Spam en el primer trimestre de 2011

• Spam en el tráfico de correo y clausuras de redes zombis
• Spam: temas candentes
• Orígenes de spam por país
• Orígenes de spam por región
• Tamaño de los mensajes spam
• Programas maliciosos en el tráfico de correo
• Phishing
• Ardides y técnicas Spam
• Internet en Rusia: categorías de spam
• Conclusión

Spam en el tráfico de correo y clausuras de redes zombis

Después de la proactiva campaña anti-botnets que se llevó a cabo en el segundo semestre de 2010, resultó especialmente interesante el seguimiento de las evoluciones que se dieron a principios de 2011. Tal como habíamos pronosticado, el volumen de spam en el tráfico de correo comenzó a aumentar gradualmente. Sin embargo, la cantidad promedio de mensajes no deseados en el tráfico de correo sigue siendo baja y no ha sobrepasado el 80%.

Spam en el tráfico de correo en el tercer trimestre de 2010 y en el primer trimestre de 2011

El volumen de spam detectado en el tráfico de correo en el primer trimestre de 2011 alcanzó un promedio del 78,6%, con un incremento del 1,4% en comparación con el trimestre precedente, aunque estuvo un 6,5% por debajo de la cifra registrada en el mismo periodo del año pasado. El mínimo registrado fue del 60,7% el 5 de enero, y el máximo del 87,7% el 23 de enero.

Entre los sucesos más importantes en el primer trimestre de 2011, está la clausura de los centros de control de la red zombi Rustock, el 16 de marzo. Rustock, una de las principales propagadoras de spam, es una antigua red con un diseño muy complejo.

Sin embargo, la clausura de Rustock no impactó en el tráfico de spam de forma tan contundente como lo hizo la clausura de las redes zombis Pushdo/Cutwail y Bredolab el año pasado: el volumen de spam se redujo en un 2-3% durante un día o dos antes de volver a sus niveles habituales. Estas leves fluctuaciones ni siquiera afectaron el promedio registrado en marzo. Algunos expertos afirman que Rustock dejó de lanzar ataques de spam a fines del año pasado. Esto puede deberse a la clausura de Spamlt, un voluminoso programa asociado de productos farmacéuticos, o al hecho de que Rustock se especializaba en mensajes spam con contenidos farmacéuticos, o quizás a que esta red zombi se estaba usando con distintos propósitos. También es posible que los mismos ciberdelincuentes adoptasen un perfil bajo a causa de la acción de las autoridades contra las redes zombis a fines de 2010. Sin embargo, es improbable que reparen los daños sufridos y es más factible que intenten crear una nueva red zombi.

Como puede verse, el volumen de spam sigue aumentando a pesar de los grandes esfuerzos desplegados en su contra; tanto es así que están apareciendo nuevas redes zombis en reemplazo de las clausuradas. Por ejemplo, los Top 10 programas maliciosos del primer trimestre se propagaron a través de correo, incluyendo la familia del gusano Bagle, un programa que envía sus propias copias a todos los contactos en un ordenador infectado, y descarga programas maliciosos en el nuevo ordenador capturado.

Spam: temas candentes

Sucede a menudo que los creadores de spam, o spammers, no pierden la oportunidad de aprovecharse de eventos populares y fiestas. Por ejemplo, intentaron atraer la atención de los usuarios hacia sus artículos y servicios recordándoles celebraciones como el 23 de febrero (Día de los defensores de la patria en Rusia), el 8 de marzo (Día internacional de la mujer) y San Valentín. La Copa mundial de cricket de 2011 tampoco pasó desapercibida para los ciberdelincuentes: aprovecharon este tema para intentar embaucar a usuarios desprevenidos.

 
Un mensaje no deseado en el que se explota un tema popular

Por desgracia, el primer trimestre estuvo marcado por varios dramáticos eventos mundiales: caída de gobiernos, terremotos y un devastador tsunami. No hace falta decir que los spammers trataron de sacar provecho de estos lamentables hechos. Por ejemplo, buscaron lucrar con el desastre en Japón de dos maneras:

• Enviando mensajes de correo con enlaces a una supuesta información relevante, pero que en realidad conducían a sitios web maliciosos;

   
  

• Engañando a los usuarios para que donen su dinero supuestamente a nombre de la Cruz Roja.

   
  

El usuario cuidadoso se daría cuenta de que los mensajes de los estafadores aparentemente provenían del sistema de correo de la Cruz Roja (aparecía @redcross.org en el campo del remitente), mientras que la respuesta debía enviarse a direcciones de sistemas gratuitos de correo. Con toda certeza, la Cruz Roja nunca pediría a nadie que transferir donaciones a través de Western Union.

Orígenes de spam por país

En el primer trimestre de 2011, la cantidad de mensajes spam provenientes de países líderes en la producción de spam fue muy similar; en ningún caso excedía el 10% del volumen total de spam.

 
Orígenes de spam en el primer trimestre de 2011

India encabezó la lista de los Top 20 orígenes de spam: en noviembre de 2009 se ubicó entre los Top 5, y desde entonces su contribución al volumen total de spam a nivel mundial ha crecido de manera sostenida. Destronó a los EE.UU. del primer lugar con toda facilidad, después de que este país comenzara a caer en picado en la clasificación. Rusia y Brasil, que anteriormente habían ocupado la 2? y la 6? posiciones, respectivamente, en el primer trimestre ocuparon la 2? y la 3?. La participación de Brasil también creció durante este trimestre , alcanzando en marzo el 6,62% del volumen total de spam a nivel mundial.

EE.UU., que cayó a la 20? posición en el trimestre anterior después de la clausura de varios centros de control de redes zombis, comienza ahora a recuperar posiciones de manera sostenida. En el primer trimestre de 2011, el 2,97% de todo el spam provino de EE.UU., situando a este país en el 11? lugar de los Top 20. Con toda seguridad, EE.UU. seguirá escalando posiciones en los próximos meses. Esto también se confirma por el hecho de que en marzo, EE.UU. ocupó la 2? posición en la clasificación de países en los que con mayor frecuencia se detectaron programas maliciosos en el tráfico de correo: después de la clausura de las redes zombis Pushdo/Cutwail, Bredolab y Rustock, los ciberdelincuentes están concentrando todos sus esfuerzos en la creación de nuevas redes zombis y en la ampliación de las existentes.

Orígenes de spam por región

El primer trimestre de 2011 se diferencia muy poco del último trimestre de 2010: los líderes se mantuvieron como tales. Sin embargo se produjeron algunos cambios.

 
Orígenes de spam por región

En el primer trimestre de 2011, la participación de Asia en el volumen total de spam a nivel mundial creció levemente. Previamente definimos que esta región estaba compuesta por Asia, las islas del Pacífico y el Medio Oriente. Sin embargo, ahora la contribución de esta región es tan significativa que hemos decidido subdividirla en tres áreas geográficas diferentes: Asia, Medio Oriente y las islas del Pacífico. El volumen total de spam propagado desde estas regiones alcanzó el 36,39% en el primer trimestre de 2011.

Latinoamérica también incrementó su participación en un 3,85%, mientras que el volumen de spam proveniente de Europa occidental y oriental cayó en un 5,64% y un 2,36%, respectivamente. Habíamos previsto que esto pasaría debido a la relocalización de las redes zombis hacia países en los que las medidas contra la ciberdelincuencia son ineficaces o aún no se toman muy en serio a nivel de estado.

África se encuentra entre las regiones en las que la lucha contra la ciberdelincuencia prácticamente no existe. No hemos considerado África como una región separada porque el volumen de spam proveniente de esta región no sobrepasó el 1% del volumen total. Sin embargo, en el primer trimestre de 2011, el volumen de mensajes no deseados provenientes de países africanos alcanzó el 3,66% del volumen total de spam a nivel mundial, superando a EE.UU. y Canadá. Una débil legislación anti-spam y la falta de competencia en tecnología informática son caldo de cultivo para el aumento del volumen de spam desde esta región.

Tamaño de los mensajes spam

Mensajes spam por tamaño en el primer trimestre de 2011

Los mensajes con menos de 5 KB siguieron dominando el tráfico de correo spam, y casi el 30% de todos los mensajes no deseados eran menores a 1 KB. Por lo general, estos mensajes contienen una corta frase publicitaria y un enlace a un sitio web.

Llama la atención que los mensajes de más de 50 KB también fueron muy comunes: alcanzaron el 20,73% del volumen total de spam. En su mayoría, se trataba de mensaje con distintos adjuntos con los que los spammers esperaban burlar los filtros anti-spam.

Programas maliciosos en el tráfico de correo

En el primer trimestre de 2011, el porcentaje promedio de mensajes con adjuntos maliciosos se incrementó en casi un 0,5%, alcanzando el 3,05%. El gráfico a continuación muestra la distribución de mensajes spam con códigos maliciosos, mes por mes, durante el primer trimestre de 2011.

Porcentaje de spam con adjuntos maliciosos en el primer trimestre de 2011

Los índices de detección antivirus de mensajes de correo en distintos países en el primer trimestre de 2001 fueron los siguientes:

 
Índices de detección antivirus de mensajes de correo en distintos países en el primer trimestre de 2001

Como muestra el gráfico, Rusia tomó la delantera con el 13% del total de la detección anti-virus de mensajes. EE.UU. se colocó en la 2? posición con el 10,44%, seguido por Vietnam con el 6,96%, y por India con el 5,99%.

Vale la pena mencionar que todos los países arriba mencionados cambiaron sus posiciones durante el trimestre. El siguiente gráfico muestra que en enero los adjuntos maliciosos se encontraban frecuentemente en mensajes provenientes de Vietnam y de India. Sin embargo, en febrero la cantidad de programas maliciosos detectados en el tráfico de correo en estos países disminuyó notoriamente. En marzo, las cifras de Vietnam permanecieron estables en comparación a las de febrero, mientras que las de India siguieron declinando.

 
Detección antivirus en mensajes de correo en el primer trimestre de 2011

El volumen de spam malicioso proveniente de EE.UU. creció considerablemente en febrero, y continuó aumentando en marzo. Los usuarios en Italia y en Reino Unido también recibieron más mensajes spam maliciosos, aunque de manera menos pronunciada.

Estos cambios muy probablemente se debieron a que los dueños de redes zombis intentaban restaurar sus redes en EE.UU. y en algunos países europeos. Al mismo tiempo, decaía su interés en los países asiáticos: dado el volumen de spam proveniente de países asiáticos, las redes zombis en estas regiones ya contaban con una considerable cantidad de máquinas. Además, esta región resulta poco atractiva para los ciberdelincuentes como blanco para sus ataques dirigidos al robo de información personal y financiera.

En el primer trimestre de 2011, el troyano Trojan-Spy.HTML.Fraud.gen mantuvo su posición de líder del Top 10 de programas maliciosos distribuidos por correo. Este troyano usa tecnología spoofing y aparece como una página HTML. Viene en un mensaje phishing con un enlace a un sitio web falso que simula ser el de un reconocido banco o de un sistema de pago electrónico, en el que se le pide al usuario que introduzca su nombre de usuario y su contraseña. Para saber más sobre este programa, visite: http://www.securelist.com/en/descriptions/161696/Trojan-Spy.HTML.Fraud.gen.

 
Top 10 programas maliciosos distribuidos por mensajes de correo en noviembre de 2010

El programa malicioso más sobresaliente que aparece en los Top 10 y que se expande por correo es el gusano de correo. El objetivo principal de programas maliciosos como este es el de recopilar direcciones de correo y propagarse a través del tráfico de correo. Entre los ejemplos más representativos, están: Email-Worm.Win32.Mydoom.m y Email-Worm.Win32.NetSky.q. El funcionamiento de los gusanos Email-Worm.Win32.Agent.gnd y Email-Worm.Win32.Bagle.gt es más sofisticado que el de los gusanos mencionados anteriormente. Estos dos gusanos no sólo pueden recopilar direcciones de correo y propagarse a través del tráfico de correo, sino que también son capaces de instalar otros programas maliciosos una vez que han infectado un ordenador. Resulta interesante que el gusano Email-Worm.Win32.Agent.gnd suele instalar descargadores de troyanos que de inmediato intentan acceder a recursos de Internet para proceder a descargar otros programas maliciosos, mientras que Email-Worm.Win32.Bagle.gt descarga por sí mismo programas maliciosos desde recursos de Internet.

Además de los programas maliciosos antes mencionados, en el Top 10 del primer trimestre también aparecía el troyano Trojan-Spy.Win32.SpyEyes.fpv, un programa malicioso espía que roba información confidencial de los usuarios cautivos. Los programas de esta familia fueron particularmente populares en marzo, aunque los ataques maliciosos que los contenían aparecieron en febrero. Más de la mitad de los programas maliciosos en el Top 10 de marzo que se propagaron a través del tráfico de correo pertenecían a la familia del troyano Trojan-Downloader.Win32.Deliver. Este tipo de programa está clasificado como un descargador de troyanos que instala nuevas versiones de programas maliciosos en los equipos capturados sin que el usuario se entere de ello.

Phishing

En el primer trimestre de 2011, el volumen de mensajes no deseados de tipo phishing fue muy bajo y representó apenas el 0,03% de todo el tráfico de correo.

Resulta interesante notar que el porcentaje de mensajes phishing en el total del tráfico de correo se mantuvo sin cambios a través de todo el periodo. En los dos primeros meses se mantuvo en un 0,03%, mientras que en marzo decayó levemente, llegando al 0,02%.

Porcentaje de mensajes phishing en el tráfico de correo durante el primer trimestre de 2011

En el primer trimestre de 2011, PayPal y eBay mantuvieron su sólido liderazgo entre las organizaciones atacadas con mayor frecuencia por los creadores de mensajes phishing, o phishers, mientras que Facebook cayó al 4? lugar y HSBC descendió al 5?.

 
Top 10 de las organizaciones más atacadas por phishers en el primer trimestre de 2011

El sitio de la red social Habbo superó a Facebook, alcanzando el 3? lugar en cuanto a su popularidad entre los spammers.

World of Warcraft solía ser un blanco preferido entre los phishers, pero cayó a la 7? posición en el primer trimestre de 2011, cediendo posiciones ante los bancos Chase y Santander.

Resulta llamativo que Google, que ocupaba la 5? posición a fines de 2010 con un 2,5%, ya no estuviera entre los Top 10 en el primer trimestre de 2011, puesto que los servicios como Google AdWords y Google Checkout sufrieron ataques menos frecuentes. Esta vez los phishers desviaron su atención hacia la muy popular red social brasileña Orkut, propiedad de Google. Los ataques a esta red social alcanzaron el 1,96% del total, colocándola en la 12? posición de la lista de organizaciones preferidas por los ataques de los phishers. Las cifras muestran que la cantidad total de ataques contra Orkut y otros servicios de Google llegó a ser el 3,03% de todos los ataques phishing durante el primer trimestre de 2011. Vale la pena mencionar que las cuentas de los usuarios de los servicios de Google, incluyendo Orkut, están interconectadas. Entonces, después de hacerse con las credenciales de una de estas cuentas, un ciberdelincuente puede acceder a cualquier servicio de Google registrado al mismo usuario.

Ardides y técnicas Spam

En el primer trimestre de 2011, los spammers usaron tanto técnicas y ardides probados y confiables como nuevos para intentar burlar los filtros antispam y atraer así la atención de usuarios desprevenidos.

Uno de estos trucos consistía en enviar mensajes spam con un enlace a un video clip. El mensaje contenía sólo el vínculo, sin ningún texto, que conducía a los usuarios al video clip que publicitaba servicios de spammers. Aparentemente, los spammers decidieron jugar con la curiosidad de los usuarios, pues un enlace sin ninguna explicación tiene muchas posibilidades de ser activado por destinatarios descuidados.

 
Un mensaje spam con un enlace a una publicidad sobre servicios de spammers

Esta técnica ya se usó en 2009, pero con una diferencia: hace dos años los video clips se encontraban en YouTube.com, mientras que en 2011, los spammers prefirieron su análogo ruso, RuTube.ru. Sin embargo, los mencionados trucos publicitarios fueron un completo fracaso tanto en 2009 como a principios de 2011, ya que la cantidad de enlaces a los video clips era reducido y los filtros anti-spam los detectaron con facilidad.

Otra novedosa táctica de los spammers diseñada para burlar los filtros anti-spam, consistía en enviar mensajes que supuestamente provenían de usuarios indignados de recibir mensajes spam.

 
Un mensaje spam supuestamente procedente de un usuario enojado por recibir mensajes spam

Anteriormente discutimos los falsos mensajes “Fuera de la oficina” de respuesta automática, con un enlace que conducía a sitios de spammers. Ahora los estafadores están imitando las respuestas de los usuarios. No resulta evidente en principio que un mensaje que diga “Dejen de enviarme spam” sea en realidad un mensaje spam y que el enlace que contiene conduzca al sitio de un spammer.

Las falsas notificaciones de reconocidos recursos web como Twitter, Facebook, Amazon, etc. se mantuvieron relativamente populares entre los spammers.

 
Una falsa notificación de un popular recurso web

Los enlaces en estos mensajes pueden conducir a un sitio publicitario o descargar programas maliciosos en el equipo infectado.

Internet en Rusia: categorías de spam

En el primer trimestre de 2011, la mayoría de los mensajes spam publicitaron seminarios y capacitaciones. La categoría Medicamentos y artículos y servicios de salud se colocó en la 2? posición, seguida por la categoría Servicios de publicidad electrónica.

 
Categorías de spam en el primer trimestre de 2011

Resulta llamativo que en enero de 2011, las dos principales categorías, Educación, y Medicamentos y artículos y servicios de salud, estuvieran prácticamente empatadas. Sin embargo, en marzo el volumen de mensajes de la categoría Educación superaron por mucho a los de Medicamentos. Se enviaron grandes cantidades de mensajes spam “educacionales” a millones de direcciones, llegando repetidamente a un mismo destinatario.

Las categorías Educación, y Medicamentos y artículos y servicios de salud en el primer trimestre de 2011

Se considera que la categoría Educación es “spam-a-solicitud”, puesto que un cliente busca activamente la ayuda de spammers y paga por sus servicios. La categoría Medicamentos es un típico ejemplo de “spam asociado”, puesto que los spammers organizan envíos masivos y reciben un porcentaje en efectivo por los artículos vendidos. En el último trimestre del año pasado, el volumen de “spam asociado” comenzó a decaer, mientras que el de “spam-a-solicitud” comenzó a crecer. Esta relocalización se debe fundamentalmente a la clausura de los centros de control de las redes zombis Pushdo/Cutwail y Bredolab, y al cierre del programa asociado Spamlt. El hecho de que esta tendencia continuara durante el primer trimestre de 2011 puede deberse a la clausura de los centros de control de la red zombi Rustock.

 
Spam a solicitud y asociado desde octubre de 2010 a marzo de 2011

Como muestra el gráfico, la tendencia antes mencionada sólo se interrumpió en enero, lo cual se preveía porque durante las largas vacaciones nadie solicita publicidad, por lo que no se generan ingresos, mientras que el “spam asociado” se envía de todas maneras, aunque en menores cantidades. La cantidad total de spam en el tráfico de correo al principio del año estuvo cinco veces por debajo de los niveles habituales.

Respecto a las categorías de spam, en el primer trimestre de 2011 se registraron muchos mensajes que no seguían el acostumbrado formato spam: en los preliminares del supuesto escenario del juicio final de 2012, los spammers están ofreciendo a los usuarios la oportunidad de aprender a viajar en el tiempo y de comprar un arca. También les recuerdan que los sobornos y la corrupción son inaceptables.

 
Un mensaje spam con formato distinto al habitual enviado durante el primer trimestre de 2011

Mucha gente cree que el 21 de diciembre de 2012 será el último día de la humanidad. Esto podría afectar el contenido de algunos envíos masivos. Si ahora ya estamos encontrando mensajes que explotan el tema del día del juicio final, será interesante ver la cantidad que aparecerá cuando se aproxime la fecha del “evento”.

Conclusión

El volumen de spam en el tráfico de correo después de la clausura el año pasado de los centros de control de redes zombis aún no ha vuelto a sus niveles anteriores, aunque se ha incrementado llamativamente. Es casi seguro que en el próximo trimestre superen el 80%, si es que no se repite un ataque contra las redes zombis por parte de las autoridades. La clausura de los centros de control de la red zombi Rustock ha tenido un efecto en las estadísticas del primer trimestre de 2011, pero parece que los ciberdelincuentes ya estaban preparados para este evento o respondieron rápidamente a la situación, pues la clausura de los centros de control no afectó seriamente el volumen total de spam.

Respecto a los orígenes de spam, se han cumplido nuestras previsiones sobre la relocalización de las redes zombis hacia regiones con débil legislación antispam y bajos niveles de competencia en tecnología informática. La contribución de Asia y Latinoamérica al volumen total de spam a nivel mundial se ha incrementado, mientras que la de Europa se ha reducido. Prevemos que en el futuro, los ciberdelincuentes instalarán sus redes zombis tanto en las regiones menos protegidas como en las mejor protegidas, tal como sucede ahora.

El volumen de adjuntos maliciosos en el tráfico de correo sigue manteniéndose alto, tal como el año pasado. La situación seguirá sin cambios hasta que nuevas redes zombis reemplacen a las que fueron clausuradas: la actividad spam ha sido criminalizada hace ya tiempo y resulta sorprendente que solo el año pasado comenzaran a aparecer tan grandes cantidades de programas maliciosos.

En el primer trimestre de 2011, los spammers prefirieron recurrir a técnicas ya probadas y confiables. Se distribuyó spam relacionado con videos y se intentó imitar los mensajes de los propios usuarios. El spam relacionado con videos no tuvo y no tendrá éxito mientras sigan siendo populares entre los spammers los falsos mensajes de usuario y la correspondencia personal. Es muy probable que seamos testigos de un cambio en las tácticas spam en el próximo trimestre.

Una vez más, aconsejamos a los usuarios que permanezcan atentos y verifiquen la autenticidad de los mensajes que reciben antes de abrir cualquier adjunto o activar cualquier enlace.