22:58 26/01/03
 

TÉCNICOS Y GOBIERNOS SACAN LA ARTILLERÍA PESADA CONTRA EL "SPAM"

El correo comercial no deseado ha subido en un año del 8 al 40% del total de mensajes recibidos por los internautas

Mercè Molist
"Todo el sistema de correo de Internet está bajo un bombardeo constante, un ataque de Denegación de Servicio en toda regla", denunció Barry Shein, presidente de "The World", un pionero proveedor norteamericano, durante la primera "Conferencia sobre el spam", celebrada en Cambridge. De los 15 asistentes esperados, se llegó a más de 500 y es que los técnicos, como los usuarios, están hartos. Tanto, que la mayoría no duda en pedir ayuda a los gobiernos.

Algunos le sacan la puntilla. Como los creadores de "SpamWars", un juego que invita a "luchar contra el demonio que quiere 'espamearte' hasta la muerte". No van errados: desde 1978, cuando DEC envió el primer correo comercial no solicitado a ArpaNet, el volumen de "correo basura" o "spam" ha crecido hasta ser la queja número uno de los internautas. Y un problema de seguridad peor que los virus: saturación de redes, abuso de servicios, fraudes, daños a la privacidad e, incluso, instalación de programas sin permiso a usuarios de Microsoft.

A finales de enero llegaba al colmo: el registrador de dominios británicos tenía que suspender ocho horas su servicio "whois", de identificación de dueños de dominios, por el ataque de unos "spammers" que querían robar su base de datos. En un comunicado, Nominet UK afirmaba: "Alguien muy persistente ha intentado conseguir una copia detallada del registro .uk. El ataque consiste en hacer preguntas sistemáticamente al servidor "whois", desde cientos de servidores". La misma treta se ha usado contra Hotmail y otros proveedores de correo gratuito.

Más leyes
¿Podría una ley transnacional ser un buen método anti-spam? se preguntan cada vez más técnicos. En los Estados Unidos, la Federal Trade Commission ha empezado a investigar a "spammers" y algunas compañías han ganado juicios contra éstos, como America Online o el Ministerio de Justicia de Nueva York. Aunque la mayoría de estados tiene legislación "anti-spam", el Senado ultima el borrador de una ley nacional que obligará a consignar "ADV" en los envíos comerciales, después que la Direct Marketing Association, que hasta ahora se negaba, esté de acuerdo.

En Europa, una directiva del año pasado mantiene el correo basura fuera de la ley: sólo se puede enviar a personas que lo consientan (sistema "opt-in"). Lo mismo dice la española Ley de Servicios de la Sociedad de la Información (LSSI). Según el Ministerio de Ciencia y Tecnología, el "spam" en España puede denunciarse "contactando con una asociación de consumidores o con la Secretaría de Telecomunicaciones, por correo, teléfono o usando el formulario de la sección "Consultas" de www.lssi.es".

La Asociación de Usuarios de Internet acaba de poner en marcha la "I Campaña contra el correo no solicitado", con la colaboración de grandes compañías como Telefónica o Wanadoo e instituciones como el Ministerio de Ciencia y Tecnología, que formarán un grupo de trabajo para dirimir el problema. Además, en su web, la Asociación ofrece consejos, una completa guía de denuncia y una idea: que la administración facilite cuentas de correo gratuitas sometidas a controles de calidad.

Pero un reciente estudio de la Asociación de Internautas concluye: "A pesar de la LSSI, el problema del "spam" dista mucho de estar resuelto en España, porque el 75% viene de fuera de la Unión Europea. Otro problema son los datos personales. En ningún caso se hace constar su origen o cómo acceder a ellos. Además, la empresa remitente no se identifica en forma legal". Precisamente, la Agencia de Protección de Datos abría en octubre del año pasado un expediente sancionador a "Guía de Empresas Internet", por mandar "spam" a direcciones de empresas, procedentes de una base de datos de pago.

"180.000 mails de España, 650.000 mails Resto del Mundo, 15.000.000 mails de Estados Unidos. Incluye el mejor programa de envío de publicidad, con instrucciones para que no lo detecte su servidor. Costo total: 100 dólares", anuncian los vendedores de estos directorios, en un típico "spam". Rob West, autor del "Spamdemic Map", que documenta gráficamente los saltos entre bases de datos que siguen las direcciones de correo, asegura: "Se han convertido en divisa de un juego financiero que mueve rápidamente bases de datos con información de consumidores".

Primero, se recolectan las direcciones en páginas web y foros públicos. Después, se venden a compañías de "marketing", que pagan un tanto (desde unos céntimos a un euro) por cada nombre. Estas listas pueden venderse después a compañías legítimas, que creen estar comprando direcciones de consumidores que han dado su consentimiento. El "spam" ilegal se envía desde direcciones falsas, robando el ancho de banda de proveedores que tienen inadvertidamente abierto el puerto de envío de su servidor de correo. Las redes inalámbricas, en su mayoría desprotegidas, son también usadas por los "spammers".

Cruzada técnica
Recientemente, Scott Fahlman, conocido por haber usado el primer emoticón, proponía cobrar por recibir "spam", aunque para ello se necesitarían nuevos programas. Una idea parecida, que ya está en uso pero sin dinero, es el "filtrado inverso" o "listas blancas": el servidor de correo no deja entrar ningún mensaje que no esté en una lista aprobada por el usuario. Si alguien nuevo envía una carta, se le responde con instrucciones para entrar en la lista blanca.

Pero el arma más frecuente, a nivel de grandes sistemas, son las "listas negras", que bloquean la entrada a mensajes de proveedores que envían "spam". En España, la red académica RedIRIS está haciendo pruebas piloto con un sistema propio de lista negra, la Plataforma Unificada AntiSpam, que permite a la comunidad rechazar correo basura de forma unida y con una política común. Algunos técnicos de proveedores españoles han mostrado, en el foro "Abuso en el Correo Electrónico", su disposición a crear una plataforma parecida.

"Lo más importante de PUAS es que, a diferencia de otras listas negras, es la comunidad académica quien bloquea las direcciones que han enviado "spam" y quien decide las penalizaciones temporales: primero, 2 horas; si vuelve a reincidir, un día, y así sucesivamente. Los usuarios envían el "spam" que reciben a la central de RedIRIS, que analiza cabeceras y contabiliza: número de denuncias, número de universidades afectadas y veces que ya ha estado en la base de datos. El resultado final se refleja en el servidor que chequea el correo entrante de cualquier universidad", explica su promotor, Jesús Sanz de las Heras.

Pero, en el último año, han crecido las críticas contra las listas negras: Philip Jacob, en su estudio "The Spam Problem", denuncia que bloquean de forma demasiado general, lo que afecta a usuarios legítimos del proveedor denunciado: "Un buen número de "spam" se envía a través de servidores inseguros de Asia y Suramérica, por lo que se filtran. Algunos administradores están cerrando completamente el correo que viene de Corea o China. Y esto lleva a nada más que discriminación. Es antidemocrático que una compañía no pueda comunicarse a través de su ISP con otra en Estados Unidos o Europa".

Además, según Jacob, el proveedor que usa listas negras no informa a los usuarios: "¿Qué pasaría si una misteriosa organización estuviese al otro lado de tu compañía telefónica y bloquease llamadas hacia ti, basándose en unos criterios que no puedes controlar?". Por eso, se tiende a nuevas herramientas, como los escáners de contenido, que filtran a partir de lo que dice el mensaje, o los Sistemas de Notificación Distribuida, donde los usuarios envían los "spams" recibidos a una base de datos central. Aunque son muy fiables, no sirven para los "webmails" ni para los proveedores: sólo funcionan en el cliente de correo del usuario.

De esta segunda generación de programas se habló en la primera "Conferencia sobre el Spam", celebrada a mediados de enero en el Massachusetts Institute of Technology y auspiciada por Paul Graham, promotor del uso de inteligencia artificial en la lucha contra el correo basura. Legendarios hackers como Eric S. Raymond o John Draper estuvieron allí. También Matt Sergeant, codesarrollador del popular programa libre "SpamAssassin"; o Jon Praed, del Internet Law Group, quien dudó que sólo con leyes se solucione el problema. Praed recomendó que si se recibe correo basura citando una marca comercial, como Viagra, se reenvíe a la compañía, quien lo investigará.

Aunque hay otros que prefieren la venganza directa: recientemente, el norteamericano Alan Ralsky denunciaba una conspiración para cubrirlo de correo basura: "Me han apuntado a todas las campañas publicitarias y listas de correo que existen". Ralsky se ha hecho rico enviando miles de millones de "spams" al día, según una nota aparecida en el weblog "Slashdot", que desató la ira de los lectores. Alguien posteó entonces las direcciones de correo y física de Ralsky y el rey del "spam" fue "espameado".
 
 

Y AHORA, "SPAM POLÍTICO"

El profesor Mikls Sksd vivió las últimas elecciones en Hungría con sorpresa y molestia: "En un país de diez millones de población, donde el 53% tiene teléfono móvil y el 15%, Internet, los partidos enviaron millones de mensajes SMS, el tráfico diario se incrementó un 20-30%. Durante dos semanas, el 'spam' político fue una experiencia diaria". Para las elecciones en Bélgica, el gobierno ha aprobado también este medio de propaganda.

Aunque pocas muestras se han dado en la Internet española, en Estados Unidos el "spam político" ya es un viejo conocido, que no entra en las leyes porque no es comercial y algunos defienden como libertad de expresión. El senador demócrata Joseph Liberman es la última bestia negra: para anunciar su carrera a la presidencia de EEUU, envió un discurso a miles de internautas, a través del servicio de correo basura de pago ConstantConctact.

Liberman es el primer candidato a presidente de los Estados Unidos que recurre al "spam", pero ha habido más políticos antes que él. Demócratas y republicanos usan Internet como medio de propaganda, un suplemento barato a las campañas de televisión, prensa y radio. El año pasado, Bill Jones, candidato a gobernador de California, era noticia por enviar correo no deseado a miles de direcciones electrónicas, algunas de gente no residente en California ni tan sólo Estados Unidos.

La última modalidad es el "spam" militar: a mediados de enero, el Ministerio de Defensa británico enviaba 100.000 mensajes a empresas, para avisarlas de una posible movilización de sus empleados reservistas. Muchas no tenían trabajadores en la reserva y recibieron la carta con disgusto. El Ministerio sólo aclaró que había comprado la base de datos a una empresa externa.
 
 

CIFRAS

Hace dos años, el 50% de los internautas norteamericanos consideraban el "spam" como "muy molesto". Hoy, son el 80%, según una encuesta de Harris Interactive. Y el 74% quiere ilegalizarlo. Sólo el año pasado, se enviaron en todo el mundo unos 140 mil millones de correos basura, que crecen y crecen así como los estudios que muestran su dimensión. Según Meta Grop, en algunas organizaciones, el 40% del tráfico de correo es basura y sobrepasará en julio al correo legítimo.

Symantec también ha indagado, sabiendo que los productos "anti-spam" empiezan a ser buen negocio y, pronto, tan imprescindibles como un antivirus: el 37% de los encuestados recibía más de cien correos basura al día. Al 67% le molestaba mucho. El 77% con hijos temía por ellos. En catorce meses, el "spam" ha subido del 8% del total de correo al 41%, afirma Bright Mail Inc.

Según esta empresa, un "spammer" puede cobrar 1.500 euros por mandar un millón de mensajes, "lo que significa mil posibles clientes a 1,50 euros por cabeza. Estas personas suelen residir en Estados Unidos, pero usan servidores inseguros de Asia o Suramérica para mandarlos". EMarketer cifra el coste medio de un "spam", para quien lo envía, en 0,00032 céntimos.

Las empresas, que hasta ahora lo veían como una pequeña molestia, empiezan a preocuparse. Según Symantec, el 65% de internautas gasta cada día diez minutos para eliminar el correo basura. El 24%, veinte minutos. CloudMark Inc calcula que recibir diez "spams" diarios por empleado puede costar 86 euros anuales a una compañía, sólo en tiempo perdido.

Ferris Research asegura que las empresas norteamericanas pierden anualmente 8,6 mil millones de dólares por culpa del "spam". Las europeas, 2,5 mil millones. Según sus cálculos, se invierten 4,4 segundos en abrir un mensaje, factor que debe añadirse a los gastos en ancho de banda, seguridad y servidores más potentes para soportarlo.
 
 

PARA ILUSTRAR

chiste userfriendly
http://ars.userfriendly.org/cartoons/?id=20000728
 

DENUNCIAS

Agencia de Protección de Datos
https://www.agenciaprotecciondatos.org/datb.htm
Secretaría de Estado de Telecomunicaciones
http://www.setsi.mcyt.es/reclamaciones/reclamaciones.htm
Guía Asociación de Usuarios de Internet
http://aui.es/consultas/quejas.htm
 

LINKS

SpamWars Game
http://www.elated.com/spamwars
Spam Conference
http://spamconference.org
"The spam problem"
http://theory.whirlycott.com/~phil/antispam/rbl-bad/rbl-bad.html
"A plan for spam"
http://www.paulgraham.com/spam.html
Spamdemic Map
http://www.cluelessmailers.org/spamdemic/mapfullsize.html
EuroCAUCE
http://www.euro.cauce.org/en/index.html
Abuse.net
http://www.abuse.net
SpamFAQ
http://www.spamfaq.net
SpamArchive
http://www.spamarchive.org
Spamhaus Project
http://www.spamhaus.org
SpamAssassin
http://www.spamassassin.org
Spam Laws
http://www.spamlaws.com
"Cómo anunciarse correctamente en Internet"
http://www.ietf.org/internet-drafts/draft-ietf-run-adverts-01.txt
RedIRIS sobre "listas negras"
http://www.rediris.es/mail/abuso/apoyoln.es.html
I Campaña contra el correo no solicitado
http://aui.es/contraelspam
Directiva europea sobre el "spam"
http://aui.es/contraelspam/directiva_ue.htm
Informe Asociación de Internautas
http://www.internautas.org/article.php?sid=738
LSSI
http://www.lssi.es
 
 
 

Copyright (C) 2003 Mercè Molist.
Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
 

<<