Publicaciones

La lucha contra el spam: la ley entra en acción

La lucha contra el spam debe incluir una serie de medidas destinadas tanto a la protección del usuario, como a la lucha contra las estructuras delictivas que están detrás de la organización del tráfico de spam. El final de 2010 mostró la importancia que reviste el componente jurídico y el grado de efectividad que puede tener la intervención de los órganos del estado en las actividades de las estructuras que se dedican al negocio del spam.

El notable declive del tráfico de spam registrado en otoño de 2010 no es otra cosa que el fruto del trabajo de la policía cibernética.

Pérdidas en el tráfico de spam

A finales de agosto de 2010 se anunció la clausura de los centros de administración de la botnet Pushdo/Cutwail. Después de la desactivación de la botnet, los expertos de Kaspersky Lab observaron que la cantidad de spam en el tráfico de correo se redujo en aproximadamente un 2%. Esta cifra, que a primera vista no parece impresionante, no sólo depende de la cantidad de spam, sino también de la de correo limpio. Si hablamos de valores absolutos, según nuestros datos del 15 al 30 de agosto el spam se redujo en un 15%.

A pesar de que la clausura de Pushdo/Cutwail no tuvo consecuencias catastróficas para el mundo del spam, disparó una reacción en cadena que influyó en el volumen del tráfico de spam durante todo el otoño.

Juzga tú mismo: en septiembre, en comparación con agosto, el spam se redujo en un 1,5%, y del 1 al 25 de octubre, en un 2,4% más. En cifras absolutas esto significa que al llegar el 24 de octubre de 2010 la cantidad de correo basura se había reducido casi en una cuarta parte en comparación con el índice similar de mediados de agosto. Hacemos hincapié en que durante este periodo no ocurrió ningún suceso capaz de ejercer una influencia directa en el rendimiento de los spammers. Es posible que algunas botnets, en el momento de la activación de los órganos del estado, simplemente hayan decidido desaparecer del mapa por un tiempo. Recordamos que, aparte de la clausura de Pushdo/Cutwail, que tuvo incidencia directa en la cantidad de spam, causaron mucho ruido los arrestos del grupo de delincuentes que robaba dinero con la ayuda de la botnet Zeus. Además, durante los dos primeros meses de otoño, los órganos del estado dirigieron su atención al spam farmacéutico, lo que causó sobre todo modificaciones en la composición temática del spam y, quizá, tuvo cierta influencia en su cantidad.

El 25 de octubre los spammers tuvieron una desagradable sorpresa: los órganos de seguridad de Holanda propinaron una serie de fuertes golpes a las redes botnet compuestas por ordenadores infectados por el programa nocivo Bredolab. En total, a finales de octubre se neutralizó 143 centros de administración y se arrestó a una persona sospechosa de administrar las botnets.


Cambios en la cantidad de spam en el tráfico de correo cuando
se clausuró la botnet Bredolab

Como resultado de la lucha contra Bredolab, en el periodo comprendido entre el 25 de octubre y el 4 de noviembre el spam se redujo en un tercio en comparación con mediados de octubre. Pero si comparamos el volumen de spam de la última semana de octubre con los índices de mediados de agosto de 2010, podemos ver que el spam se redujo a la mitad. Este resultado, tal cual hemos escrito más arriba, es la suma de una serie de sucesos y factores entre los cuales están la clausura de los centros de administración de Pushdo/Bredolab, la precaución de los dueños de las botnets que quedaron intactas y la presión ejercida por los órganos del estado sobre los responsables del spam farmacéutico. Diez días después el volumen del tráfico de spam volvió al nivel de mediados de octubre.

A grandes rasgos, si asumimos como 100% el volumen de spam enviado a principios de agosto (antes de la “crisis”) y seguimos sus fluctuaciones durante la segunda mitad de 2010 y principios de 2011, tendremos el siguiente gráfico:

 
Fluctuaciones del volumen de spam, agosto de 2010 – enero de 2011

Son superfluos los comentarios sobre el gráfico, que ilustra un éxito sin precedentes en la lucha contra el spam en todo el mundo.

La guerra por los territorios: pérdidas y adquisiciones

La clausura de los centros de administración de las botnets no solo se reflejó en la cantidad de mensajes enviados. A finales de 2010 cambió también la geografía del spam. Aquí no sólo nos referimos a los cambios en la composición de países-fuente de spam, sino también en la geografía de los países a los cuales se envía más spam con adjuntos maliciosos. El desarrollo de los acontecimientos de finales de 2010 demostró que los envíos masivos con adjuntos maliciosos dirigidos a determinadas regiones preceden al embate de las actividades del spam en estos territorios. Es algo fácil de explicar: al construir redes botnet en determinada zona geográfica, los delincuentes empiezan por infectar los equipos de los usuarios con bots de spam, (entre ellos mediante envíos maliciosos masivos) para que a su vez éstos empiecen a enviar spam.

La geografía del spam (países-fuente)

El cambio más notable en la geografía del spam fue el impresionante declive de la cantidad de correo basura enviado desde los EEUU. La causa es evidente: en EEUU había una gran cantidad de equipos infectados por Cutwail y a finales de agosto se clausuraron los centros de Pushdo/Cutwail. En septiembre el spam enviado desde EEUU se redujo a una tercera parte. En octubre EEUU cayó del primer o segundo lugar en el TOP20 al puesto decimoctavo (1,6% del spam) y en noviembre abandonó el TOP20 de los países-fuente de spam.

En la región asiática también se observó una caída del tráfico de spam.

Los spammers trataron de compensar su déficit de instrumentos desarrollando sus actividades en América del Sur y Europa.


Cambio en la distribución de regiones-fuente de spam,
agosto-septiembre de 2010

Como se ve en el gráfico, en septiembre Europa (tanto oriental como, en cierto grado, occidental) compensaba el deficitario tráfico de spam americano. A principios de otoño, aumentó el tráfico de spam enviado desde los países europeos, excepto Italia, Bulgaria y Lituania.

Si hablamos de los países de la región latinoamericana, hay que hacer notar a Brasil, donde el tráfico de spam aumentó en septiembre. Fue precisamente gracias a este país que la cantidad de spam en América Latina creció en más del 3%.

Sin embargo, los spammers no lograron compensar del todo las pérdidas sufridas en EEUU.

En octubre el spam proveniente de los países de Europa Occidental volvió a decaer. Al parecer, la lucha contra las botnets librada en Europa Occidental obligó a sus dueños a ser más precavidos y no exponer sus botnets en Alemania, Austria, Francia, Inglaterra y Holanda.

Al mismo tiempo, en el tráfico de correo empiezan a aumentar los mensajes indeseados provenientes de Asia y Europa Oriental, sobre todo de India y Rusia. Todo parece indicar que el culpable es la botnet Bredolab, que todavía funcionaba en septiembre y octubre.

Una gran parte de los equipos reclutados por Bredolab se encontraban, según nuestros datos, precisamente en los territorios de India y Rusia. Sin embargo Bredolab cerró y en noviembre la cantidad de spam enviada desde el territorio de Rusia (y por lo tanto, desde el territorio de toda Europa Occidental) se redujo significativamente.

Y aquí los spammers de nuevo recibieron ayuda de los envíos masivos de Europa Occidental. De esta manera, parece como si los spammers mecieran en un columpio a los países de Europa Occidental, por periodos enviando más spam desde allí, para luego desaparecer por un tiempo.

Los spammers también usan activamente los países asiáticos, en particular Vietnam e Indonesia para compensar sus pérdidas de otoño.

Envío de códigos maliciosos por correo

Los spammers no escatimaron esfuerzos para restablecer las botnets. Uno de los métodos a los que los delincuentes suelen recurrir para construir o desarrollar las botnets es enviar códigos maliciosos por correo. En enero seguimos con especial atención la geografía de estos envíos, porque las regiones a las que los delincuentes las enviaban deberían convertirse en lugares de organización de nuevas botnets (o de restablecimiento de las antiguas).

Tan pronto como los órganos del estado de los países con legislación desarrollada empezaron a prestar atención a las botnets que enviaban spam, desaparecieron los deseos de sus dueños de infectar equipos allí. La cantidad de reacciones de nuestro antivirus de correo en las regiones que antes lideraban empezó a bajar precipitadamente:

 
Reacciones del antivirus de correo en los países desarrollados,
agosto de 2010 – enero de 2011

En el gráfico se puede ver que la cantidad de detecciones del antivirus de correo en el territorio de EEUU, España, Italia e Inglaterra empezó a reducirse entre octubre y noviembre de 2010. En Japón y Francia este índice empezó a decaer en septiembre.

En este gráfico sólo la curva de las reacciones del antivirus de correo en Alemania tiene un comportamiento atípico. Durante octubre, en el territorio de este país las reacciones del antivirus de correo fueron más frecuentes que en septiembre y noviembre. Sin embargo, en este caso el pico no está relacionado con el envío masivo de bots-spam, sino con programas maliciosos de otro tipo.

Al mismo tiempo que se reducía la cantidad de reacciones del antivirus de correo en los países desarrollados, en muchos países asiáticos y de Europa Oriental empezó a crecer de golpe. Cuando enviaban bots-spam a los países occidentales, los delincuentes apostaban al alto nivel de computarización de esta región. En cambio, al enviar programas maliciosos a los países orientales, confiaban en el bajo nivel de formación informática de los usuarios de estos países y en la insuficiencia o ausencia de leyes contra el spam y el uso de códigos maliciosos.

 
Reacciones del antivirus de correo en los países orientales,
agosto de 2010 – enero de 2011

Sobre el contenido

La reducción de la cantidad total del spam y de la cantidad de spam enviado desde algunos países no son los únicos cambios que tuvieron lugar en el negocio del spam. Ahora analicemos los temas del spam y los cambios en la estructura del mercado spam (es decir, los clientes de los spammers).

¿Qué programa de afiliados elegir?

La clausura del programa de afiliados SpamIt, ocurrida el 1 de octubre, fue el suceso que más influencia tuvo sobre la distribución temática del spam. Cerca del 20 de septiembre de 2010, uno de los principales sistemas de afiliados, SpamIt, anunció su clausura.

El programa de afiliados, también conocido como “partnerka” es un método de marketing según el cual el vendedor no solo le paga a los spammers por enviar spam, sino también por cada nuevo cliente que consigan. En algunos casos el programa de afiliados lo puede organizar el mismo vendedor, pero con más frecuencia lo organizan terceros y lo convierten en un “lugar de encuentro” entre las compañías que ofrecen la mercadería y los spammers que están dispuestos a publicitarla. En el segundo caso, el dinero por cada nuevo cliente o el porcentaje de cada compra lo recibe no sólo el afiliado que difunde la publicidad (es decir, el spammer) sino también el organizador del programa de afiliados.

SpamIt era uno de los mayores programas de afiliados dedicados al spam farmacéutico. Y su clausura influyó en primer lugar en la cantidad de publicidad de determinados fármacos, en otras palabras, en la cantidad de mensajes que ofrecían Viagra. Después del 20 de septiembre este spam se redujo en una tercera parte, su cantidad en los flujos de spam cayó del 31% al 21% en sólo una semana. Al mismo tiempo empezó a crecer la cantidad de mensajes con códigos maliciosos: los spammers dejaron de enviar spam farmacéutico y empezaron a enviar malware. Cabe destacar que a principios de septiembre fuimos testigos del crecimiento del spam farmacéutico. Es posible que uno de los motivos sea que los afiliados, habiéndose enterado de la clausura antes que el público en general, hicieron un intento de ganar dinero con el tráfico de publicidad farmacéutica, mientras era todavía posible.

A pesar de que SpamIt es un sistema de gran envergadura entre los que se dedican al spam de fármacos, su clausura no significa que los usuarios dejarán de recibir publicidad de Viagra. En Internet sigue funcionando el sistema de afiliados Glavmed. Pero el 26 de octubre de 2010 la dirección de investigaciones de la policía del distrito central de Moscú dio un golpe a este programa de afiliados. Ese día se inició un proceso penal contra el director general de Desmedia S.R.L. Ígor Gúsiev, que según parece, estaba detrás de este programa.

Es curioso que a mediados de octubre, cuando los spammers ya se habían empezado a recuperar de la clausura de SpamIt y todavía no había empezado el escándalo del programa Glavmed, la cantidad de spam farmacéutico empezó a crecer de nuevo. Surge la impresión de que los spammers se habían recuperado de la clausurs de SpamIt y decidieron de nuevo volver a los envíos de viagra. Pero el proceso iniciado a Ígor Gúsiev echó a perder sus planes y la cantidad de este tipo de envíos empezó a bajar. Durante noviembre y diciembre la cantidad de spam que publicitaba Viagra se mantuvo en un nivel bajo sin precedentes, 8-12%. Esto es un indicio de que el serio aumento de la atención prestada por los órganos del estado al spam farmacéutico asustó a una gran parte de los delincuentes.

Habiendo perdido la parte de las ganancias que les proporcionaba el spam farmacéutico, los spammers hicieron esfuerzos para encontrar otra fuente de lucro. Al parecer, la tarea era ardua, porque hasta finales de año (sobre todo en noviembre) usaron diferentes programas de afiliados.


Cambios en las categorías temáticas del spam,
septiembre de 2010 – enero de 2011

La publicidad de imitaciones de artículos de lujo tuvo dos grandes picos. El primero ocurrió en el momento de la baja del spam farmacéutico a finales de septiembre – principios de octubre. Entonces la cantidad de spam con publicidad de imitaciones de artículos de lujo subió en más del 10%. Pero, según todas las apariencias, este tipo de envíos decepcionó a los spammers y no les trajo las ganancias esperadas, porque durante octubre los envíos se empezaron a reducir y a finales de mes su cantidad no superaba el 5%. Pero en diciembre, antes de las fiestas, a los spammers les llegó la esperanza de lucrar con la venta de imitaciones. Esto provocó el segundo pico de las actividades de estos envíos.

A finales de octubre, cuando el volumen de spam farmacéutico ya se había reducido notablemente y los intentos de sustituirla por la publicidad de imitaciones de artículos de lujo fracasaron, se hicieron más masivos los envíos que publicitaban casas de juego online. A principios de noviembre estos envíos constituían ya más del 15% del tráfico de spam. Sin embargo, a finales de mes este spam desapareció casi del todo en los buzones de los usuarios, lo que muestra que estos envío no encontraron a sus clientes.

El spam que contenía publicidad de sitios pornográficos y de búsqueda de pareja creció en la tercera semana noviembre. Pero después la cantidad de publicidad de sitios pornográficos y de búsqueda de pareja empezó a decaer. Vale la pena destacar que la cantidad de envíos pornográficos, fue casi insignificante hasta finales de agosto de 2010, pero con el comienzo del otoño creció y se afianzó en su posición del 4-5%.

Conclusión

El tempestuoso final que para el mundo del spam tuvo 2010 recordó una vez más a la sociedad una sencilla verdad: la lucha contra el spam sólo es efectiva cuando participan los órganos del estado.

La industria antispam trabaja para proteger los buzones de los usuarios y no se involucra en la captura de spammers o la clausura de las botnets. Nuestra compañía tiene otras tareas y otras posibilidades.

El trabajo efectivo de los órganos del estado en 2010 produjo una caída del 50% en los volúmenes de spam. Sin duda, es un gran logro. Pero los spammers y los dueños de botnets no dejarán tan fácilmente un negocio al que están acostumbrados y que les trae tantas ganancias. Bastaron dos meses de tranquilidad (diciembre y enero) para que pudieran hacer importantes pasos en el restablecimiento de sus capacidades. A finales de enero el volumen de spam alcanzó el nivel de septiembre de 2010, es decir, el de antes de la clausura de Bredolab.

Sólo el principio de enero es un elemento discordante en el cuadro del restablecimiento de las capacidades, porque entonces, debido a las largas vacaciones de fin de año, muchos equipos infectados estaban apagados, lo que provocó una reducción notable de la cantidad de spam entre el 1 y 10 de enero. Algunos días la cantidad de spam en el tráfico de correo caía hasta en un 80%.

La distribución de las reacciones del antivirus de correo según países a principios de 2011 también está volviendo a sus índices de costumbre: los usuarios de los países desarrollados desde el punto de vista informático han empezado de nuevo a recibir códigos maliciosos por correo, como también los países de Asia Oriental.

En enero no sólo se estabilizaron los índices cuantitativos del spam, sino también su composición temática.

En el tráfico de spam de enero subió la cantidad de publicidad de Viagra. A principios de enero se observó un salto brusco, cuando los mensajes que publicitaban fármacos ocuparon la cuarta parte del tráfico. Sin embargo, hay que tener en cuenta que a principios de año los spammers en general estuvieron menos activos. Es muy probable que el embate de la publicidad de fármacos fuese condicionado porque los dueños de las botnets se fueron de vacaciones. Al parecer, muchos dueños de botnets que se iban de vacaciones dieron a sus redes zombi la orden de enviar el viejo y bueno spam farmacéutico, para no tener que esforzarse en buscar otros clientes. Cuando terminaron las largas vacaciones de fin de año, el porcentaje de spam con publicidad de fármacos empezó a bajar poco a poco. A finales de mes este spam representaba solo el 13,5% del total de mensajes spam. Pero incluso esta cifra es un 4% mayor que la media de diciembre.

Febrero, el tercer mes de tranquilidad, estuvo marcado por el subsiguiente incremento del porcentaje de spam en el tráfico de correo (subió en un 1,1%) y el aumento del volumen de spam enviado desde EEUU (hasta el 3,5%), como también por la activación de los envíos masivos de spam malicioso en este país, donde el porcentaje de reacciones del antivirus de correo constituyó el 10,6%.

Podemos sacar una importante conclusión de los sucesos de 2010: la imperfección de las leyes antispam crea condiciones favorables para las actividades de los delincuentes, que eluden con facilidad su castigo yéndose a otro país, y en caso de peligro, también trasladan sus botnets. Para optimizar la lucha contra la lacra internacional que es el spam, es imprescindible contar con sólidas bases legislativas, no sólo en algunos países desarrollados, sino en todo el mundo, pues Internet funciona en todos los países.

Para abril o mayo creemos que los volúmenes del tráfico de spam volverán al nivel del verano de 2010. Por supuesto, eso sucederá si los órganos del estado no le dan un golpe más a este negocio criminal.

La lucha contra el spam: la ley entra en acción

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada