SPAM nuestro de cada día. Introducción a un análisis forense. Parte 1.- Caracteríticas del SPAM.

Sí, el SPAM en los últimos años se ha convertido en ese molesto y pesado compañero de viajes con el que todos los días nos toca lidiar. Es la mosca en el plato de sopa que se nos repite día a día, hasta la saciedad como a Bill Murray el famoso “día de la marmota”, en la película “Atrapado en el tiempo” (Groundhog Day).

Lata de SPAM

Los administardores de sistema, constantemente debemos jugar al “ratón” y el “gato” con esta gran plaga del correo basura; y es que más allá de ser un problema molesto para el usuario final, se está convirtiendo en un auténtico consumidor de recursos.

Atrás quedaron los tiempos donde el correo publicitario no deseado, eran enviados por empresas desde contados servidores fijos y fáciles de filtrar. Es más, el SPAM ha saltado barreras, de modo que foros, blogs, bitácoras, redes sociales o IRCs, se ven contagiados por este fenómeno.

Así que en esta lucha, debemos conocer bien cómo funciona o actúa el enemigo para intentar pararles los pies, en la medida de lo posible, mediante sistemas automáticos. Porque si el SPAM es el correo publicitario no deseado, sólo una persona humana es capaz de determinar si un mensaje es o no SPAM,y en ocasiones es incluso complicado para un humano discernir si un correo es basura o no.

Este es el primero de dos artículos donde nos centraremos en el SPAM del servicio de correos, para comentar con datos reales la naturaleza de los mismos. En un segundo artículo indicaremos técnicas empleadas para reducirlos.

El origen del SPAM como tal es muy variado, y va desde empresas que realmente promocionan un artículo/servicio y utilizan el correo electrónico como medio de difusión del mensaje publicitario, hasta ataques dirigidos y orquestados para originar una denegación del servicio de correos a una compañía.

Un poco de historia.
El primer correo basura data del 5 de marzo de 1994, cuando una firma de abogados, Canter and Siegel, publica en Usenet (servicio de News) un mensaje de anuncio de su firma legal; el día después de la publicación, facturó cerca de 10.000 dólares por casos de sus amigos y lectores de la red. Sin embargo hay quienes adelantan este hecho a 1978 con Arpanet (la antesala del actual Internet), donde algunos de sus empleados recibían con sorpresa un correo de la compañía de ordenadores DEC invitándoles al lanzamiento de un nuevo producto.

¿ Por qué se llama SPAM ?
Este es un término que acuñaron los estadonunidense para hacer referencia a las latas de carne que fabricaba la empresa Hormel Foods originalmente llamada Hormel’s Spiced Ham (Spice Ham = SPAM). Años después, los Monty Python se burlaban de esta carne gritando “SPAM” en distintos anuncios publicitarios, hecho que se traslado como símbolo del correo basura no deseado.

¿ Pero cómo actúan los SPAMERS ?
En sus comienzos, los SPAMERS, es decir, las personas/empresas que se dedican a enviar correos basura, sencillamente cogían un programa de correos electrónicos creaban una lista de destinatarios y enviaban un mensaje. Según crecía la lista de destinatarios, la cosa se complicaba, debido entre otras cuestiones a las limitaciones del estándar y de las restricciones que imponen los administradores de los servidores respecto a ese número de destinatarios. De modo que muchas empresas, terminaban por subcontratar el envío a otras con varios servidores o programas automáticos que repartían la cargar en múltiples envíos, o en montar un servidor propio, en su oficina o en un IDC (Internet Data Center), para tales propósitos.

Pero ahí no queda la cosa. El envío de correos masivos consumen mucho ancho de banda para el/los emisores, así que estos métodos, son resolubles en mejor e peor medida por los administradores con distintas técnicas, tal como veremos en el siguiente artículo. En la actualidad las técnicas más avanzadas en el envío de SPAM, utilizan conocimientos del campo de los virus informáticos y los troyanos, de modo que un determinado programa malicioso se propaga por internet de forma camuflada entre cientos y miles de ordenadores que comparten una vulnerabilidad de un programa de correos (MUA = Mail User Agent) o sistema operativo concreto. Dicho troyano/virus pasa inadvertido para el usuario de su PC doméstico y se encuentra latente a la espera de una orden de su creador. En el momento de dicha orden, miles de ordenadores se encargan de enviar duplicados de un correo de SPAM, a una lista precargada de destinatarios, sin que los propietarios de dichos ordenadores sean conscientes de ello. A esto es a lo que se les denomina Botnet, o red de ordenadores zoombies.

Datos reales de un caso práctico.
Hace unos meses, en nuestra batalla contra el SPAM decidimos realizar unas estadísticas, analizando los logs de nuestro servidor de correos para conocer aún mejor la naturaleza de los SPAMERS, y así ver qué técnicas o ajustes debíamos realizar a fin de mejorar el servicio. Estos  son algunos datos y conclusiones extraidas.

De una muestra inicial de unos 61594 correos que se alcanzó en pocos días, se observó que el sistema antispam del servidor llegó a detectar como correo basura unos 60363. De los cuales, unos 49246 fueron eliminados por ser correos SPAM con una puntuación muy elevada (en el siguiente artículo entraremos en mayor detalle).

El primer dato significativo es que del volumen total de correo recibidos, el 98% son SPAM , o probablemente lo era. Nota: Como decimos, sólo una persona humana puede clasificar con “certeza” el SPAM, por lo que en un sistema automático pueden suceder falsos positivos y negativos. Debido al bajo índice de error que hemos detectado en correos propios así como al volumen de información implicado y a la dificultad para contabilizarlos (habría que analizar correo por correo), para este estudio quedan despreciados.

Pero no sólo eso. Aunque el servidor había eliminado correos por tener una puntuación altísima, más de diez mil (12.338), pasaban a los buzones de los usuarios finales. Por lo tanto, aunque en nuestra portería tenemos a un gran portero como “Casillas”, algunos goles se le cuelan, y la verdad es que 12.000 son muy molestos.

Haciendo un análisis de frecuencia, se observa que los 60363 correos SPAM, están enviados por unas 50.000 IPs diferentes … y en el peor de los casos, el emisor más insistente ha enviado unos 15 mensajes. Esto es síntoma de que la mayoría de los mensajes son enviados por botnets, es decir, muchos ordenadores secuestrados que envían un mensaje a una lista grande de destinatarios diferentes.

Por último … haciendo un análisis por paises de procedencia de los mensajes, obervamos que el origen pertenece a unos 110 paises distintos. Y si analizamos por frecuencia, obtenemos esta gráfica.

Gráfica de SPAM por paises

La mayoría de SPAMERs, en nuestro caso, proceden de Asia, EEUU (cómo no), Brasil y sudamérica, así como de Rusia y paises cercanos (Ucránica, Rumania, …). Llama notablemente la atención que el 18% lo originen paises que individualmente no supongan ni el 1% del SPAM, lo que nos demuestra la dispersión de los SPAMERs.

En resumen, a día de hoy grandes SPAMERs utilizan botnets para el envío de mensajes, lo cual origina un potencial enorme para el envío de SPAM y una dispersión de la procedencia difícil de acotar por reglas. El origen por paises, se centra en Asia(destacando la India), sudamérica (destacadno Brasil), EEUU y Rusia.

Conocido el perfil del correo basura … ¿ cómo podemos mitigarlo o reducirlo ? Eso lo veremos en la próxima entrega. Hasta la próxima.

3 pensamientos en “SPAM nuestro de cada día. Introducción a un análisis forense. Parte 1.- Caracteríticas del SPAM.

  1. Pingback: Cinco sencillas reglas para ser más productivos con el correo electónico » Blog sobre Marketing en Internet y diseño web - Nuestra visión

  2. Pingback: Cómo recopilar emails para un mailing a tus clientes | El Blog del Software de Gestión en la PYME

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Resuelve el acertijo (requerido) Time limit is exhausted. Please reload the CAPTCHA.