentas de los usuarios son algo muy común. Por lo general, estos ataques se dirigen contra los sitios web más populares, incluyendo Facebook y Twitter en 2009.
El siguiente mensaje phishing ofrece al destinatario actualizar su cuenta de Facebook pulsando el vínculo que aparece en el mensaje. Pero en realidad, este vínculo conduce a un sitio web malicioso, donde se le pide al usuario que ingrese su nombre de usuario y su contraseña
Además de los fraudes phishing, se usan mensajes fraudulentos provenientes de la muy conocida red Twitter para propagar virus.
Esta falsa invitación de Twitter muestra un archivo ZIP adjunto que contiene un virus:
Como se ve, el spam de correo y el spam en los sitios de redes sociales están muy relacionados. Se podría usar el spam de correo (con virus y fraudes phishing), para capturar la cuenta de un usuario de una red social. O, si el usuario activa el vínculo malicioso, su equipo puede infectarse y ser parte de una botnet que se usa para enviar más mensajes spam a través de los sitios de redes sociales. El spam de correo usa los nombres de conocidas redes sociales, y también se aprovecha de ellas usándolas como plataforma para ofrecer sus artículos y servicios.
Programas maliciosos (malware) en el correo
En 2009, el 0,85% de los mensajes de correo contenía un adjunto malicioso, lo cual es apenas un 0,04% menos que en 2008.
El siguiente cuadro muestra la actividad de los mensajes spam con adjuntos maliciosos durante los dos últimos años: Como puede verse, hubo un repunte hacia fines de año, tanto de 2008 como de 2009. Se registró otra alza en marzo de 2008, pero de febrero a agosto de 2009, la cantidad de spam con adjuntos maliciosos permaneció en el 0,4% o menos.
Cantidad de mensajes spam con adjuntos maliciosos en 2008 y 2009
En 2009, se evidenció un incremento de spam malicioso en el otoño, que en un principio se relacionó con los mensajes que contenían Zbot (un programa espía, o spyware, troyano diseñado para robar la información confidencial del usuario) camuflado como un aviso de la oficina de impuestos, y mensajes a través de los cuales los ciberdelincuentes propagaban la familia de troyanos FraudLoad. Los troyanos FraudLoad se instalan en el equipo del usuario utilizando varias herramientas conocidas como FraudTools que permiten al ciberdelincuente extorsionar al usuario exigiéndole dinero a cambio de reparar o eliminar supuestos programas maliciosos instalados en su equipo.
Los 10 programas maliciosos más importantes que se propagaron por correo en 2009 aparecen en el siguiente cuadro:
Los 10 programas maliciosos más importantes en 2009
En 2009, tal como en 2008, la familia Iframe logró posicionarse entre los diez más importantes. Trojan-Clicker.HTML.IFrame.abn es un programa malicioso y se trata de un documento HTML que contiene un script que ejecuta peticiones no autorizadas al sitio http://ddhj.2288.org/d[****]2.htm directamente desde la versión HTML del mensaje de correo, o desde un adjunto HTML. Resulta muy notorio que Trojan-Clicker.HTML.IFrame.abn sea el único representante de la plataforma HTML en 2009, mientras que todos los otros programas maliciosos ubicados en las primeras posiciones todavía se ejecutan en Win32.
El segundo y el séptimo lugar corresponden a los representantes de la familia FraudLoad: Trojan-Downloader.Win32.FraudLoad.epb y Trojan-Downloader.Win32.FraudLoad.wspk. En septiembre, más de la mitad de todos los programas maliciosos que se propagaban por correo spam eran parte de la familia FraudLoad.
En la tercera y la sexta posición se ubican los programas maliciosos que se comprimen usando distintas variaciones del compresor Krap: Packed.Win32.Krap.ah y Packed.Win32.Krap.w usados por lo general para comprimir Zbot y FraudTools. Packed.Win32.Krap.w también se usa para comprimir Iksmas y Bredolab.
El popular Trojan-Downloader.Win32.Murlo.cba. se ubicó en el cuarto peldaño, después de haber encabezado la lista en septiembre de 2009.
Como se esperaba, entre los 10 más importantes se encontraban dos variantes de Zbot: Trojan-Spy.Win32.Zbot.zur y Trojan-Spy.Win32.Zbot.gen.
Por último, la octava y la novena posición correspondieron a dos variantes de backdoor Small: Backdoor.Win32.Small.zs y Backdoor.Win32.Small.zî.
Las tendencias más sorprendentes en la clasificación de los programas maliciosos de este año fueron los mensajes supuestamente enviados como notificaciones oficiales con archivos ZIP como adjuntos. La mayor de estas campañas estaba diseñada para parecer notificaciones de DHL y UPS.
Sin embargo, estas organizaciones postales no eran las únicas compañías cuyos nombres estaban siendo usados por los spammers para propagar sus programas maliciosos. Las falsas notificaciones oficiales también provenían de spammers que supuestamente representaban a Western Union y a FedEx, además de una cantidad de tiendas en línea de las que los usuarios supuestamente habían comprado varios productos costosos en algún momento.
Los mensajes eran similares en su estructura, de lo que se desprende que provenían de un solo autor. Nuestras sospechas se confirmaron cuando recibimos el siguiente mensaje:
Aquí, el spammer cometió un torpe error al haber omitido hacer coincidir la organización mencionada en el asunto con la que aparece en el cuerpo del mensaje.
Los ingenieros sociales también recurrieron a falsas felicitaciones digitales supuestamente enviadas por la reconocida compañía Hallmark y otros servicios de tarjetas de felicitación con el fin de engañar al usuario para que descargue programas maliciosos.
Por supuesto, los spammers usaron temas atractivos como asunto de los mensajes destinados a propagar programas maliciosos, como es el caso de la muerte del rey del pop o el estreno del sistema operativo Windows 7. A menudo, los mensajes maliciosos contenían un vínculo al sitio infectado con programas maliciosos en lugar de usar un adjunto.
El siguiente mensaje, por ejemplo, muestra un escandaloso asunto en el que se acusa a la última publicación de Microsoft. El cuerpo del mensaje contiene un vínculo malicioso que conduce al usuario a un troyano descargador:
Conclusión
El año 2009 estuvo marcado por la crisis financiera y las dificultades a las que se enfrentaron muchas compañías. Los spammers también sufrieron este impacto, ya que la cantidad de pedidos cayó considerablemente a mediados de año. Sin embargo, la cantidad de spam en el tráfico de correo no se vio afectada ya que los spammers cambiaron sus tácticas al participar activamente en programas tipo partner. Además, durante el año, la cantidad de spam en el tráfico de correo sirvió como indicador de la crisis, lo que nos permitió lanzar algunas predicciones sobre el futuro del spam.
La cantidad de los servicios de spam alcanzó niveles inusuales este año llegando al 20% del total del tráfico spam durante ciertos periodos. Fue así como los spammers trataron de atraer a nuevos clientes durante la crisis.
Resultó sorprendente detectar una reducida cantidad de mensajes de estafa phishing en todo el tráfico de spam: en el pico de la crisis, el volumen de este tipo de spam decayó llamativamente.
El número de programas maliciosos en mensajes spam no sufrió grandes cambios desde 2008, pero los diferentes tipos de mensajes maliciosos sí experimentaron algunas variaciones. Los troyanos que descargan falsos programas antivirus fueron uno de los programas maliciosos más frecuentes.
En el transcurso del año, los spammers trabajaron activamente mejorando la calidad de sus avisos y trataron de complicarles la tarea a los filtros antispam, llegando a producir avisos atractivos para los usuarios de Internet. Aparte de los métodos tradicionales, también recurrieron a tecnologías multimedia como los vínculos a video clips en YouTube y el envío de archivos de sonido.
La mayoría del spam en 2009 tuvo su origen en los EE.UU., aunque se constató una clara migración de su origen hacia países asiáticos y latinoamericanos. Esto se puede explicar sencillamente por el hecho de que la cantidad de ordenadores y de conexiones de banda ancha a Internet en estas regiones se incrementó sostenidamente, y porque no todos los usuarios de dichas áreas son conscientes del tema de la seguridad informática. En consecuencia, resulta muy fácil infectar sus equipos con programas maliciosos y convertirlos en botnets.
Probablemente, el año 2010 será más tranquilo. La cantidad de spam en el tráfico total de correo permanecerá casi en los mismos niveles que ahora. Es posible que constatemos algunos leves incrementos. Los mensajes fraudulentos de texto, tan comunes en 2009, pueden verse reducidos en 2010, especialmente si los proveedores de servicios de telefonía celular toman medidas preactivas para enfrentarlos. Sin embargo, es sólo cuestión de tiempo antes de que veamos la aparición de nuevas formas de estafas cibernéticas.
Probablemente, algunos métodos como el uso de ficheros de video y de sonido no serán tan populares: la relación entre el tamaño del mensaje y las ventajas de burlar los filtros antispam, y el atractivo para los usuarios, claramente no favorece a los spammers en este caso en particular. Los spammers seguirán recurriendo a tácticas probadas que funcionen. Es de esperar que los spammers sigan aprovechándose de las redes sociales y que aumente el volumen de spam en sus respectivos sitio.
De los mismos autores
En la misma categoría
Kaspersky Security Bulletin: Spam en 2009