Spam en el correo electrónico (página 3)

Enviado por Diana Cristina L�pez Toro, John Edgar Congote Calle

Partes: 1, 2, 3

Rank	Domain	Count	%	Cum. %
1		1186	32.95	32.95
2	China	755	20.98	53.93
3	Republic of Korea	218	6.06	59.99
4	Japan	120	3.33	63.32
5	Italy	106	2.95	66.27
6	Spain	90	2.5	68.77
7	France	87	2.42	71.19
8	Poland	83	2.31	73.5
9	India	78	2.17	75.67
10	Canada	74	2.06	77.73
11	Brazil	69	1.92	79.65
12	United Kingdom	67	1.86	81.51
13	Romania	58	1.61	83.12
14	Germany	53	1.47	84.59
15	Taiwan Province of China	48	1.33	85.92
16	Russian Federation	45	1.25	87.17
17	Netherlands	35	0.97	88.14
18	Austria	26	0.72	88.86
19	Turkey	22	0.61	89.47
20	Mexico	22	0.61	90.08
21	Chile	18	0.5	90.58
22	Australia	18	0.5	91.08
23	Argentina	17	0.47	91.55
24	Thailand	16	0.44	91.99
25	Senegal	15	0.42	92.41
26	Philippines	14	0.39	92.8
27	Israel	14	0.39	93.19
28	Hungary	12	0.33	93.52
29	Viet Nam	12	0.33	93.85
30	Hong Kong Special Administrative Region of China	12	0.33	94.18
31	Czech Republic	11	0.31	94.49
32	Peru	11	0.31	94.8
33	Malaysia	11	0.31	95.11
34	No CC	10	0.28	95.39
35	Portugal	8	0.22	95.61
36	Greece	8	0.22	95.83
37	Venezuela	8	0.22	96.05
38	Sweden	7	0.19	96.24
39	Switzerland	7	0.19	96.43
40	Singapore	7	0.19	96.62
41	Estonia	5	0.14	96.76
42	Slovenia	5	0.14	96.9
43	Belgium	5	0.14	97.04
44	Colombia	5	0.14	97.18
45	Indonesia	5	0.14	97.32
46	New Zealand	5	0.14	97.46
47	Puerto Rico	5	0.14	97.6
48	El Salvador	4	0.11	97.71
49	Denmark	4	0.11	97.82
50	Latvia	4	0.11	97.93

Es posible encontrar y analizar porcentajes del total de
spam y de
computadores zombis por países, clasificados por horas,
dias, semanas y meses

Referencia. Reportes presentados por "CipherTrust, the
leader in messaging Security"

Estados Unidos ha avanzado notablemente en sus
esfuerzos para reducir las cifras de emisión de
spam, pero a pesar de eso sus ordenadores envían
más spam que los de cualquier otro país.
Sin embargo, Norteamérica como continente está a
punto de ser superado por Europa,
aunque ambos se ubican muy por detrás de Asia.

Puesto	Continente	Porcentaje
1	Asia	42.8%
2	Norteamérica	25.6%
3	Europa	25.0%
4	Sudamérica	5.1%
5	Australia	0.8%
6	África	0.6%
Otros		0.1%

Informe de Sophos sobre los principales países
emisores de spam (Abril de 2006)

Composición de correos spam por
país de acuerdo a su participación en el correo
total:

Datos
interesantes:

El spam representa más del 75% del
tráfico total de correo
electrónico que circula en la Internet, hace
3 años representaba solo 8%.
14.5 billones de mensajes spam son enviados
cada día, esto le representa a las empresas un
costo de
aproximadamente US$20.5 por año globalmente.
El spam representa un riesgo para la
seguridad y
la privacidad, debido a la proliferación excesiva de
virus, esquemas
"Phishing" y "robo de identidad".
El 50% de los mensajes spam provienen de
computadoras
zombis, pues esto garantiza bajo costo, alta rentabilidad
y adicionalmente anonimato para los
spammers.
9 de cada 10 usuarios de Internet es afectado por el
spam.
90% de los usuarios de Internet reciben correo
basura
80% de los usuarios de Internet considera muy molesto
el correo basura.
Se calcula que el 60% de los correos de China son
spam, y que un 15,7% del total de correo no deseado de
todo el mundo se produce en el país asiático, lo
que le convierte en el tercer mayor productor y
receptor de spam del mundo.

Derechos que debería tener los
usuarios del correo electrónico

Todos los usuarios de correo electrónico deben
tener en cuenta los derechos que "tienen"
respecto al manejo y gestión
de sus respectivas cuentas y ante el
uso en general del correo. A continuación se enumeran los
más significativos:

Aceptar o rechazar la recepción de correos
electrónicos de carácter comercial en sus
buzones.

Revocar la autorización respectiva de recibo
de mensajes, excepto cuando dicha autorización sea una
condición para la prestación del servicio de
correo.
Contar con proveedores
de servicio de correo electrónico que cuenten con
sistemas o
programas
efectivos que filtren los spam.
Solicitar y recibir información técnica sobre el uso
de herramientas
de bloqueo por parte del proveedor.
Ser informado sobre el uso debido y novedades que
surgen día a día respecto a herramientas que le
proporcionan seguridad a través de filtros, software,
etc.
Conocer al detalle las condiciones de uso de las
redes de
telecomunicaciones de sus proveedores de
servicios de
correo.
Manifestar las inconformidades que encuentre como
usuario del servicio, y ser escuchado y recibir respuesta a sus
inquietudes o dudas por parte del proveedor
respectivo.
Poder proporcionar información en
línea, con la seguridad de que el proveedor está
protegiendo sus datos y
utilizando mecanismos idóneos para garantizar la
confidencialidad de la información.
Que se le faciliten los medios par
mantenerse informado sobre posibles vulnerabilidades que se
presenten, y la manera de cómo protegerse de
ellas.

Obligaciones de los proveedores de
los servicios de correo

Se proponen también las siguientes acciones que
se pueden considerar como responsabilidades de los proveedores
para conseguir participar activamente en la reducción del
spam:

Debe contar con sistemas o programas efectivos que
filtren y no dejen pasar a los buzones los mensajes
spam.
Contar con un sistema de
bloqueo o filtro para impedir la recepción así
como la transmisión de correo electrónico no
solicitado a través de su servidor.
Informar al usuario sobre el uso de los sistemas y
programas de bloqueo y/o filtros.
Brindar asesoría técnica sobre el uso o
manejo de los sistemas y programas de bloqueo.
Difundir y poner al alcance de todas las personas que
contraten sus servicios, las condiciones de uso de sus
redes.
Monitorear el tráfico de la red a fin de detectar
posibles generadores de spam.
Recibir, procesar y responder las denuncias sobre la
recepción spam y/o cualquier otro acto ilegal,
notificando en la medida de lo posible a las partes
involucradas.
Garantizar la confidencialidad de la
información de los usuarios.
Dar a conocer las políticas de la empresa,
así como las actualizaciones y modificaciones realizadas
a estas en cualquier momento.
Utilización y actualización regular de
software de seguridad informática en los servidores
instalados en la plataforma del proveedor y en especial para
los servidores de correos; así como la apropiada
configuración de los firewalls para que filtren
puertos y protocolos
adecuadamente.

Inculcar en los usuarios la necesidad de software de
seguridad
informática como antivirus y
firewall en sus equipos personales y disponer de las
últimas actualizaciones de seguridad.

Particularidades del spam en las
empresas

Las empresas se ven afectadas con el problema del
spam en la medida que el personal que
labora en ellas recibe correos electrónicos sin solicitud
o relación previa (naturaleza del
spam). El problema radica en las implicaciones,
particularmente a la inversión de tiempo y
esfuerzos que implica la revisión, la escogencia y
eliminación de correos que no interesan. Muchas veces son
las mismas empresas las que de alguna manera, en ocasiones
desprevenidamente, permiten o contribuyen a actos que se
relacionan con el spam por la falta de conciencia y de
tomar medidas para evitar el problema.

Es importante que los representantes de las empresas
actúen con cuidado y estén informados sobre la
manera correcta de enfrentar el problema de acuerdo con las
políticas, los estatutos y el objeto social de la
compañía. Para evitar el robo de la
información perteneciente a la compañía para
efectos de creación de listas de correo para envío
de spam, deben proteger debidamente sus bases de datos de
clientes,
consumidores, proveedores, etc., proteger también sus
listas de correo de empleados y demás.

Es un hecho que la parte en la que más se debe
trabajar en las empresas para garantizar una buena seguridad
informática es en las personas, y especialmente para
enfrentar hechos tan problemáticos para las
compañías como lo es el spam. Es por eso que
se debe estipular y definir en los contratos
cláusulas que comprometan al personal involucrado con la
empresa en
proteger y utilizar debidamente toda la información que
entra y sale de la misma. Adicionalmente, se debe tener un
proceso de
acompañamiento permanente que permita crear una cultura de la
seguridad de la informació

También es indispensable que se utilicen fuertes
medidas tecnológicas para cuidar las direcciones
electrónicas y los datos recolectados de la empresa como
tal y de terceros, ya que estos representan un gran riesgo en
cuanto a seguridad si son vulnerables a robo e
intrusiones.

Relación del spam en
países desarrollados y en proceso de
desarrollo

Una investigación realizada por el grupo de
trabajo sobre
spam de la
Organización para la Cooperación y el Desarrollo
Económico (OCDE), muestra que el
spam es, en las comunidades menos desarrolladas o en
desarrollo,
una perturbación mayor y por lo tanto son impactados en
mayor grado por las consecuencias negativas del fenómeno.
Parece ser que esa mayor perturbación se da debido a que,
entre otras razones, los prestadores de servicios de
Internet o ISPs, y los operadores de redes de
telecomunicaciones en los países en desarrollo carecen de
la capacidad y recursos para
enfrentar dedicadamente la problemática del
spam.

Es necesario notar que la tecnología no puede
ser y, de hecho no ha sido asumida, de la misma forma en todo el
mundo, pues no obstante el nivel de desarrollo tecnológico
y económico de cada país, cada uno de ellos asimila
la tecnología bajo su particular contexto social,
político o cultural, lo que determina que su desarrollo e
implicaciones no tenga los mismos efectos en cada
país.

Esto se puede evidenciar, en el hecho de que para estos
países contar con los recursos de hardware, software y
demás componentes necesarios, representa un costo
inmantenible bajo sus reducidos presupuestos,
cuya aplicación se encuentra prioritariamente dirigida a
áreas básicas e insustituibles de atención, tales como salud, educación y alimentación, entre
otras.

Los países en desarrollo
aún se encuentran en proceso de lograr la integración tecnológica necesaria y
en proceso de expandir de la infraestructura que la soporte, de
esta manera, el spam se transforma en un serio
obstáculo al desarrollo y genera desconfianza en el uso de
los medios
electrónicos.

Una de las principales razones es el problema que se
tiene con elementos tecnológicos que deben ser utilizados.
Un ejemplo es la capacidad de ancho de banda, que es precisamente
uno de los elementos de limitada disponibilidad en los
países en desarrollo, que generalmente se encuentra
asociado un alto costo por servicio, lo que lleva a que el
spam tenga un importante y mayor impacto en dichos
países pues consume un porcentaje mayor del ancho de banda
disponible. Adicionalmente a esto, hay que tener en cuenta
también que si bien la proliferación es menor en
los países en desarrollo, las posibilidades de sumar
víctimas es mayor debido al menor conocimiento
técnico de los usuarios, resultando más vulnerables
al engaño.

Por eso, debe ser motivo de preocupación
permanente para los países en desarrollo el mantenerse en
la discusión e informados constantemente de cómo
combatir el spam, a fin de lograr el
conocimiento y el apoyo internacional necesario que les
permita mantener un nivel aceptable de seguridad en las redes. De
esta manera tendrán la oportunidad de continuar su
desarrollo hacia los esquemas de interacción global que hoy dominan las
economías mundiales y que lamentablemente marcan la brecha
entre países desarrollados y en
desarrollo.

Ventajas y beneficios de encontrar una
solución

Es imposible pensar en encontrar una solución que
acabe con el problema definitivamente pues todavía falta
mucho camino para crear conciencia en los usuarios y contar con
mecanismos para atacar efectivamente cada uno de los frentes que
de una u otra forma tienen que ver e influyen en el problema del
spam. Sin embargo, es posible minimizar el efecto negativo del
spam enfocándonos inicialmente en alcanzar los
beneficios que esperamos conseguir una vez reducido el impacto;
aquí se enumeran algunos de los aspectos que representan
beneficios:

Aumentaría la productividad al
contar con menos distractores en el trabajo. Se
evitaría desviar las actividades propias del trabajo a
actividades de eliminación de mensajes de poco interés
con un considerable aumento de horas efectivas trabajadas por los
empleados.

Se conseguiría disminuir la congestión
del ancho de banda utilizado para las labores propias de
Internet permitiendo una mayor velocidad
efectiva en las conexiones.
Menos probabilidades de infecciones de virus y
código malicioso en los
computadores.
Un mayor control y
normatividad al respecto del tema del spam, cimienta las
bases para que el usuario sepa cuáles son sus derechos,
y cuál es el ente a quien debe dirigir un reclamo en
caso de verse afectado.
Al crearse respuestas positivas favor del afectado, y
por ende una penalización para quienes hacen uso y son
responsables del spam, se permitiría la posible
reducción futura del mismo.
Se permitiría a los usuarios de Internet que
no deseen recibir correos electrónicos publicitarios,
filtrar este tipo de información con un mayor grado de
efectividad que el actual.

Posibles Soluciones

Cooperación
Internacional

Es muy importante resaltar el valor que la
cooperación internacional puede aportar al combate contra
el spam. El spam es de hecho un fenómeno
internacional, pues se despliega a través del Internet y
no conoce fronteras. De hecho, las estadísticas demuestran que gran cantidad
del spam originado en el mundo y por consiguiente recibido
en nuestra región latinoamericana proviene generalmente de
otros países.

La Organización para la Cooperación y
el Desarrollo Económico (OCDE) ha invitado y ha propuesto
a los gobiernos y a las empresas a que aumenten su coordinación para luchar contra el
spam. Es de considerable importancia la
coordinación y la cooperación entre los sectores
público y privado para trabajar en pro de la
erradicación del spam. Esta es una de las tantas
propuestas que se han definido recientemente y tal vez una de las
mas acertadas, después reconocer y crear conciencia de que
definitivamente no hay solución única y que se debe
actuar y atacar el problema a través de múltiples
frentes.

También destaca la importancia de "sensibilizar a
la población" sobre los riesgos de los
correos electrónicos basura y de las
precauciones que se deben tomar para evitarlo, para lo cual hacen
falta campañas de ámbito nacional y la
formación sobre la seguridad en Internet en escuelas y en
definir acciones para las personas mayores.

Algo de lo que se ha hecho es este tema:

En Europa

En el ámbito europeo, la Agencia Española
de Protección de Datos forma parte del grupo Contact
Network of Spam Authorities (CNSA). Este grupo está
compuesto por las Autoridades nacionales responsables de la
regulación y control de las comunicaciones
no solicitadas de la Unión
Europea y del Espacio Económico Europeo. En la
última reunión realizada en Bruselas se
acordó la redacción de un documento con el objetivo de
establecer un marco intraeuropeo para el intercambio de
información sobre denuncias sobre spam entre
autoridades competentes, con indicaciones claras sobre lo que hay
que hacer cuando se recibe una denuncia.

En Estados Unidos

Con la idea de cooperación internacional, se ha
firmado con la Comisión Federal del Comercio de
los Estados Unidos
(Federal Trade Commission–FTC) un acuerdo de
cooperación administrativa para luchar contra el
Spam –Memorandum Of Understanding (MOU)-, organismo
federal con competencias
supervisoras y de control en los Estados Unidos. En virtud de
este Convenio ambas partes acuerdan las siguientes formas de
colaboración:

– Facilitar la formación de usuarios y empresas
en relación con el spam

– Promover códigos de conducta sobre
buenas prácticas.

– Intercambiar información sobre las soluciones
técnicas más avanzadas y mantenerse
informados de las novedades

– Colaborar con las universidades de los respectivos
países para promover la investigación, conferencias
y cursos formativos sobre la materia

– Prestarse asistencia mutua en sus
investigaciones

La lucha contra el spam en los Estados Unidos
parte de una realidad normativa muy distinta a la europea.
Básicamente, en este país se establece un sistema
de opt-out en la Ley que regula
este tipo de comunicaciones.

Relaciones multilaterales

La Agencia Española de Proteccion de Datos (AEPD)
ha participado en grupos de trabajo
multilaterales contra el spam y con esta finalidad se
reunió en Londres en octubre de 2004, junto con otros
responsables mundiales de la lucha contra spam (agencias
independientes y ministerios
responsables) y sectores industriales implicados. En este grupo
de trabajo se reunieron los presidentes de la Comisión
Federal de Comercio de los Estados Unidos (Federal Trade
Commission- FTC), de la Comisión de Información
del Reino Unido, de la Comisión de Libre Comercio
del Reino Unido, la Comisión Nacional de Libertades e
Información de Francia, el
Regulador de las Telecomunicaciones de Países Bajos, el
Director de la Oficina
Australiana de Defensa del Consumidor y
Competencia, el
Director de la Agencia Española de Protección de
Datos y el responsable internacional de la FTC.

Como resultado de esta reunión se redactó
una declaración final para iniciar un plan conjunto de
actuación conocido como "London Action Plan" (LAP),
que fue suscrito por 19 organismos e instituciones
procedentes de 15 países distintos.

El LAP tiene por objeto desarrollar contactos
internacionales para investigar casos de spam y todos aquellos
problemas
conexos con el mismo. Los suscriptores del LAP fueron
mayoritariamente Agencias y Comisiones Nacionales, y han asumido
los compromisos suficientes para: impulsar y favorecer la
comunicación para supervisar más eficazmente el
cumplimiento de la ley, organizar conferencias periódicas
para debatir: casos, desarrollos normativos, investigaciones,
nuevas técnicas y formas de eliminar obstáculos en
la investigación de casos de spam, informar y
educar a los usuarios y consumidores, etc.

En Iberoamérica

También se ha querido fortalecer los lazos y
fijar posiciones comunes en torno a la
protección de datos personales en los países de
Iberoamérica y para ello se participó muy
activamente, en el año 2004, en el III Encuentro
Iberoamericano, que se celebró en Cartagena de Indias
(Colombia). Este
encuentro, que contó con la colaboración de la
Agencia Española de Cooperación Internacional
(AECI) y la Fundación Internacional y para
Iberoamérica de Políticas Públicas (FIIAPP),
reunió a más de 40 autoridades y destacados
representantes de la esfera pública y privada de 15
países Iberoamericanos (Argentina, Brasil, Chile,
Costa Rica,
Colombia, El Salvador, Ecuador,
España,
México,
Nicaragua, Perú, Panamá,
Portugal, Uruguay y
Venezuela).
Entre otros temas de esta reunión, se trataron los ataques
a la privacidad en el sector de las telecomunicaciones e Internet
y la lucha contra el spam.

ITU- Unión Internacional de
Telecomunicaciones

Éste es el organismo de las Naciones Unidas
encargado de la normatividad en el sector de telecomunicaciones y
de dirigir la organización de la Cumbre Mundial sobre la
Sociedad de la
Información. Ha participado en acciones de
Cooperación Internacional con el fin de generar confianza
y seguridad en la utilización de las tecnologías de
información y comunicaciones (TIC).
Además trabaja en diversas iniciativas en la lucha contra
el spam a nivel mundial.

OECD Task Force

Sus objetivos en
el tema, van encaminados a dar una repuesta internacional en las
distintas políticas y a coordinar la lucha contra el
spam, alentando y promoviendo medidas para combatir el
mismo y para generar códigos de buenas prácticas en
el sector de la industria y
negocio, así como facilitar la aplicación de las
leyes
fronterizas.

La Visión
Anti-Spam de Microsoft
desde la tecnología

Esta solución nos parece particularmente
interesante, pues consiste en construir un sistema distribuido
pero integrado de tecnologías y servicios interconectados
que proactivamente eviten y protejan contra ataques de
spam mediante mecanismos que establezcan prueba de
identidad y evidencia.

Básicamente, se trata de trabajar sobre tres
pilares fundamentales: evitar el spam a tiempo, adoptar
medidas de protección para evitar el impacto negativo y
realizar pruebas de
identidad. A continuación se muestran los conceptos e
iniciativas clave y las propuestas para trabajar sobre los
pilares antes mencionados.

Iniciativas de la
Industria

Esta propuesta hace énfasis en el progreso
continuado en la recopilación e identificación de
"mejores prácticas" a nivel industrial. Esto incluye por
ejemplo la utilización de programas acreditados como
"Remitente Afianzado" ("Bonded Sender"), soluciones para
evitar el "Domain spoofing" tales como Sender ID, y
el trabajo constante contra la eliminación de "zombis" a
través del "port25 blocking" y la detección
de "Open proxies".

Entre algunas de las cosas que se han hecho hasta el
momento, y en las que se sigue trabando fuertemente están
el E-mail Service Provider Coalition, que apoya al
Sender ID E-mail Authentication Framework,
también está el Bonded Sender Program, que
se trata de un programa de
certificación de remitentes legítimos y finalmente
cabe mencionar la Anti-Spam Technical Alliance que se basa
principalmente en soluciones tecnológicas y "mejores
prácticas" para el intercambio de información, y en
general con lo que tiene que ver con el envío masivo de
correos comerciales.

Cobro por el envió de correos y el Sistema
Goodmail

Se esta preparando un nuevo sistema que permitirá
cobrar a las compañías que distribuyen grandes
volúmenes de correo electrónico entre sus clientes
y usuarios, y entre las personas en general que hagan uso del
correo electrónico para enviar y recibir
mensajes.

Los correos por los que se pague, tendrían un
trato preferencial y llegarían a su destino sin retrasos y
sin problemas. De todas formas, se seguirían aceptando los
correos que no se pague por dirigidos a sus usuarios aunque no
tendrían un trato preferencial y por consiguiente
podrían sufrir posibles demoras.

Entre las condiciones impuestas para contratar el
servicio, figura el compromiso de que el receptor haya dado su
conformidad en recibir los correos, en caso contrario, se
bloquearían las cuentas de correo de las que le lleguen
mensajes. La medida es similar al sello de correos tradicional,
el cargo que cobran los servicios postales para
entregar las cartas a sus
destinatarios.

La finalidad de este procedimiento es
proteger del spam a los usuarios. Sin embargo,
también podría crear problemas para empresas y
organizaciones
que envían circulares y boletines legítimos a sus
clientes o socios. Algunas empresas aseguran que este sistema de
pago devolverá la confianza en el correo
electrónico y supondrá un freno importante a la
circulación de correo spam en las redes.

Goodmail por su lado, consiste en un sistema en
el que los mensajes de remitentes autorizados serán
provistos de un sello criptográfico, denominado
CertifiedEMail, mediante el cual el destinatario
podrá confirmar que se trata de una comunicación legítima.

Goodmail exige a las compañías
autorizadas cumplir una serie de requisitos, como por ejemplo,
que no debe haber quejas de los destinatarios, y en caso de que
las haya, solo se tolerarían aquellas que sean
mínimas. Con todo, la exigencia más importante para
Goodmail es que los remitentes legítimos, paguen
una cantidad por suscribirse al servicio y un pago extra por cada
envío.

Sin embargo hay reacciones negativas frente a esta
propuesta, es claro, que esta medida no favorece a las empresas
pequeñas, frente a las que tienen grandes presupuestos
para comunicación, y que hasta ahora podían
competir en igualdad de
condiciones.

Otra posición frente a esta propuesta es que
ésta va en contra del espíritu de libertad de la
red, pues Internet triunfó gracias a la libertad de
comunicación que proporciona, por lo tanto, no
debería existir costos para
servicios particulares y el e-mail debería ser gratuito y
accesible para todos.

Otros piensan que esta medida no reducirá el
spam, que por el contrario, empresas que usan el correo
electrónico de manera legitima para comunicarse con sus
clientes o usuarios podrían ver sus correos bloqueados al
negarse a pagar.

Después de estudiar los anteriores puntos, se
hace necesario reconocer, que ninguna de las anteriores posibles
soluciones tendrían un efecto positivo si no se trabaja
fuertemente en la creación de conciencia en los usuarios y
en la creación de una cultura mundial de ciberseguridad en
la que las personas sean cada vez mas prevenidas y cuidadosas con
temas que involucren la integridad de su información y su
reputación.

FUNCIONAMIENTO DEL
PROTOCOLO
SMTP

El protocolo SMTP es un estándar de facto
utilizado para la transmisión de mensajes de correo
electrónico entre diferente servidores, fue ganado
popularidad a medida que los servidores obtenían la
posibilidad de estar siempre en línea y así fue
relegando a otros protocolos como son el UUCP.

La primera versión del protocolo es el RFC 821 de
1982, desde allí se le han hecho algunas actualizaciones
en los RFC 1123 y la que actualmente se utiliza que es la 2821 la
cual se conoce como ESMTP del 2001, pero esta última
sólo hace claridad sobre algunos puntos del protocolo
implementado por las versiones anteriores y no le agrega nueva
funcionalidad o características.

El protocolo en si es bastante sencillo, usa una
codificación de 7 bits en ASCII para la
transmisión de datos, subsanando el problema de
envió de datos binario codificándolos con una
extensión de MIME (8BITMIME). Una vez instanciada la
comunicación, actualmente usando el protocolo TCP, se
realiza un saludo y se obtiene información de las
características del servidor para determinas como se va a
realizar el envió, posteriormente se empieza la
transmisión del mensaje el cual contiene la
información necesaria para el envió del
correo.

Las grandes debilidades del protocolo radican en la
falta de autentificación por parte del remitente del
mensaje de envió y además la posibilidad de enviar
correos a nombre de otros. Inicialmente estas
características eran necesarias debido a la poca
conectividad de algunas máquinas,
teniendo que realizar varios pasos para llegar al destinatario
final. Además en el protocolo inicial de 1982 se
tenían en cuenta otros modelos de
transmisión diferentes al TCP, identificando que en
aquella época era raro la comunicación directa
entre dos máquinas cualesquiera.

Las anteriores características mencionadas, falta
de autentificación de los usuarios del servicio y la
posibilidad de retransmisión de otros correos, hacen que
la implementación de un modelo de
antispam dentro del protocolo sea un cambio
radical, lo que lo hace impensable a nivel práctico debido
a la gran cantidad de servidores que utilizan el protocolo dado.
Existen algunas alternativas para modernizar el protocolo, como
son el SMTP-AUTH utilizado para la autentificación de los
usuarios y también nuevos modelos de protocolos como el
Internet Mail 2000, pero no han sido ampliamente adoptados por
los problemas antes mencionados.

Otras alternativas que son utilizadas en alguna medida
para el control de spam en el correo electrónico,
es la configuración e los servidores de SMTP con algunas
políticas de mejores practicas para evitar algunos modelos
de envió de spam, pero estas practicas son
ineficaces si no se utilizan de forma generalizada.

Actualmente los grupos de investigación
están trabajando fuertemente en la autentificación
de los servidores de correo con modelos como el Sender-id,
domains keys, SPF, y protocolos como MADRID, pero
aunque se tienen diferentes alternativas atacando este problema,
el modelo es costoso y necesita una amplia fuente de servidores
que lo implementen, y finalmente no se detiene todo el correo,
porque estos nuevos modelos para poder ser
implementados no pueden romper la compatibilidad del protocolo, y
además los spammers sólo necesitan
implementar sus propios servidores sin estas reglas para seguir
enviando mensajes.

Conclusiones y
Recomendaciones

El éxito
que se percibe en el spam, y en hacer publicidad en
Internet utilizando el envío masivo de correos a
destinatarios que no se sabe si les interesará o no el
producto o
servicio que se ofrece, es gracias al bajo costo que conlleva y
a la efectividad que se ha descubierto en el uso de la
técnica.
A pesar de que encontrar una solución
definitiva, parece bastante complicado, no se trata de
cruzarnos de brazos y rendirnos ante el spam, o de
sugerir que no se debería hacer algo al respecto. Se
trata de buscar y de contemplar todas las salidas posibles y
económicamente viables al problema, antes de sugerir que
prácticamente no es mucho lo que se pueda hacer al
respecto.
Para reducir el problema, algunos proponen
incrementar el costo de enviar un e-mail, otros, en cambio,
proponen que se genere la necesidad de autentificar la
identidad del remitente antes de enviar un correo
electrónico, etc., sin embargo, la solución
parece ser una combinación de elementos
tecnológicos y de estrategias
legales internacionales y culturales que permitan reducir el
impacto del spam.
Una adecuada regulación del correo no deseado
implica determinar, como paso previo, cuáles son las
características de dicho correo. Ello resulta ser una
tarea complicada ya que, mundialmente, no existe un consenso
claro en precisar que es lo que diferencia al spam
"inapropiado" de prácticas de mercadeo
aceptables.
Se debe entender que la regulación cuesta y
que la mala regulación cuesta mucho más. En ese
sentido, el análisis costo-beneficio de una norma no
debe limitarse a señalar que la misma no generará
costos al estado sino
que debe incluir un estudio detenido de los beneficios
esperados de la regulación propuesta, de los costos que
serán asumidos (y por quienes) y de las contingencias
esperadas de la regulación.
A nivel formal, el principal fundamento que sostiene
la existencia y cada vez mayor incidencia del spam es
que los mensajes comerciales bajo ciertas
características, pudieran resultar lícitos ya que
impulsan el comercio y permiten medios de publicidad a menores
o nulos costos para el mercadeo y son de fácil
propagación.
Es claro que para que el spam se presente, los
spammers deben contar con las posibilidades
técnicas y "regulatorias" para hacer uso libre de las
direcciones electrónicas de los usuarios. Por ello, es
que el impulso en la implementación de una ley en
materia de
protección de datos es imprescindible dentro del
contexto del combate al spam.
Hay que ser conscientes que en el corto plazo el
volumen de
spam continuará aumentando debido a la falta de
acciones correctivas y preventivas a tiempo.
Bajo diferentes ángulos, se puede llegar a la
conclusión que todos los aspectos económicos
favorecen al "spammer" y perjudican notablemente al
usuario común del correo electrónico.
No existe una formula mágica para erradicar el
problema, se requiere la persecución agresiva del
spam en todos los frentes estudiados, tales como
innovación tecnológica,
cooperación con la industria, educación al
usuario final del correo, una legislación efectiva,
ejecución de la ley focalizada, etc. Entre estos frentes
en el que parece que se deben concentrar más esfuerzos
es en educar al usuario a través de herramientas que
sean de fácil uso, de reforzar buenas prácticas y
conductas, de permitirle la fácil detección de
"zombis", y de proporcionarle información y recursos que
se sirvan para defenderse y protegerse.
Es importante y necesario, para pensar en una salida
al problema del spam, penalizar a la persona o
personas que se dedican a esta tarea, pues es un hecho que el
spam es una amenaza a la viabilidad del Internet como un
medio efectivo de comunicación, comercio
electrónico, y productividad, y mientras no se penalice
es difícil pensar en una mejora
Es absolutamente necesario la creación de una
cultura de uso adecuado de los medios electrónicos,
misma que debe ir dirigida tanto a usuarios, como a ISPs. Los
mecanismos contra el spam además de ser un
mecanismo de control, deben ser una herramienta para que los
ISPs puedan medir la dimensión que el spam
representa en su propia red, determinando en consecuencia las
medidas a seguir.
Un medio que puede resultar efectivo para el control
del spam es la adopción
de legislación antispam en la mayor cantidad de
países posibles, lo cual no será eficaz si no se
cuenta con un marco legislativo elemental que le dé
fuerza a
través de leyes de protección al usuario, leyes
para delitos
informáticos, de privacidad y de seguridad en las
redes, etc.
Adoptar leyes y políticas antispam que
permitan a los ISPs el rastreo de la información de sus
usuarios y la remoción de fuentes de
abuso de la red, bajo estrictas normas de
confidencialidad que salvaguarden el derecho a la privacidad y
la protección de los datos de sus clientes.
Toda protección o decisión que se
argumente a favor o en contra del spam, debe
fundamentarse en acciones, mecanismos y disposiciones que
establezcan un equilibrio
entre derechos de comerciantes (en muchos casos catalogados
como spammers), usuarios, potenciales consumidores y
proveedores.
Para la concepción e implementación de
acciones enfocadas al control del spam, es
imprescindible lograr un consenso y un acuerdo, primero a nivel
nacional y posteriormente a nivel internacional, en cuanto a la
definición y características fundamentales del
spam, a fin de posibilitar la coordinación y
cooperación entre sectores y países en su control
y combate.
La divulgación de información,
educación y capacitación a los usuarios se convierte
en un elemento primordial dentro del desarrollo de mecanismos
de combate contra el spam. Para esto se deben crear
campañas de difusión informativa auspiciadas por
las autoridades correspondientes en coordinación con la
industria resultaría una interesante propuesta a
estudiar y adoptar.
Si todos tomamos conciencia del correcto uso del
correo electrónico y lo potente que puede llegar a ser,
seguramente poco a poco iríamos haciendo que la
propagación del spam, no fuera tan rápida
y poco a poco pasara de ser una molestia a una
simple anécdota.
La industria debe ser más proactiva en vez de
reactiva en la eliminación del spam.
Es indispensable tener en cuenta y siempre presente,
que la regla de oro para no
caer en el spam tratando de hacer e-mail marketing,
es no enviar correos que no hayan sido solicitados por los
clientes y usuarios.

ANEXO TÉCNICO A

TÉCNICAS DE DETECCIÓN DE
SPAM

En el mercado existen
varias alternativas tanto libres como propietarias para la
detección de spam, pero el principal problema que
tienen todas estas técnicas es identificar a priori si un
spam es un correo que no desea el destinatario del correo
en un momento dado. Esto convierte el problema en uno de los
trabajados en el campo de inteligencia
artificial, necesitando la creación de modelos de
conocimiento y reconocedores semánticos de los correos
para identificar la importancia o no de un correo.

Listas negras y
blancas

Las listas negras y blancas, son los métodos
mas útiles actualmente para atacar el spam, es una
técnica muy sencilla, donde simplemente se configura el
servidor a rechazar algunas cuentas de correo y aceptar
incondicionalmente otras, la efectividad de estos sistemas es muy
alta, pero son vulnerables a ataques de cambio de identidad de
llos autores del correo o a la falsificación de los
remitentes. Es necesario entonces complementarlos con un sistema
de certificados, pero esta implementación es una de las
más complicadas en este momento por requerir que todos los
usuarios tengan cuentas certificadas.

Filtros estadísticos y
basados en reglas

Este método
utiliza filtros estadísticos para la identificación
si un correo es spam o no. Debido a que el correo
spam es generado por personas, éstas pueden moldear
el correo de forma que pueda pasar el filtro generando falsos
negativos, o lo peor es el caso de los falsos positivos donde
eliminan correo que tiene apariencia de spam pero en
realidad es un correo útil.

Hay varios modelos estadísticos que soportan
estos filtros, desde filtros bayesianos que aprenden según
los correos clasificados como spam hasta otros que utilizan
estadísticas fijas. El principal problema de estos
métodos es la imposibilidad de crear una confiabilidad
total, por lo tanto son buenos como asistentes en la
identificación de spam, pero dejarles a este tipo de
filtros toda la responsabilidad es una decisión que puede
traer problemas posteriores

Sender-id, SPF, Domains
Keys, MADRID

Estas tecnologías pretenden de una u otra forma
insertar sistemas de autentificación a los servidores de
envió de correo para poder validar los datos del mensaje
enviado generalmente modificando el servicio de DNS para que
pueda soportar esta funcionalidad junto con los servicios de
correo, el interés es verificar especialmente el
remitente, aunque estos modelos es un paso a seguir necesario en
la tecnología del correo electrónico, la
implementación de estos modelos es lenta y mientras no
estén utilizados globalmente no serán completamente
útiles.

El problema de estas tecnologías esta dado es mas
en términos comerciales que en términos
tecnológicos, y mientras no haya una consolidación
de alguno de estos métodos no se podrán apreciar
los beneficios del sistema.

VOY AQUÍ……

GLOSARIO RELACIONADO

Acuse de recibo

Un tipo de mensaje que se envía para indicar que
un correo ha llegado a su destino sin errores. Un acuse de recibo
puede resulta negativo en el tema de spam pues es confirmar que
la dirección es valida y pueden seguir
enviando mensajes allí.

Antispyware

Software que detecta y elimina el spyware detectado,
así como previene la instalación de nuevo spyware.
Los equipos antispyware al reconocer un equipo infectado, evitan
las acciones que realiza el spyware, así como el
envío de información privada, que el spyware se
extienda en otros equipos, etc.

Ataque de denegación de servicio
(DoS)

Tipo de ataque que se produce cuando un hacker
envía archivos adjuntos
u otros mensajes poco habituales o en masa para intentar colapsar
sistemas de correo electrónico.

Ataque de diccionario

Programa que bombardea un servidor de email con millones
de direcciones electrónicas generadas por orden
alfabético con el propósito de adivinar
correctamente algunas de ellas. Esta técnica
también se usa para conseguir
contraseñas.

Ataque de recolección de directorios
(DHA)

Cuando un grupo de spammers
bombardea un dominio con miles
de direcciones de correo electrónico generadas con el
propósito de recolectar direcciones de email
válidas de una organización.

Camuflaje

Técnicas de ocultación de datos por parte
de los spammers para evitar ser detectados. También tiene
lugar cuando los destinatarios del email usan HTML o Javascript para
camuflar enlaces de email y direcciones de correo para que las
direcciones se puedan leer y se pueda hacer clic sobre ellas,
pero no pueden ser recolectadas.

Computador Zombie

Se le denomina así a aquel computador
que, tras haber sido manipulado, puede ser controlado remotamente
por un usuario malintencionado. De esta manera, el sistema
llevará a cabo, de forma precisa, las acciones que el
atacante le ordene. Las consecuencias de dicha
manipulación pueden ser, entre otras, el robo de datos
confidenciales, la realización de ataques a otras
máquinas –ocultando así la identidad del
verdadero autor–, o la propagación de virus
informáticos.

Control complejo de diccionario

Función del software anti-spam que examina el
texto en busca
de palabras ofensivas y que no se deja engañar por trucos,
como la sustitución de letras por números o
caracteres similares.

Control de red (también conocido como control
DNS inverso)

Cuando un motor anti-spam
utiliza una base de datos
de sistema de nombre de dominio para comprobar que la
dirección IP de un email
se creó en un dominio o dirección de Web
válidos.

DMP

(Protocolo de Servidores de Correo Identificados,
del inglés
Designated Mailer Protocol), consiste en que los
proveedores de servicios de Internet identifiquen las
máquinas responsables del envío del
correo.

Falso negativo

Cuando un programa anti-spam no consigue identificar un
mensaje de spam como tal, y por consiguiente lo deja
pasar.

Falso positivo

Cuando un programa anti-spam identifica
erróneamente un mensaje legítimo como
spam.

Filtrado bayesiano

Enfoque estadístico para determinar si un correo
electrónico es spam. Está basado en técnicas
de inferencia de probabilidad
aplicadas por el matemático inglés Thomas
Bayes.

Filtros

Permiten ordenar el correo entrante basándose en
una serie de reglas definidas previamente.

Grupo de noticias

Fórum electrónico donde los participantes
publican artículos y mensajes sobre cuestiones
específicas. A menudo son objetivo de spammers que buscan
recolectar direcciones electrónicas.

Hacker

Persona que deliberadamente viola la seguridad
informática, normalmente para causar desconcierto o
conseguir información confidencial como datos financieros.
Originariamente, la palabra "hacker" hacía referencia a
cualquier persona interesada en la informática; hoy en
día, el término es usado por el público y la
prensa para
designar a las personas malintencionadas.

Hoax

Un hoax es un mensaje de correo electrónico con
contenido falso o engañoso y normalmente distribuido en
cadena. Los objetivos que persigue quien inicia un hoax son
básicamente alimentar su ego, captar direcciones de correo
y saturar la red o los servidores de correo.

Ingeniería social

Engañar a los destinatarios de correo
electrónico a abrir mensajes, dar a conocer
contraseñas o proporcionar información confidencial
aprovechándose de su curiosidad, credulidad o
inexperiencia informática.

IRC

Siglas de Internet Relay Chat, protocolo de
comunicaciones que permite participar en conversaciones virtuales
en tiempo real.

ISP

Proveedor de Servicios a Internet.

Lavado de lista

Proceso de eliminar direcciones de correo
electrónico de una lista de correo a petición de
los remitentes.

Lista blanca

Lista de direcciones de correo electrónico,
direcciones IP y dominios desde los cuales se envían
mensajes que son aceptados por los usuarios. Todos los mensajes
procedentes de estas direcciones se entregan al destinatario sin
pasar por los filtros de spam.

Lista de agujero negro

Lista publicada, normalmente comercial, de direcciones
IP conocidas como fuentes de spam que puede usarse para crear una
lista negra para filtrar el correo procedente de esas
direcciones.

Lista de agujero negro en tiempo real
(RBL)

A diferencia de la lista de agujero negro, la lista de
agujero negro en tiempo real rechaza todos los mensajes de spam,
válidos o no, procedentes de direcciones conocidas por
enviar spam o acoger a spammers. No obstante, esto podría
llevar a los proveedores de servicios de Internet a tomar medidas
anti-spam.

Lista gris

Los remitentes que no están en una lista negra
(excluidos) o en una lista blanca (aceptados) pueden colocarse en
una lista gris. Algunos programas anti-spam pueden enviar a las
direcciones de la lista gris una respuesta automática
solicitando al remitente que confirme su legitimidad.

Lista negra

Función del software anti-spam que permite al
usuario designar direcciones IP, nombres de dominio y direcciones
individuales de correo electrónico desde las que no
aceptará mensajes.

Open Proxy

El caso de open proxy ó
proxy abierto ocurre cuando dentro del equipo se instala un
servidor proxy con el objetivo de que los equipos que se
encuentran dentro de la red interna puedan navegar a
través de este, pero la configuración que se
realiza no es la adecuada, permitiendo que cualquier persona
desde Internet pueda usar este equipo para navegar o en su
defecto para enviar correo SPAM de forma anónima, quedando
como origen del correo su equipo.

Open Relay

El ataque de Open Relay consta en usar el Mail
Transport Agent (Agente de Transporte de
Correos) como puente para correos (usualmente spam, aunque pueden
ser muchas otras cosas, como los Hoax) que de otra manera no
podrían llegar a destino, gracias a que los servidores
bloquearon la dirección IP de origen. De esta manera, la
gente que manda spam de forma indiscriminada se ve obligada a
usar otros servidores para esta tarea. Estos servidores que
permiten que se envíe correos a través de ellos, se
los denomina Open Relay. La función de
relay es una parte de los servidores SMTP y tiene usos
legítimos, pero los spammers han aprendido cómo
localizar servidores desprotegidos y secuestrarlos para enviar
spam.

Page-jacking

Se trata del robo del contenido de una Web. Se copian
algunas páginas y se colocan en una Web que parece ser
legítima y el contenido se incluye en los principales
buscadores, de
manera que algunos usuarios visiten la página
ilegítima.

Piratería informática
(phreaking)

Se trata del acceso ilegal en una red telefónica
para hacer llamadas de larga distancia gratuitas o intervenir
llamadas. Este término también se usa para hacer
referencia al incumplimiento de la seguridad en una
red.

Phishing

Creación de réplicas de páginas
Web para "pescar" a usuarios y hacerles enviar
información personal o financiera o
contraseñas.

Programas Peer to Peer

Aplicaciones que establecen una comunicación
entre dos usuarios sobre Internet de manera reciproca.

Recolector de direcciones

Programa que examina páginas Web y filtra
mensajes de listas de correo para obtener direcciones de correo
electrónico a las que enviar spam.

Server Message Block

Protocolo de red que permite compartir archivos e
impresoras
(entre otras cosas) entre nodos de una red.

SMTP

Simple Mail Transfer Protocol (SMTP), o protocolo simple
de transferencia de correo electrónico. Protocolo de red
basado en texto utilizado para el intercambio de mensajes de
correo electrónico entre computadoras y/o distintos
dispositivos (PDA's, Celulares, etc).

Spam

Correo comercial no solicitado y correos masivos no
solicitados.

Spammer

La persona o compañía que realiza el
envío de Spam.

Spamming lists

Listas comerciales. Listas de direcciones de correo para
envío de publicidad de forma masiva.

SPF

Sender Policy Framework. Es una protección
contra la falsificación de direcciones en el envío
de correo electrónico. Identifica, a través de los
registros de
nombres de dominio (DNS), a los servidores de correo SMTP
autorizados para el transporte de los mensajes.

Spoofing

Se produce cuando grupos de spammers falsifican una
dirección de correo electrónico para ocultar el
origen del mensaje de spam. Grupos de estafadores por email o
creadores de virus también utilizan este método.
Los primeros falsifican las direcciones para hacer creer a los
usuarios que el email procede de una fuente legítima, como
por ejemplo un banco online. Del
mismo modo, los creadores de virus han circulado supuestos
parches de seguridad pretendiendo que proceden de algún
soporte técnico.

Spyware

Programa que es instalado de manera "encubierta" en el
computador de un usuario y el cual utiliza la conexión a
Internet de este para sacara datos e información sobre el
contenido de nuestro equipo o comportamiento
al navegar en Internet.

Trampa de spam

Opción preseleccionada por defecto en un
formulario online, de manera que los usuarios desprevenidos
escojan recibir spam. También hace referencia al filtrado
de software que bloquea direcciones de email conocidas por enviar
spam.

Troyanos

Son programas que se instalan de manera silenciosa por
un tercero en cualquier equipo o dispositivo que este conectado a
Internet, con el fin de realizar un control de forma remota sobre
estos sistemas comprometidos, y de esta manera, poder conectarse
a estos equipos ó dispositivos para realizar acciones
(ataques, envío de spam, etc) sin que el usuario
legítimo pueda darse cuenta de esto.

Usenet (o Netnews)

Es un servicio al que se puede acceder desde Internet en
el que los usuarios pueden leer o enviar mensajes (denominados
artículos) a distintos grupos de noticias
ordenados de forma jerárquica. El medio se sostiene
gracias a un gran número de servidores distribuidos y
actualizados mundialmente, que guardan y transmiten los
mensajes.

Web bug

Pequeño gráfico insertado en un correo
electrónico o página Web
que avisa a un spammer cuando un mensaje se ha leído o
previsualizado.