El correo basura, una enfermedad crónica Jaime Fernández Gómez Responsable de sistemas de acens jaime.fernandez@acens.com acens RESUMEN Los usuarios de la Red somos enfermos crónicos. Padecemos un mal que, con nuestros conocimientos actuales, no se puede curar. El correo basura nos afecta a todos por igual, y debemos aprender a vivir con esta enfermedad hasta que consigamos una vacuna, mezcla de medidas legales y tecnológicas, que nos libre de esta pandemia que arrasa Internet. En esta ponencia se analiza el estado del arte de las mejores técnicas paliativas contra el SPAM, desde diversos puntos de vista: el del usuario final, el del gestor de un servidor de correo, el del responsable de una gran plataforma o el del grupo antispam de una compañía de telecomunicaciones. Cada uno con sus propias dolencias y sus propios remedios, pero todos con un mismo objetivo: combatir el correo basura de la mejor forma posible. Evolución de la enfermedad El correo basura ha envejecido mal. Su agresividad no ha parado de aumentar, tanto en el número de correos no deseados que inundan la Red [1] como en los métodos empleados para distribuir el SPAM por doquier [2]. Pero lo más grave es que el correo basura se ha convertido en una de las técnicas más empleadas por la delincuencia organizada que opera en Internet [3]. El SPAM ha pasado de ser una molestia a ser una amenaza para los internautas. Los timos, engaños y fraudes más empleados en Internet se basan en el envío masivo de correo no solicitado. El phising, el robo de información o el uso de ordenadores de terceros para cometer todo tipo de delitos utilizan el SPAM como principal vía de difusión o contagio, aplicando técnicas de ingeniería social, agujeros de seguridad en las aplicaciones más populares (como navegadores o programas de correo) o a través de los timos, ya clásicos, que giran y giran sin parar por la entrañas de la Red. Los delincuentes que emplean el correo basura para lograr sus perversos objetivos emplean métodos basados tanto en la calidad como la cantidad. Con respecto a la calidad de los mensajes no deseados, existen numerosas técnicas para disfrazar el SPAM como si fuera correo legítimo [4], y los trucos y artimañas para conseguir engañar a los filtros antispam no dejan de cambiar y mejorar. En cuanto a la cantidad, el SPAM ha mantenido un constante crecimiento durante 2006, por dos motivos. Uno, el número de objetivos alcanzados aumenta en proporción al número de correos basura, y dos, las técnicas antispam más eficaces se hacen mucho más difíciles de llevar a la práctica con millones y millones de correos basura pendientes de analizar, lo que provoca retrasos en la entrega del correo legítimo, mayor número de falsos positivos y, al fin, el abandono de ese tipo de técnicas. En resumen, los delincuentes han mejorado de tal forma la calidad y la cantidad del SPAM que han obligado a las empresas, a los organismos públicos y privados y a los propios internautas a un esfuerzo cada vez mayor en la lucha contra el SPAM. Por fortuna, durante el año 2006 han aparecido numerosas leyes contra los delitos cometidos en al Red, muchas de ellas dirigidas a la lucha contra el correo basura. Por tratarse de un problema de ámbito mundial, son especialmente apreciadas las de ámbito europeo, y las iniciativas que intentan fijar un marco global para perseguir estos delitos más allá de las fronteras de cualquier país [5] Técnicas antispam para Telcos Algunas de las mayores empresas de telecomunicaciones (Telcos) de España están situadas en los primeros puestos de la clasificación de principales emisores de correo [6]. Por ejemplo, la red RIMA de Telefónica suele estar entre las tres primeras de la lista, con más de trescientos millones de mensajes diarios surgidos de los ordenadores conectados a RIMA. Otra compañía española, ONO, tras la compra del negocio de Internet de Auna, suele situarse entre el puesto diez y el veinte, con más de ochenta millones de correos al día. Como no se trata de empresas que se dediquen al envío masivo de correos electrónicos sino que son compañías de telecomunicaciones, se entiende que alrededor del 70% de todo el correo que parte de sus redes de datos es basura. La mayor proporción de ese SPAM se genera en los cientos de miles de ordenadores zombis que pueblan esas redes [7] . Se trata de ordenadores personales conectados a líneas de banda ancha, tipo ADSL o cable, que han sido infectados por un troyano o similar y que son utilizados para el envío de SPAM sin el consentimiento ni el conocimiento de sus dueños. La mezcla de ordenadores difíciles de proteger para la mayor parte de los usuarios, el espectacular aumento de líneas de alta capacidad en España (más de cinco millones) y el uso de programas de intercambio de ficheros tipo P2P, que obligan a mantener siempre conectado el ordenador, han producido un incesante reguero de muertos vivientes manipulados por los señores del SPAM. Las empresas de Telecomunicaciones se enfrentan al dilema de cerrar los ojos ante esta realidad y asumir los altísimos costes que el correo basura les genera o bloquear el envío de correo a sus clientes residenciales y PYMES. Una primera alternativa a estas dos soluciones extremas (nada agradables para una Telco) consiste en aplicar las normas que propone la Federal Tarde Commision [8]. En este sentido, existe una experiencia muy interesante sobre el control de flujo del correo electrónico que, no sin un duro trabajo, puede significar una herramienta muy efectiva para una compañía de Telecomunicaciones en su ardua tarea de detectar y bloquear el correo basura que procede de ordenadores zombis. Técnicas antispam para Proveedores de servicios de Internet La experiencia ha enseñado a los Proveedores de servicios de Internet (PSI) que la lucha contra el correo basura significa, además de una migraña técnica persistente, gastos y más gastos. Y cada día que pasa empeora el panorama, por las razones señaladas anteriormente. Las mejores técnicas antispam, entendiendo como tales aquellas que proporcionan mayores índices de aciertos con los menores índices de ‘falsos positivos’ (correos legítimos que se consideraron SPAM) requieren grandes plataformas de correo, con mucha capacidad en todos sus frentes y, quizá lo más costoso, con una dedicación y cuidado constante por parte del personal técnico del PSI. Pero se trata de un esfuerzo inevitable, porque el correo electrónico resulta esencial para muchas empresas y particulares, casi al mismo nivel que el teléfono o el fax, y todo PSI es consciente de su relevancia en las comunicaciones electrónicas de sus clientes. Desde hace un tiempo se ha popularizado entre las mayores plataformas de correo una arquitectura de tipo ‘capas de cebolla’. En la capa exterior se sitúa un cortafuegos de alta capacidad como primera protección básica de la plataforma de correo. La segunda capa la constituye uno o más servidores MTA de alta capacidad, llamados servidores de frontera, preparados para gestionar miles de conexiones SMTP concurrentes y ajustados para afrontar las principales amenazas que existen en este nivel: ataques de denegación de servicio, ataques por diccionario, ataques por correos devueltos, etc. Estos servidores rechazan todos los correos a direcciones inexistentes, y ofrecen una gestión inteligente de los correos ‘encolados’, para evitar atascos y retrasos en la entrega. De un tiempo a esta parte se ha regresado a la utilización de un tipo especial de listas negras en estos servidores de frontera, que ofrecen mecanismos más adecuados que el simple rechazo cuando una IP se encuentra en una determinada lista negra. La tercera capa está formada por los servidores antivirus y antispam. Se procura que a estos servidores llegue sólo una parte de los correos que llaman a la puerta de los servidores de frontera. Como de costumbre, hay que hilar fino para minimizar los ‘falsos positivos’ en los servidores de frontera, pero deben filtrar la suficiente cantidad de mensajes para evitar el colapso de los servidores Antivirus y AntiSpam, que tienen una capacidad mucho más limitada por el tipo de análisis que deben efectuar. Con respecto a los filtros antispam, se suele utilizar una mezcla de reglas heurísticas y filtros Bayesianos que calculan la probabilidad de que un correo sea SPAM. A partir de esa probabilidad se toman las acciones oportunas. Técnicas antispam para PYMES La pequeña y mediana empresa tiene dos grandes alternativas en la actualidad: gestionar ellos mismos su correo electrónico o confiar en un tercero. Si optan por la primera opción deben buscar una solución profesional que les garantice cierta estabilidad y calidad en su correo electrónico. Si no poseen suficiente músculo técnico para mantener en perfecto estado de orden una solución software lo razonable es adquirir un caja negra de tipo ‘todo en uno’, incluyendo la actualización de las firmas del motor antivirus y las reglas de los filtros ‘antispam’. Existen buenos productos en el mercado pero, como es habitual, los mejores son caros, en especial por sus necesarios contratos de soporte y actualización. A cambio ofrecen buenos resultados sin apenas mantenimiento. Muchas empresas, en cambio, eligen la externalización de su correo electrónico. Las ventajas son evidentes, tantas que son cada vez más las compañías que abandonan su plataforma de correo y contratan buzones a un PSI o similar. La llegada de nuevos buzones corporativos, tipo Lotus Notes o Exchange, en modo de alquiler ha animado más este tipo de servicios. ¿Antispam para Internautas? Los usuarios no quieren recibir correo basura pero, en general, tampoco quieren dedicar tiempo a luchar contra esta pandemia. Existe una peligrosa tendencia a delegar en los internautas ciertas tareas que no tienen el menor interés para ellos, y que terminarán haciendo mal, muy mal o no harán en absoluto. Resultan paradigmáticos los esfuerzos que un internauta debe realizar con respecto a la seguridad informática [9]. Ni siquiera los propios informáticos cumplen con todas esas normas básicas de seguridad. Si muestran más interés por las medidas antispam es, sencillamente, por la molestia continua que supone el correo basura. Y mientras los señores del SPAM sigan ganando la batalla - no nos engañemos, ahora mismo vencen ellos – será loable que los internautas que lo deseen utilicen sus propias herramientas para evitar esta gota malaya. Pero es difícil contar con ellos como un punto más de apoyo, porque no son colaboradores, son sufridores. Y el objetivo de los profesionales del correo electrónico debe ser paliar su sufrimiento ahora y, si pueden, eliminarlo cuanto antes. Conclusiones La situación del correo electrónico ha empeorado durante los últimos meses, en especial por el aumento de correo basura, sin olvidar la unión de este con los virus y la ingeniería social, esto es, los engaños y timos a través de mensajes de correo. No existe una solución definitiva contra el SPAM, y no parece que a corto plazo se encuentre una. Los responsables del correo electrónico deben de aplicar un conjunto de mecanismos que, empleados en las dosis correctas para su entorno, les permitan bloquear una gran cantidad de correo no deseado y reducir al mínimo el número de falsos positivos que generen esos mecanismos antispam. Referencias [1] Message Labs: 2006 Annual Report http://www.messagelabs.com/publishedcontent/ publish/threat_watch_dotcom_en/intelligence_r eports/2006_annual_security_report/DA_17565 7.html [2] Vital Statistics: how 2006 shaped out http://www.sophos.com/sophos/docs/eng/marke ting_material/sophos-top-numbers-2006-ttus.pdf [3] Hispasec: El spam financiero y su impacto en los mercados de valores http://www.hispasec.com/unaaldia/2762 [4] SPAM: mensajes no solicitados http://www.pandasoftware.es/virus_info/spam/? sitepanda= [5] Stop Spam Alliance http://www.stopspamalliance.org/ [6] SenderBase http://www.senderbase.org/ [7] Internet Storm Center http://isc.sans.org/ [8] FTC y zombies http://www.ftc.gov/bcp/conline/edcams/spam/zo mbie/letter_english.htm [9] Alerta-antivirus.es http://alertaantivirus.red.es/seguridad/ver_pag.html?tema=S &articulo=14&pagina=0 Reseña curricular Jaime Fernández Gómez es responsable de sistemas en acens technologies (www.acens.com)