Julio 2006

La inteligencia del spam

De acuerdo con un estudio de la empresa de seguridad informática IronPort Systems, la nueva tendencia del spam es enviar imágenes que se reciben en forma de texto y gráficos como si fueran correos de HTML, lo que dificulta a las computadoras reconocer los textos alterados. Esta modalidad ha aumentado de manera sorprendente: en junio de 2005 no alcanzaba el 1%, pero en junio de 2006 ha llegado al 12% de los correos “basura”. Esto representa más de cinco mil millones de mensajes con imágenes spam enviados diariamente, 78% de los cuales pasan inadvertidos por los filtros antispam de primera y segunda generación.

El estudio se ha realizado utilizando la red SenderBase, la cual representa el 25% de la información del tráfico mundial de correo electrónico proveniente de más de 100 mil proveedores de servicios de Internet (ISPs), universidades y empresas alrededor del mundo.

Según el estudio, la tecnología antispam tradicional analiza las palabras de los mensajes y utiliza complejos mecanismos de clasificación para determinar si se trata de mensajes spam o no. Si el mensaje contiene las palabras “Viagra,” “herbal” o “free”, entonces la considera como un correo spam. Este método facilita a los spammers disfrazar las palabras para evadir dichos filtros, y estos a su vez, eliminan periódicamente mensajes legítimos, lo cual resulta inaceptable para la mayoría de los usuarios.

Otra técnica utilizada por los spammers es el aumento significativo en la velocidad de los ataques sorpresa. Actualmente, más del 80% del spam proviene de PCs “zombis” (computadoras infectadas), que por lo regular pertenecen a una red de banda ancha secuestrada por estos individuos cambian, quienes constantemente las direcciones IP (Protocolo Internet) desde donde se originan los ataques spam.

En junio de 2005, la vigencia promedio de un dominio publicado en un mensaje spam era de 48 horas, tiempo suficiente para que las “listas negras” estáticas del URL (Localizador Uniforme de Recursos en la red) identificaran y bloquearan los mensajes que contenían los enlaces web falsos. Sólo un año después, la duración promedio de un URL spam ha disminuido a menos de cuatro horas. Esto significa que cuando las listas tradicionales de bloqueo identifican y registran un URL peligroso, el mensaje spam ya llegó a sus víctimas y el spammer puede continuar enviando correos desde un dominio nuevo.

Aunque a finales de 2005, la tasa de crecimiento del spam empezó a disminuir (después de haber mantenido un aumento de más del 100% en los últimos dos años), este respiro fue breve, pues durante los últimos seis meses, “ha aumentado de manera impresionante”, señala el documento: De abril a junio de 2006, el volumen de spam ha crecido 40% a nivel mundial. Asimismo, “los spammers están precisando mejor la intensidad de sus ataques. Cuando los spammers más sofisticados lanzan una nueva ola de imágenes spam al azar, generalmente se enfocan en un área geográfica, un ISP o incluso una empresa en específico”.

Los spammers también registran dominios por cortos periodos y dejan que expiren antes de pagar la cuota correspondiente. En abril se registraron más de 35 millones de dominios, de los cuales 32 millones expiraron cinco días después. Esto elimina prácticamente el costo de registro de dominios para los spammers, y sobrepasa la capacidad de las listas negras tradicionales de URLs que no pueden actualizarse con la rapidez necesaria y seguir el ritmo del surgimiento de nuevos dominios.