Spam II

Técnicas de spam

Obtención de direcciones de correo

Los spammers (individuos o empresas que envían correo no deseado) utilizan diversas técnicas para conseguir las largas listas de direcciones de correo que necesitan para su actividad, generalmente a través de robots o programas automáticos que recorren internet en busca de direcciones. Algunas de las principales fuentes de direcciones para luego enviar el correo basura son:

  • Los propios sitios web, que con frecuencia contienen la dirección de su creador, o de sus visitantes (en foros, blogs, etc.).
  • Los grupos de noticias de usenet, cuyos mensajes suelen incluir la dirección del remitente.
  • Listas de correo: les basta con apuntarse e ir anotando las direcciones de sus usuarios.
  • Correos electrónicos con chistes, cadenas, etc. que los usuarios de internet suelen reenviar sin ocultar las direcciones, y que pueden llegar a acumular docenas de direcciones en el cuerpo del mensaje, pudiendo ser capturadas por un troyano o, más raramente, por un usuario malicioso.
  • Páginas en las que se solicita tu dirección de correo (o la de “tus amigos” para enviarles la página en un correo) para acceder a un determinado servicio o descarga.
  • Entrada ilegal en servidores.
  • Por ensayo y error: se generan aleatoriamente direcciones, y se comprueba luego si han llegado los mensajes. Un método habitual es hacer una lista de dominios, y agregarles “prefijos” habituales. Por ejemplo, para el dominio wikipedia.org, probar info@wikipedia.org, webmaster@wikipedia.org, staff@wikipedia.org, etc.13

Envío de los mensajes

e

Ciclo del SPAM
(1): Sitio web de Spammers
(2): Spammer
(3): Spamware
(4): ordenadores infectados
(5): Virus o troyanos
(6): Servidores de correo
(7): Usuarios
(8): Tráfico Web.

Una vez que tienen una gran cantidad de direcciones de correo válidas (en el sentido de que existen), los spammers utilizan programas que recorren la lista enviando el mismo mensaje a todas las direcciones. Esto supone un costo mínimo para ellos, pero perjudica al receptor (pérdidas económicas y de tiempo) y en general a Internet, por consumirse gran parte del ancho de banda en mensajes basura.

Verificación de la recepción

Además, es frecuente que el remitente de correo basura controle qué direcciones funcionan y cuáles no por medio de web bugs o pequeñas imágenes o similares contenidas en el código HTML del mensaje. De esta forma, cada vez que alguien lee el mensaje, su ordenador solicita la imagen al servidor de susodicho remitente, que registra automáticamente el hecho. Son una forma más de spyware. Otro sistema es el de prometer en los mensajes que enviando un mensaje a una dirección se dejará de recibirlos: cuando alguien contesta, significa no sólo que lo ha abierto, sino que lo ha leído.

Troyanos y ordenadores zombis

Recientemente, han empezado a utilizar una técnica mucho más perniciosa: la creación de virus troyanos que se expanden masivamente por ordenadores no protegidos (sin cortafuegos). Así, los ordenadores infectados son utilizados por el remitente de correo masivo como “ordenadores zombis”, que envían correo basura a sus órdenes, pudiendo incluso rastrear los discos duros o correos nuevos (sobre todo cadenas) en busca de más direcciones. Esto puede causar perjuicios al usuario que ignora haber sido infectado (que no tiene por qué notar nada extraño), al ser identificado como spammer por los servidores a los que envía spam sin saberlo, lo que puede conducir a que no se le deje acceder a determinadas páginas o servicios.Así,con la potencia de cálculo de todos los ordenadores infectados,pueden mandar el spam fácilmente sin que se enteren los propios usuarios,y pueden incluso mandar un virus al ordenador de una empresa importante.

Actualmente, el 40% de los mensajes no deseados se envían de esta forma.

Servidores de correo mal configurados

Los servidores de correo mal configurados son aprovechados también por los remitentes de correo no deseado. En concreto los que están configurados como Open Relay. Estos no necesitan un usuario y contraseña para que sean utilizados para el envío de correos electrónicos. Existen diferentes bases de datos públicas que almacenan los ordenadores que conectados directamente a Internet permiten su utilización por susodichos remitemtes. El más conocido es la Open Relay DataBase.

Legislación

En España el correo electrónico no solicitado está terminantemente prohibido por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), publicada en el BOE del 12 de julio de 2002, salvo lo dispuesto en el art. 19.2. “En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.”

De hecho, las sentencias en España referidas al correo electrónico no solicitado están relacionadas con esta ley; sin embargo, dicha ley no hace mención de la palabra “Spam”, sino al nombre “comunicaciones comerciales enviadas por medios electrónicos”.

En Estados Unidos se promulgó la ley CAN-SPAM, que ha sido prácticamente inefectiva.

España

f

En España es posible la denuncia del correo masivo ante la Agencia Española de Protección de Datos que a pesar de ser incompetente para juzgar contorversias entre personas, se ha constituido como una instancia parajudicial, juez y parte para sancionar en favor de la administración mediante multas abusivas, en vez de indemnizar a los afectados. Esta práctica está sancionada en el el Art.19.2 que dispone que a todo lo referente al envío de comunicaciones electrónicas será aplicable la LOPD y el artículo 21 de la Ley 34/2002, de 11 de Julio de Servicios de la Sociedad de Información y Comercio Electrónico (LSSI) que dispone:

Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

  1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

El régimen sancionador de la LSSI clasifica las infracciones por SPAM en:

r

  • Infracciones graves:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

  • Infracciones leves:

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

Y finalmente dispone las sanciones siguientes:

  • Artículo 39. Sanciones.

1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones: a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros. b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros. c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

  • Artículo 45. Prescripción, respecto a la prescripción de las infracciones:

Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

Fuentes

http://en.wikipedia.org/wiki/Wikipedia:Spam

http://www.segu-info.com.ar/malware/spam.htm

http://www.viruslist.com/sp/spam

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s