El correo basura, una enfermedad crónica acens Jaime Fernández Gómez

Anuncio
El correo basura, una enfermedad crónica
Jaime Fernández Gómez
Responsable de sistemas de acens
jaime.fernandez@acens.com
acens
RESUMEN
Los usuarios de la Red somos
enfermos crónicos. Padecemos un mal que, con
nuestros conocimientos actuales, no se puede
curar. El correo basura nos afecta a todos por
igual, y debemos aprender a vivir con esta
enfermedad hasta que consigamos una vacuna,
mezcla de medidas legales y tecnológicas, que
nos libre de esta pandemia que arrasa Internet.
En esta ponencia se analiza el estado del arte de
las mejores técnicas paliativas contra el SPAM,
desde diversos puntos de vista: el del usuario
final, el del gestor de un servidor de correo, el
del responsable de una gran plataforma o el del
grupo antispam de una compañía de
telecomunicaciones. Cada uno con sus propias
dolencias y sus propios remedios, pero todos
con un mismo objetivo: combatir el correo
basura de la mejor forma posible.
Evolución de la enfermedad
El correo basura ha envejecido mal. Su
agresividad no ha parado de aumentar, tanto en
el número de correos no deseados que inundan
la Red [1] como en los métodos empleados para
distribuir el SPAM por doquier [2]. Pero lo más
grave es que el correo basura se ha convertido
en una de las técnicas más empleadas por la
delincuencia organizada que opera en Internet
[3]. El SPAM ha pasado de ser una molestia a
ser una amenaza para los internautas. Los timos,
engaños y fraudes más empleados en Internet se
basan en el envío masivo de correo no
solicitado. El phising, el robo de información o
el uso de ordenadores de terceros para cometer
todo tipo de delitos utilizan el SPAM como
principal vía de difusión o contagio, aplicando
técnicas de ingeniería social, agujeros de
seguridad en las aplicaciones más populares
(como navegadores o programas de correo) o a
través de los timos, ya clásicos, que giran y
giran sin parar por la entrañas de la Red.
Los delincuentes que emplean el correo
basura para lograr sus perversos objetivos
emplean métodos basados tanto en la calidad
como la cantidad. Con respecto a la calidad de
los mensajes no deseados, existen numerosas
técnicas para disfrazar el SPAM como si fuera
correo legítimo [4], y los trucos y artimañas
para conseguir engañar a los filtros antispam no
dejan de cambiar y mejorar. En cuanto a la
cantidad, el SPAM ha mantenido un constante
crecimiento durante 2006, por dos motivos.
Uno, el número de objetivos alcanzados
aumenta en proporción al número de correos
basura, y dos, las técnicas antispam más
eficaces se hacen mucho más difíciles de llevar
a la práctica con millones y millones de correos
basura pendientes de analizar, lo que provoca
retrasos en la entrega del correo legítimo, mayor
número de falsos positivos y, al fin, el abandono
de ese tipo de técnicas. En resumen, los
delincuentes han mejorado de tal forma la
calidad y la cantidad del SPAM que han
obligado a las empresas, a los organismos
públicos y privados y a los propios internautas a
un esfuerzo cada vez mayor en la lucha contra el
SPAM. Por fortuna, durante el año 2006 han
aparecido numerosas leyes contra los delitos
cometidos en al Red, muchas de ellas dirigidas a
la lucha contra el correo basura. Por tratarse de
un problema de ámbito mundial, son
especialmente apreciadas las de ámbito europeo,
y las iniciativas que intentan fijar un marco
global para perseguir estos delitos más allá de
las fronteras de cualquier país [5]
Técnicas antispam para Telcos
Algunas de las mayores empresas de
telecomunicaciones (Telcos) de España están
situadas en los primeros puestos de la
clasificación de principales emisores de correo
[6]. Por ejemplo, la red RIMA de Telefónica
suele estar entre las tres primeras de la lista, con
más de trescientos millones de mensajes diarios
surgidos de los ordenadores conectados a
RIMA. Otra compañía española, ONO, tras la
compra del negocio de Internet de Auna, suele
situarse entre el puesto diez y el veinte, con más
de ochenta millones de correos al día. Como no
se trata de empresas que se dediquen al envío
masivo de correos electrónicos sino que son
compañías de telecomunicaciones, se entiende
que alrededor del 70% de todo el correo que
parte de sus redes de datos es basura. La mayor
proporción de ese SPAM se genera en los
cientos de miles de ordenadores zombis que
pueblan esas redes [7] . Se trata de ordenadores
personales conectados a líneas de banda ancha,
tipo ADSL o cable, que han sido infectados por
un troyano o similar y que son utilizados para el
envío de SPAM sin el consentimiento ni el
conocimiento de sus dueños. La mezcla de
ordenadores difíciles de proteger para la mayor
parte de los usuarios, el espectacular aumento
de líneas de alta capacidad en España (más de
cinco millones) y el uso de programas de
intercambio de ficheros tipo P2P, que obligan a
mantener siempre conectado el ordenador, han
producido un incesante reguero de muertos
vivientes manipulados por los señores del
SPAM. Las empresas de Telecomunicaciones se
enfrentan al dilema de cerrar los ojos ante esta
realidad y asumir los altísimos costes que el
correo basura les genera o bloquear el envío de
correo a sus clientes residenciales y PYMES.
Una primera alternativa a estas dos soluciones
extremas (nada agradables para una Telco)
consiste en aplicar las normas que propone la
Federal Tarde Commision [8]. En este sentido,
existe una experiencia muy interesante sobre el
control de flujo del correo electrónico que, no
sin un duro trabajo, puede significar una
herramienta muy efectiva para una compañía de
Telecomunicaciones en su ardua tarea de
detectar y bloquear el correo basura que procede
de ordenadores zombis.
Técnicas antispam para Proveedores de
servicios de Internet
La experiencia ha enseñado a los
Proveedores de servicios de Internet (PSI) que
la lucha contra el correo basura significa,
además de una migraña técnica persistente,
gastos y más gastos. Y cada día que pasa
empeora el panorama, por las razones señaladas
anteriormente. Las mejores técnicas antispam,
entendiendo como tales aquellas que
proporcionan mayores índices de aciertos con
los menores índices de ‘falsos positivos’
(correos legítimos que se consideraron SPAM)
requieren grandes plataformas de correo, con
mucha capacidad en todos sus frentes y, quizá lo
más costoso, con una dedicación y cuidado
constante por parte del personal técnico del PSI.
Pero se trata de un esfuerzo inevitable, porque el
correo electrónico resulta esencial para muchas
empresas y particulares, casi al mismo nivel que
el teléfono o el fax, y todo PSI es consciente de
su relevancia
en las
comunicaciones
electrónicas de sus clientes.
Desde hace un tiempo se ha
popularizado entre las mayores plataformas de
correo una arquitectura de tipo ‘capas de
cebolla’. En la capa exterior se sitúa un
cortafuegos de alta capacidad como primera
protección básica de la plataforma de correo. La
segunda capa la constituye uno o más servidores
MTA de alta capacidad, llamados servidores de
frontera, preparados para gestionar miles de
conexiones SMTP concurrentes y ajustados para
afrontar las principales amenazas que existen en
este nivel: ataques de denegación de servicio,
ataques por diccionario, ataques por correos
devueltos, etc. Estos servidores rechazan todos
los correos a direcciones inexistentes, y ofrecen
una gestión inteligente de los correos
‘encolados’, para evitar atascos y retrasos en la
entrega. De un tiempo a esta parte se ha
regresado a la utilización de un tipo especial de
listas negras en estos servidores de frontera, que
ofrecen mecanismos más adecuados que el
simple rechazo cuando una IP se encuentra en
una determinada lista negra.
La tercera capa está formada por los
servidores antivirus y antispam. Se procura que
a estos servidores llegue sólo una parte de los
correos que llaman a la puerta de los servidores
de frontera. Como de costumbre, hay que hilar
fino para minimizar los ‘falsos positivos’ en los
servidores de frontera, pero deben filtrar la
suficiente cantidad de mensajes para evitar el
colapso de los servidores Antivirus y AntiSpam,
que tienen una capacidad mucho más limitada
por el tipo de análisis que deben efectuar. Con
respecto a los filtros antispam, se suele utilizar
una mezcla de reglas heurísticas y filtros
Bayesianos que calculan la probabilidad de que
un correo sea SPAM. A partir de esa
probabilidad se toman las acciones oportunas.
Técnicas antispam para PYMES
La pequeña y mediana empresa tiene
dos grandes alternativas en la actualidad:
gestionar ellos mismos su correo electrónico o
confiar en un tercero. Si optan por la primera
opción deben buscar una solución profesional
que les garantice cierta estabilidad y calidad en
su correo electrónico. Si no poseen suficiente
músculo técnico para mantener en perfecto
estado de orden una solución software lo
razonable es adquirir un caja negra de tipo ‘todo
en uno’, incluyendo la actualización de las
firmas del motor antivirus y las reglas de los
filtros ‘antispam’. Existen buenos productos en
el mercado pero, como es habitual, los mejores
son caros, en especial por sus necesarios
contratos de soporte y actualización. A cambio
ofrecen buenos resultados sin apenas
mantenimiento.
Muchas empresas, en cambio, eligen la
externalización de su correo electrónico. Las
ventajas son evidentes, tantas que son cada vez
más las compañías que abandonan su
plataforma de correo y contratan buzones a un
PSI o similar. La llegada de nuevos buzones
corporativos, tipo Lotus Notes o Exchange, en
modo de alquiler ha animado más este tipo de
servicios.
¿Antispam para Internautas?
Los usuarios no quieren recibir correo
basura pero, en general, tampoco quieren
dedicar tiempo a luchar contra esta pandemia.
Existe una peligrosa tendencia a delegar en los
internautas ciertas tareas que no tienen el menor
interés para ellos, y que terminarán haciendo
mal, muy mal o no harán en absoluto. Resultan
paradigmáticos los esfuerzos que un internauta
debe realizar con respecto a la seguridad
informática [9]. Ni siquiera los propios
informáticos cumplen con todas esas normas
básicas de seguridad. Si muestran más interés
por las medidas antispam es, sencillamente, por
la molestia continua que supone el correo
basura. Y mientras los señores del SPAM sigan
ganando la batalla - no nos engañemos, ahora
mismo vencen ellos – será loable que los
internautas que lo deseen utilicen sus propias
herramientas para evitar esta gota malaya. Pero
es difícil contar con ellos como un punto más de
apoyo, porque no son colaboradores, son
sufridores. Y el objetivo de los profesionales del
correo electrónico debe ser paliar su sufrimiento
ahora y, si pueden, eliminarlo cuanto antes.
Conclusiones
La situación del correo electrónico ha
empeorado durante los últimos meses, en
especial por el aumento de correo basura, sin
olvidar la unión de este con los virus y la
ingeniería social, esto es, los engaños y timos a
través de mensajes de correo. No existe una
solución definitiva contra el SPAM, y no parece
que a corto plazo se encuentre una. Los
responsables del correo electrónico deben de
aplicar un conjunto de mecanismos que,
empleados en las dosis correctas para su
entorno, les permitan bloquear una gran
cantidad de correo no deseado y reducir al
mínimo el número de falsos positivos que
generen esos mecanismos antispam.
Referencias
[1] Message Labs: 2006 Annual Report
http://www.messagelabs.com/publishedcontent/
publish/threat_watch_dotcom_en/intelligence_r
eports/2006_annual_security_report/DA_17565
7.html
[2] Vital Statistics: how 2006 shaped out
http://www.sophos.com/sophos/docs/eng/marke
ting_material/sophos-top-numbers-2006-ttus.pdf
[3] Hispasec: El spam financiero y su impacto
en los mercados de valores
http://www.hispasec.com/unaaldia/2762
[4] SPAM: mensajes no solicitados
http://www.pandasoftware.es/virus_info/spam/?
sitepanda=
[5] Stop Spam Alliance
http://www.stopspamalliance.org/
[6] SenderBase
http://www.senderbase.org/
[7] Internet Storm Center
http://isc.sans.org/
[8] FTC y zombies
http://www.ftc.gov/bcp/conline/edcams/spam/zo
mbie/letter_english.htm
[9] Alerta-antivirus.es
http://alertaantivirus.red.es/seguridad/ver_pag.html?tema=S
&articulo=14&pagina=0
Reseña curricular
Jaime Fernández Gómez es responsable
de
sistemas
en
acens
technologies
(www.acens.com)
Descargar