Antispam

22/10/2010

 pdf

¿Cómo funciona el anti-spam?

Para Microsoft, el spam es cualquier mensaje electrónico no deseado. Otras organizaciones más especializadas en el tema, como spam.abuse.net consideran que el término hace referencia a los mensajes de correo electrónico que se envían a una gran cantidad de usuarios, quienes de otra manera no estarían interesados en recibirlos. Spamlaws.com considera que éste tiene tres características fundamentales: ocultar la identidad del remitente, enviar mensajes a una gran cantidad de usuarios y no contar con el consentimiento o aprobación de los receptores para recibirlos.

Spamcampaign.net indica que es el abuso de sistemas electrónicos de mensajería para el envío de mensajes de correo no solicitados. Agrega, que a pesar de que el correo electrónico es el servicio más afectado por el spam , también puede aplicarse a otros medios de comunicación, como mensajería instantánea, grupos de noticias, motores de búsqueda web, sección de comentarios en blogs, dispositivos móviles, foros de internet e incluso transmisiones falsas de fax.

Un ejemplo reciente del envío de spam ocurrió en 2008, cuando un usuario de Facebook colocó cuatro millones de anuncios de alargamiento del pene en los muros de los usuarios. La noticia completa puede ser consultada aquí: http://www.seguridad.unam.mx/noticias/?noti=4073

Además de reducir la productividad de quienes los reciben, éste también es un medio de propagación de malware, mensajes de suplantación de identidad y un consumidor de recursos de la infraestructura informática de las organizaciones (ancho de banda, procesamiento, memoria, etc.).

Como respuesta a este problema se han desarrollado varias tecnologías conocidas como anti-spam . Las principales son:

Listas de confianza

De acuerdo con esta clasificación, las categorías más utilizadas de listas son negras y blancas. Se definen como listas blancas a un conjunto de remitentes que el destinatario considera de confianza y de quienes desea recibir mensajes.

En el otro extremo están las listas negras, las cuales sirven para identificar a los remitentes de correo spam . Cada vez que llega un mensaje de correo de un remitente que se encuentre en la lista negra, la aplicación anti-spam será responsable de bloquearlo o simplemente catalogarlo y redirigirlo a una carpeta especial. Existen varias organizaciones que mantienen listas negras, tales como Spamcop , Spamhous y MAPS .

Es importante que las listas negras sean actualizadas y tengan mantenimiento constante. Las listas blancas normalmente son creadas por el usuario final o los administradores, con el fin de asegurar que el correo de remitentes de confianza no sea bloqueado por herramientas anti-spam .

Para entender mejor el funcionamiento de las listas de confianza, a continuación veremos un ejemplo de su uso.

Supongamos que damos de alta una nueva cuenta de correo en un proveedor gratuito de cuentas de correo (Hotmail, gmail, yahoo, etc.). Ahora imaginemos que el spammer spammer@malicioso.com envía un correo spam a nuestra cuenta. El proveedor de servicios ha actualizado la lista negra, en donde se encuentra la dirección spammer@malicioso.com , debido a que éste ha enviado antes correos spam a otros usuarios y ha sido identificado. Cuando el mensaje llega al servidor de correo, la herramienta anti-spam de nuestro proveedor busca la dirección del remitente en la lista negra y la encuentra, de manera que cataloga ese correo como spam y la redirige a la carpeta de correo no deseado.

Administración de listas en Hotmail

  • 1. Dirigirse al menú de opciones en la parte superior derecha

  • 2. En la opción de correo no deseado, escoger remitentes seguros y bloqueados.

  • 3. Escoger la lista de correo seguro o bien la de contactos bloqueados

  • 4. Para agregar contactos a la lista blanca escoger remitentes seguros. Escribir el correo en el remitente y hacer clic en agregar a la lista. Verificar que el correo se agregue a la lista de remitentes seguros, en la parte derecha de la ventana.

  • 5. Para agregar un remitente a la lista negra, hacer clic sobre "Remitentes bloqueados" en el menú del paso tres y repetir el procedimiento del paso cuatro.

Listas de confianza en Gmail

En Gmail no se maneja como tal una configuración de listas blancas y negras, pero se puede tener una funcionalidad equivalente por medio del uso de filtros.

  • 1. Entrar a la configuración de la cuenta, en la parte superior derecha del correo.

  • 2. Entrar a la configuración de Filtros

  • 3. Escribir el nombre del remitente en el campo dirección y hacer clic en "Paso siguiente".

Seleccionar "Suprimirlo" para colocar la dirección en la lista negra y posteriormente hacer clic en "Crear Filtro".

Si se quisiera agregar una cuenta de correo a la lista blanca, se haría de forma similar, sólo que en vez de seleccionar la opción "Suprimirlo" ahora se seleccionaría la opción "No enviar nunca a Spam".

Filtros Bayesianos

Son herramientas de inteligencia artificial, que calculan la probabilidad de que un mensaje sea spam , basándose en su contenido. A diferencia de los filtros simples de contenido, el bayesiano aprende del correo deseado y del no deseado, de manera que se convierte en una solución adaptable y eficiente que actualmente tiene una tasa baja de falsos positivos.

Después de pasar por el proceso de aprendizaje, el filtro asigna valores a las palabras clave del mensaje, los cuales usa para asignar una calificación global a éste. Su desventaja radica en que necesitan un periodo de aprendizaje durante el cual serán poco efectivos, su ventaja, en comparación con las listas negras, yace en que no sólo se basa en la dirección del remitente para asignar el valor al mensaje, sino también en el contenido de los deseados, esto permite que se adapten automáticamente a nuevos mensajes de spam, con pocas modificaciones por parte del usuario.

Base de datos de spam colaborativa

Es una red de filtrado para la detección de spam colaborativa y distribuida. A diferencia de las listas negras que son creadas y mantenidas por una organización, las bases de datos colaborativas se forman por usuarios colaboradores quienes envían a la base de datos los correos que consideran spam .

Cuando suficientes usuarios reportan un mensaje como spam, se dispara una alerta que lo cataloga como tal. Las herramientas anti-spam pueden consultar estas bases de datos para tomar la decisión de bloquear o simplemente catalogar el mensaje. Este tipo de herramienta es ideal para las redes sociales, por ejemplo Facebook, pues permite a los usuarios marcar como spam los mensajes que un usuario recibe en su página personal, de esta manera, los mismos usuarios van catalogando los mensajes, que posteriormente Facebook utiliza para detectar y eliminar los mensajes con una calificación alta de spam.

Firewall de spam

Son soluciones basadas en hardware que filtran el correo spam en las redes corporativas. Reducen la carga de procesamiento de otros equipos en la red (en particular de los servidores de correo) y el desperdicio de recursos informáticos de la organización. Este tipo de soluciones normalmente son usadas por grandes organizaciones como ISPs, prov eedores de servicios web, administradores de sistemas corporativos y departamentos de tecnologías de la información. Varios fabricantes de firewalls de spam indican que sus productos también filtran códigos maliciosos.

Filtros de reto-respuesta

Este tipo de técnica aún no se usa ampliamente. Consiste en que cada remitente recibirá un mensaje de reto, el cual contiene un captcha que deberá ser resuelto para que su mensaje pueda ser enviado al destinatario.

No obstante, el captcha es un procedimiento común, usado en los servicios de correo electrónico web convencionales al dar de alta una cuenta. Esta prueba sirve para evitar que se utilicen programas de computadora en procesos que sólo deberían realizar directamente las personas.

Las personas que envían spam ( spammers ), mandan cientos o miles de mensajes, así les sería imposible resolver manualmente todos los captchas y su dirección sería agregada a una lista negra. Para que funcionase correctamente, los usuarios deberían de cambiar sus hábitos, por ejemplo dar de alta en la lista blanca las cuentas de correo que desean recibir, así como entender cuál es el propósito del reto con el captcha remitido automáticamente a ellos una vez enviado el correo electrónico.

Correos electrónicos desechables

Este método consiste en usar una cuenta de correo electrónico gratuita para cada servicio de internet y posteriormente configurar cada una de éstas para reenviar los mensajes a la cuenta principal. En caso de que algún sitio web proporcione la dirección de ese usuario a un tercero no autorizado, el destinatario del correo puede eliminar la cuenta desechable de ese servicio para dejar de recibir spam , además sabrá qué organización dio su cuenta de correo a un tercero no autorizado.

Red de cuentas señuelo (probe network)

Se forma por millones de cuentas de correo señuelo que simulan ser de una gran variedad de usuarios de internet y se configuran para atraer grandes cantidades de correo spam . Estas soluciones normalmente son implantadas por grandes corporaciones de seguridad que utilizan la información que recopilan mediante las redes señuelo y las vinculan con las soluciones antispam que ofrecen. Un ejemplo importante es la red de Symantec.

Buenas prácticas

Además de las herramientas tecnológicas, la mejor arma anti-spam la proporcionan los buenos hábitos o prácticas:

  • Proporcionar el correo electrónico sólo en caso de ser necesario, así como no suscribirse en listas de correo innecesarias.

  • Cuando sea posible, publicar el correo electrónico como una imagen, en vez de texto, de esta manera se evita que las herramientas automáticas de los spammers ( crawlers ) capturen la dirección de correo electrónico.

  • Borrar los correos spam sin abrirlos, si el éste se envía con acuse de recibo, el spammer sabrá que esa cuenta está activa y probablemente enviará más a esa cuenta.

  • No tratar de cancelar la suscripción de listas de correo que no conozcamos, es una técnica común que usan los spammers para saber si una cuenta está activa.

  • Catalogar los mensajes como spam sin abrirlos, de manera que se pueda enriquecer la base de datos colaborativa.

  • Mantener el software de nuestras computadoras actualizado y contar con herramientas antimalware, como antivirus y firewall. El malware que infecta las computadoras se usa con frecuencia para enviar spam , por lo que manteniendo nuestros sistemas limpios, evitamos ser parte del problema.

  • Concientización del problema con seminarios, cursos o manuales de usuario.

Existen una variedad de soluciones anti-spam que pueden ser implementadas, sin embargo, los spammers están continuamente mejorando sus técnicas para evitar que la detección de mensajes. Existe una guerra tecnológica entre las herramientas anti-spam y las de los spammers , por eso es muy importante combinar el uso de herramientas actualizadas con buenas prácticas. Algunos productos usan múltiples técnicas para la detección de spam , lo que aumenta su eficacia si se implementan adecuadamente.

Referencias:

Microsoft Online Safety - What is spam?
http://www.microsoft.com/protect/terms/spam.aspx
SpamLaws - What is spam?
http://www.spamlaws.com/what-is-spam.html
Spam.abuse.net - What is spam?
http://spam.abuse.net/overview/whatisspam.shtml
Spam.org
http://www.spam.org
Spamhaus.org
http://www.spamhaus.org
SpamCampaign.net
http://www.spamcampaign.net/
SpamCop.net
http://www.spamcop.net
mail-abuse.com
http://www.mail-abuse.com
SpamAssassin
http://spamassassin.apache.org
Microsoft Online Safety - How to handle suspicious e-mail
http://www.microsoft.com/protect/fraud/spam/email.aspx

Liberación original: Viernes, 22 Octubre 2010
Última revisión: Jueves, 16 Junio 2011

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

David Bernal Michelena

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM 
Coordinación de Seguridad de la Información 
Dirección General de Cómputo y Tecnologías de Información y Comunicación 
Universidad Nacional Autónoma de México 
E-Mail: incidentes@cert.unam.mx 
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69