Autores
Después de que se desconectaran las botnets Pushdo/Cutwail, Bredolab y Rustock, la geografía de las fuentes spam sufrió cambios drásticos. Desde septiembre de 2010, Estados Unidos, que había sido el principal distribuidor de spam por mucho tiempo, comenzó a perder terreno. Ya lleva varios meses sin ni siquiera haber llegado al Top 10 de fuentes de spam, y sólo a veces aparece al final del Top 20.
Países asiáticos y latinoamericanos han reemplazado a Estados Unidos y algunos países europeos. En julio, ocho de las 10 fuentes de spam principales estaban ubicadas en Asia y Latinoamérica, lo que da a entender que los cibercriminales se han establecido en estas regiones.
Fuentes de spam en julio de 2011
Otra característica interesante del rating de julio es que los cinco primeros países son los responsables de casi la mitad (48,65%) de todos los mensajes spam. Por esta razón, decidimos analizar más de cerca la actividad de los spammers en India, Indonesia, Brasil, Perú y Ucrania.
Un análisis de los correos spam que se originaron en estos países en junio y julio muestra que en julio se enviaron menos mensajes spam desde India y Brasil que en junio – disminuyeron un 2,03 y 1,83 por ciento respectivamente. Los cambios de ambos países son muy similares. Indonesia y Perú tuvieron aumentos de niveles muy parecidos en el mismo periodo: 4,82 y 4,59 puntos respectivamente.
Estas cifras nos despertaron un interés particular: fluctuaciones tan similares pueden reflejar la distribución geográfica de las botnets de spam y es posible que se deban a que los mismos individuos controlan las botnets en diferentes países.
Para tener una idea más completa de la situación, analizamos la información de 11 países (las 10 principales y Rusia, que estaba en el onceavo puesto en julio y, hasta hace poco, era uno de los principales distribuidores de spam) del periodo de abril a julio. Basándonos en los resultados del análisis de las dinámicas de distribución, creemos que el spam se distribuye de forma simultánea desde muchos grupos de países:
- India y Brasil;
- Ucrania, Taiwán y Tailandia;
- Indonesia y Perú;
- Corea, Italia, Vietnam y Rusia.
India y Brasil
El análisis del tráfico semanal de spam confirmó que los porcentajes de distribución de spam de India y Brasil tienen dinámicas similares:
Spam proveniente de India y Brasil entre el 13 de junio y el 31 de julio
Las diferencias sutiles en las curvas se deben principalmente a que, sin tomar en cuenta que los ordenadores zombi podrían estar manejándose desde el mismo centro, cada país tiene sus propias botnets “locales” que reciben comandos para distribuir spam en diferentes momentos. Además, las botnets cambian su tamaño con frecuencia: se agregan nuevos ordenadores y se pierden otros (p. ej., cuando los usuarios instalan un programa antivirus que desinfecta su ordenador).
Ucrania, Taiwan y Tailandia
Los análisis de Ucrania, Tailandia y Taiwán no tardaron en revelar que uno de estos países no estaba en sintonía:
Spam proveniente de Ucrania, Tailandia y Taiwán entre el 13 de junio y el 31 de julio
Como se ve en el gráfico, los correos spam de Urania y Tailandia se intensifican o disminuyen casi de forma idéntica. Las diferencias entre ambos se deben a las mismas razones que causan las diferencias entre Brasil e India. Pero Taiwán no está en sintonía con la situación general.
Indonesia, Perú, Ucrania y Tailandia
Un análisis detallado revela que el spam que se origina en Urania, Tailandia, Indonesia y Perú es sincrónico:
Spam proveniente de Indonesia, Perú, Ucrania y Tailandia entre el 30 de mayo y el 31 de julio
.
Por ende, el segundo grupo de actividades de redes zombi está compuesto por Indonesia, Perú, Ucrania y Tailandia.
Vale la pena recalcar que la distribución sincrónica del spam de países ubicados en diferentes continentes no significa que los ordenadores en estos países estén unidos en una gran botnet. Muchas redes zombis pequeñas también pueden operar de forma sincronizada, recibiendo órdenes de distribución de los mismos individuos.
Los resultados son algo alarmantes: más del 60% de todo el spam del mundo se origina en 10 países, donde los cibercriminales han estado construyendo nuevas botnets durante los últimos años para reemplazar las que se desactivaron en Estados Unidos y Europa occidental.
Los principales grupos de países desde donde se distribuye spam de forma sincronizada son: India-Brasil (estos países enviaron casi un cuarto del spam mundial en julio) e Indonesia-Perú-Ucrania-Tailandia. Además, durante las últimas tres semanas de julio se vieron paralelos muy claros entre las distribuciones de spam en Rusia, Italia, Corea del Sur y Vietnam. Todavía es muy pronto para sacar conclusiones sobre esta agrupación de países, pero seguiremos vigilándola.
Las correlaciones de arriba sugieren que después de una serie de campañas anti-botnet exitosas, los cibercriminales están expandiendo sus recursos en diferentes países (y hasta continentes) para poder continuar si pierden sus zombis en un país. Los países en cuestión todavía no tienen leyes efectivas para regular las actividades de Internet, lo que permite a los cibercriminales actuar con impunidad. Es más, los cibercriminales responsables de este tráfico de spam pueden administrar sus botnets desde cualquier país del mundo.
Autores
De los mismos autores
En la misma categoría
La creación de nuevas fuentes de spam