Hoy vamos a hablar de el SPAM, esa plaga que nos afecta a todas personas que usamos Internet y que se puede resumir con el titular de este artículo. ¿No te interesaría comprar un elefante? ¡Venga! Si los tengo a mitad de precio y me los quitan de las manos oiga!!

Desde mi punto de vista, los avisos publicitarios no deseados superan el ámbito del típico e-mail que podemos recibir cada 10 minutos y que nos obliga a estar constantemente borrando mensajes de nuestro programa de correo electrónico favorito. SPAM es también el típico mensaje en un foro de debate, el típico mensaje automático en el sistema de comentarios de una bitácora, sistemas avanzados de compra/venta/robo de proyectos web y dominios (que explicaré más adelante) y por supuesto son SPAM las llamadas que recibimos sistemáticamente de una operadora de telefonía móvil distinta a la nuestra para que nos cambiemos y que supuestamente son realizadas de forma aleatoria pero que te tocan cada 2 meses, o el folleto de liquidación de muebles que nos mete alguien en el buzón de correo, a pesar de que haya 10 carteles de los de “En esta comunidad - No queremos publicidad” Con pareado y todo.

Las técnicas de un spammer evolucionan y varían con el tiempo. En mis primeros años de usuario de este medio, comenzar a recibir toneladas de spam estaba relacionado directamente con la inclusión de tu dirección de correo en algún foro público o en la participación en USENET. Los spammers tenían robots que entraban periódicamente en los foros o en los grupos de noticias de Internet e iban almacenando todas las cuentas de correo que encontraban. Este método sigue funcionando en la actualidad, aunque los sistemas protección anti-spam, fundamentalmente ocultar la cuenta de correo del autor de un mensaje lo han convertido en algo caduco y sin un gran índice de efectividad.

Hoy la cosa es más fácil para los spammers, en la red se venden directamente bases de datos de direcciones de correo. Con la cadena de búsqueda “buy email database” en Google tenemos unas cuantas direcciones para proceder a la compra. ¡Si hasta hay empresas que se anuncian en el sistema publicitario Google como vendedoras de bases de datos de cientos de miles de direcciones de correo, segmentadas por país!

Para explicar cómo se realiza el envío masivo por correo electrónico hay que entender un poco cómo funciona un MTA (Agente de Transporte de Correos). Los MTA son el software que se utiliza para enviar un correo electrónico en los servidores de Internet. Ponemos un caso práctico que es mucho más sencillo para explicar el funcionamiento. Ponemos el caso de cómo se envía un correo desde info@dinahosting.com a manolo@example.com. Simplificando un poco el procedimiento sería una conversación como esta:

Servidor de dinahosting.com: ¡Hola example.com! ¿Estás despierto?
Servidor de example.com: ¡Hola dinahosting.com! Si estoy despierto y te escucho a través de mi oído número 25.
Servidor de dinahosting.com: Oye, ¿tienes operativo para recibir correo a un tal manolo? Por cierto, que fácil es localizarte desde que no te llamas sólo 139.91.1.10
Servidor de example.com: Si, es lo que tienen los nombres de dominio, Manolo está en mi casa y todavía tiene algo de espacio para que le dejes tu carta.
Servidor de dinahosting.com: Ok, toma la carta, es de un colega mío, un tal info.

Los spammers lo que hacen es enviar su correo anunciando venta de elefantes a cada una de las miles de cuentas de correo que tienen. Si la conversación anterior les devuelve una respuesta positiva, marcan esa cuenta de correo como operativa, con esto limpian la base de datos de correos que no se reciben. Los spammers siempre juegan a futuros. Un correo de spam nunca viaja sólo, en el momento que conoce in-situ tu cuenta de correo electrónico avisa al spammer de que te envíe un par de cientos de correos más.

Otro sistema utilizado para filtrar las bases de datos ingentes de los spammers es intentar averiguar no sólo si el correo fue entregado, si no también si fue leído. ¿Cómo hacen esto? Incluyendo una imagen o un fichero cualquiera enlazado desde el correo a un servidor suyo. Así cuando tu abres el correo de spam, éste hace una llamada desde tu ordenador a un servidor del spammer para que le pase esa imagen o fichero. Esta operación se monitoriza y con ella se determina que si tu IP aparece en el log del servidor es porque abriste el correo de SPAM. Desde ese momento la llevas jodida. El spammer sabe que además de recibir los correos de SPAM los lees, y con esto pasas a ser un objetivo prioritario del spammer. Muchos correos enviados van destinados sólo a averiguar este dato, un asunto impactante en plan “Demanda judicial contra usted” provocan que después de la descarga de adrenalina abramos el correo para averiguar que es lo que te están demandando… y ala… a la semana ya tienes ofertas de Viagra, todo tipo de instrumentos sexuales y a una mujer rusa guapísima que te dice que se quiere enrollar contigo porque en Rusia no hay hombres interesantes, desconfía! igual es por el dinero que te va a dar el presidente de Nigeria… El pack completo también lo tienes a un 90% de descuento.

Las técnicas actuales para obtener direcciones de correo electrónico son muy avanzadas e incluyen la monitorización de dominios registrados (esta información es pública). Hay spammers que con un nombre de dominio comienzan a enviar cuentas a las direcciones más habituales. info@, soporte@, ventas@, rrhh@… O directamente a los nombres más usuales pepe@, juan@, maria@… Este tipo de técnicas suponen que ya no es necesario que tu cuenta de correo sea pública y conocida, si no que con el simple registro de tu dominio ya estás expuesto.

Los servidores utilizados para realizar envíos no suelen estar en países a donde va dirigido el SPAM y suelen contratar los servidores donde las relaciones de intercambio de datos policiales son lentas o inexistentes. Este es el principal motivo por el que la mayor parte del spam recibido en occidente provenga de países como China. Otros spammers utilizan técnicas de crackeo de equipos domésticos o servidores de Internet con un nivel de seguridad bajo o con versiones de software desfasadas. Mucho del software y ficheros varios que circula ilegalmente (me estoy refiriendo a cosas como Photoshop o Windows Vista) por las redes P2P contienen virus (habitualmente del tipo troyano) que convierten a el equipo doméstico en un servidor de envío de SPAM sin que el usuario que se descargo el Photoshop de gratis lo sepa. Con esta técnica consiguen miles de ordenadores “zombies” listos para enviar millones de correos electrónicos.

El spam en foros o blogs se realiza mediante el escaneo sistemático de vulnerabilidades en los sistemas de gestión de los mismos. Además, cualquier formulario Web no deja de ser una recopilación de datos que se envían mediante un protocolo determinado. En un sistema de foros o de comentarios en un Blog desarrollado mediante herramientas públicas (Wordpress, phpBB y similares) utilizan un sistema que es idéntico en todas las instalaciones. Una vez averiguada la manera de enviar un comentario de forma automática a un blog echo con Wordpress puedes replicar el sistema para todos los blogs del mundo que utilicen Wordpress. Todo el problema se reduce a conseguir direcciones de blogs, lo cual es bastante sencillo utilizando Google, por ejemplo.

Gracias a soluciones como la proporcionada por Akismet para Wordpress estas técnicas dejan de ser eficaces totalmente. Son sistemas bastante sencillos y muy inteligentes, por ejemplo, uno de los criterios se basa en el tiempo desde que la página se carga, hasta que el envío del comentario se realiza. Nadie es capaz de escribir su nombre, su dirección de correo electrónico y un comentario cualquiera en 0,03 segundos. Así que si el comentario se envía en ese tiempo es seguro un envío automatizado, es decir, spam. Si tienes un blog, no lo dudes, activa un sistema antispam, son gratis además.

Dentro de los envíos masivos por SMS, la técnica es de lo más bestia. Haces un programa que envíe un sms al 600 000 000, al 600 000 001, 600 000 002 y venga a sumar. A pesar de que los precios por enviar un sms son bastante pequeños, sobre todo en grandes volúmenes, no deja de ser un sistema caro y al menos el spammer estafe o directamente no le pague a la empresa que le presta el servicio de envío de sms la cosa no sale muy rentable. Y menos mal, porque aquí si que las técnicas de defensa serían bastante complicadas.

Dentro de las novedades tenemos una técnica basada en el PageRank de Google. El PageRank es un valor de 1 a 10 que mide la popularidad de una página Web por el número de gente que coloca un enlace a esa página. Pasar de un PageRank 3 es muy difícil y la mayoría de las Webs populares se mueven entre un PageRank de 5 a 7. Las de PageRank 10 se cuentan con los dedos de una mano. Un PageRank elevado es casi siempre sinónimo de un número de visitas elevado.

Bien, la técnica comienza en el momento en el que el propietario de la Web decide abandonar su proyecto y dejar que el dominio que utiliza caduque. Hay empresas especializadas en recuperar dominios caducados, que monitorizan el estado del dominio y en el momento que este supera el estado de “Pending Delete” lanzan una petición para registrarlo. Pasa menos de 1 minuto desde que el dominio está disponible para ser registrado hasta que la persona interesada se hace con él.

Mezclando las bases de datos de dominios caducados y que serán borrados en breve (esa lista es pública) con una herramienta que vaya comprobando dominio a dominio su valor de PageRank, el spammer puede obtener un dominio muy popular y visitado a un precio reducido (el valor de registro del dominio más la comisión de la empresa que monitoriza el estado del dominio). Desde este punto pueden desarrollar todo tipo de actividades reprobables, desde simular la página antigua (phising) para obtener cientos de cuentas de correo electrónico de sus visitantes a hacer una redirección desde esa web a otra en la que directamente vende sus cosas el spammer. Lo mejor de todo es que esta técnica es perfectamente legal y está en pleno auge. Dentro de las páginas de subastas de dominios, muchas veces para darle valor a un dominio no se contabiliza el valor que aporta, que proyecto tiene detrás o cualquier otro dato relevante, simplemente se indica su valor PageRank.

Al final, todas estas técnicas y otras que saldrán en el futuro van destinadas a sustentar un modelo de negocio basado en el dinero fácil y en un modelo de venta comercial que piensa que es capaz de vender cualquier cosa a la gente. Y no, si la gente no quiere un elefante, poco importa que esté a mitad de precio.

Decía Joel Fleischman (Rob Morrow) en Doctor en Alaska en el momento del retorno desde Cicely a Nueva York. “Cicely es un estado mental” Si no fuiste seguidor de la serie esta frase no te va a decir nada, pero si eres un afortunado que tuviste la suerte de poder seguirla, esas cinco palabras “Cicely es un estado mental” suponen todo un momento de ilusión, una magnífica síntesis de lo que representa la humanidad, de lo que representa actuar con generosidad, tener un corazón de oro y ser buena gente. El SPAM representa en mi imaginarium particular todo lo contrario. Representa al ser ruin movido sólo por intereses económicos, que es capaz de saltar por encima de ti y de escupirte en el proceso de vuelo y sobre todo representa a una persona que te considera un imbécil, y si hay algo en esta vida que me molesta es que me consideren un imbécil sin conocerme de nada (si me conoces ya te dejo que me clasifiques como quieras).

Sabemos lo que es el SPAM, sabemos lo que representa y cuál es el modelo de negocio que persigue, pero hay un elemento a mayores que muchas veces no nos paramos a pensar, y es de quien es la responsabilidad de que el SPAM no sólo no disminuya, si no que cada año aumente. Bien, todos estamos de acuerdo que los principales responsables son las personas/organizaciones que emiten físicamente cada correo electrónico o llamada o comentario o panfleto o SMS o lo que sea, pero ¿que responsabilidad tienen los legisladores, jueces, policías, políticos y más mentes ilustres que nos guían en el buen hacer de esta vida?

Según el Instituto Nacional de Estadística en el 2007 se conectan a Internet el 52% de los españoles. Para que los seres humanos nos entendamos, esto representa que se conectan 23.000.000 de personas desde España. Independientemente de que personalmente creo antes en Superman que en estas cifras, esto supone un problema de primer orden, algo extremadamente grave ya que el spam le afecta a todo el mundo que usa Internet. ¿Qué problema social afecta directamente a tanta gente?

En España sólo está perseguido el SPAM mediante correo electrónico. La ley 34/2002 más conocida como LSSICE o Ley de Internet regula en el artículo 20 el envío de las comunicaciones comerciales realizadas por correo electrónico. Tan ilustre ley indica que se tiene que identificar claramente el nombre de la persona física o jurídica que realiza el envío de publicidad y se debe incluir la palabra “publicidad” al principio de correo. El siguiente artículo, el 21, impide que se envíen solicitudes comerciales sin que el receptor las haya pedido explícitamente.

En la teoría está todo relativamente correcto, ¿cuál es el problema entonces? Pues el problema está en que en muchísimos servicios que ofrecen servicios gratuitos o a un precio ridículo, cuando pulsas en el “Leo y acepto bla bla bla”, estás aceptando que te envíen cuarto kilo de correos electrónicos al día o que la base de datos donde almacenan tu cuenta de correo se vendan al mejor postor, independientemente de a lo que se dedique . Como estos documentos son largos como un día sin pan y los abogados que los redactan son expertos en decir cosas que no entiende nadie acabas aceptando que te magreen alegremente y sin ningún tipo de consecuencias.

Caso aparte, es la cantidad de veces que aceptas dar tu cuenta de correo electrónico a sitios aparentemente inofensivos y que no incluyen ninguna política de privacidad ni nada por el estilo, para escribir un comentario en un blog por ejemplo, aquí el problema está en que si el dueño del blog decide vender esa base de datos de correos electrónicos a un spammer ya la tenemos liada. Lo mismo pasa con páginas del tipo que te suministran enlaces para BitTorrent o Emule. En un porcentaje altísimo exigen que te registres como usuario para poder acceder a determinada información. ¿Por qué? Dejo que contestes tu.

Desde mi punto de vista la legislación vigente lo que debería especificar es simplemente que sea obligatorio colocar un “Leo y acepto que me envíen SPAM y/o venda tus datos personales” en cualquier formulario en donde te pidan tu dirección de correo para ser almacenada. Si no se indica esto específicamente estás dando tu negación a que te envíen publicidad. Con esto problema resuelto, más directo imposible.

Una de las formas de mayor efectividad dentro de la pelea contra el SPAM es incluir reglas de filtrado dentro de tu programa favorito de correo electrónico. En mi cuenta, por ejemplo, cualquier correo que lleve escrita la palabra “Viagra” o “Penis” en el asunto, en el mensaje o en la dirección de remite es automáticamente borrado. Y porque estoy limitado técnicamente sino cualquier correo que me llegara de China o de Chile (2 países que me encantan, sobre todo este último en el que estuve 30 días recorriéndolo en coche) serían borrados automáticamente ya que estoy bastante harto de que todos los días me presenten algún curso de formación para empresarios en Santiago de Chile para el próximo fin de semana o que me lleguen correos en idiomas que para mi desgracia no entiendo. El único problema de este sistema es que acabas teniendo cientos de reglas y la gestión de las mismas es bastante engorrosa.

De todas formas, uno de los grandes problemas a nivel legal es que no están perseguidas las tácticas comerciales agresivas, las denominadas “a puerta fría”, es decir intentar vender algo a alguien sin que previamente esa persona haya indicado algún tipo de interés. En los 70 y 80 era habitual ver vendedores de enciclopedias puerta a puerta o estas empresas tipo círculo de lectores, que ante el menor descuido te endosaban las obras completas de José Antonio Primo de Rivera. Con el aumento de costes laborales estas empresas decayeron, ahora con la deslocalización de las empresas ya te llama alguien de Telefónica desde Perú para ofrecer que te cambies a MoviStar desde tu operadora actual. Todo perfectamente legal claro, la llamada se hace desde número oculto (que deberían estar prohibidos) y cuando preguntas de donde han conseguido tu número de teléfono te dicen que de ningún sitio, que la llamada se hace de forma aleatoria, o eso te cuentan claro…

Yo no tengo la fórmula mágica para acabar con el SPAM y aunque la tuviera dudo mucho de que me hicieran mucho caso quienes tienen el poder de legislar o forzar una legislación específica. Dentro de los parámetros que tienen que regir la lucha contra el SPAM es básico que aumente la cooperación internacional, de la misma forma que un pedófilo lo tiene difícil en cualquier país del mundo, un spammer debería tener la misma consideración, porque el problema es extremadamente grave y nos afecta a todas y todos. Con esto me contesto a mi mismo: ¿que responsabilidad tienen los legisladores, jueces, policías, políticos y más mentes ilustres que nos guían en el buen hacer de esta vida? Pues tienen toda la responsabilidad, porque precisamente cobran un sueldo cada mes que les pagamos todos nosotros para que estos problemas no existan y actualmente en España y según sus propios datos hay 23 millones de afectados por un delito que está tipificado y que nadie hace nada por solucionar. El día que leamos un titular del estilo “Detenidas 140 personas en varios países por enviar spam” las cosas comenzarán a cambiar.

RECOMENDACIONES

Si alguien te cuenta que tiene un sistema por el que no recibe SPAM desconfía. En la actualidad no hay sistemas 100% seguros. Los sistemas automáticos antiSpam se rigen por normas que determinan automáticamente si un correo es spam o no. Dependiendo de determinados criterios podemos conseguir filtros más duros, pero normalmente van a provocar que correos que no son SPAM queden catalogados como que si lo son.

Nunca dejes tu cuenta de correo en sitios Web que no te parezcan seguros o que realizan una actividad que aunque no sea ilegal no te genere confianza que el dueño de la página se quede con tu cuenta de correo. Considera dar tu cuenta de correo como dar tu número de tarjeta de crédito.

Ten varias cuentas de correo, utiliza una de ellas sólo para servicios de subscripción gratuitos y cosas poco fiables a nivel protección de datos. Ten una cuenta blindada que sólo utilices para cosas realmente importantes.

Borra automáticamente correos escritos en idiomas que no entiendes, o que consideres que no hay nadie que te vaya a escribir en ese idioma. Yo personalmente borro en mi cuenta personal cualquier correo escrito en cualquier cosa que no sea español o galego.

Hay una combinación bastante eficaz utilizando dos cuentas de correo. En la primera cuenta (la que vas a usar de forma pública) creas una respuesta automatizada (en dinahosting lo puedes hacer desde el panel de control de hosting). En esa respuesta simplemente comunica que si quieren contactar contigo escriban a la segunda cuenta. Los spammers lo que no hacen por ahora es leer y gestionar los correos de respuesta, así que tu nivel de protección va a aumentar, aunque la gente que te escriba lo va a tener que hacer dos veces, es un pequeño precio para evitar tener cientos de correos de spam todos los días. Este sistema es eficaz si ahora mismo tienes una cuenta en la que recibes mucho spam. Crea una nueva cuenta y coloca un respondedor automático en la vieja.

Por último recuerda que por muchas precauciones que tomes los spammers están todo el día intentando descubrir nuevos métodos para enviarte spam. Cualquier recomendación o sistema que apliques puede ser ineficaz con el tiempo. Cuando la cosa llegue a niveles intolerables, cambia de cuenta de correo. Lo siento, pero actualmente aparte de matar al spammer o que alguien le corte las manos no hay otro remedio.

Acabamos con la que creo mejor recomendación de todas. El SPAM existe por culpa de la falta de cultura digital. La brecha entre info-ricos e info-pobres. El spammer hace negocio y la técnica funciona porque hay gente que compra y gasta su dinero en cosas que se venden a través de SPAM. Nunca compres nada que te ofrezca un spammer. Si estás interesado en un producto que te da un spammer busca en Internet una empresa que también lo venda y que no haga spam. Si no encuentras una alternativa puedes estar seguro de que te están timando. Y corre la voz, ayuda a quien no sabe de eso de la Internet…

Comparte esta anotación These icons link to social bookmarking sites where readers can share and discover new web pages.
  • bodytext
  • del.icio.us
  • Facebook
  • Google
  • BarraPunto
  • Meneame
  • Technorati
  • Print this article!
  • E-mail this story to a friend!