Adiós al spam

Nada menos que el 97% del correo que se mueve a través de Internet es correo basura o spam. Es una cifra que, aunque parezca sorprendente, es real y afecta sobre todo a empresas y particulares que no hayan tomado especiales cuidados

Enrique Sánchez rojo

Adiós al spam

5 noviembre 2009

Por países, Estados Unidos es desde hace tiempo el principal emisor de spam en el mundo con casi un 16%, según cifras del pasado mayo, siendo Brasil y China los siguientes de la lista, con un 10 y un 8% de correo basura enviado desde sus fronteras. En España, país que tradicionalmente ha sido fuente de esta lacra, emitimos ya un 3% de todo el correo basura de Internet. Ahora bien, ¿por qué existe el spam y quién lo genera? Esas son las preguntas que la mayoría de nosotros nos hacemos.

Revisamos soluciones eficaces contra el correo basura

La práctica mayoría del spam se envía a través de ordenadores zombis infectados con algún tipo de malware o virus informático que los integra en lo que se llama una botnet. Es decir, un conjunto de máquinas conectadas a Internet al servicio de determinadas tareas. Estas redes de ordenadores zombis son gestionadas por los spammer o botherder, que las utilizan para sacar miles de mensajes diariamente hacia direcciones de correo de todo el mundo.

Lo primero que piensa uno es: ¿por qué no usan los spammers sus propios servidores? La respuesta es muy simple: la práctica mayoría de los proveedores controla los servidores dedicados alojados en sus instalaciones. Tan pronto como detecta un envío indiscriminado de correo electrónico o un uso excesivo del ancho de banda o ciertos servicios, saltan las alarmas y, generalmente, cierran el servidor en cuestión.

Por ello, para los spammers es más práctico utilizar equipos zombis a lo largo de Internet, pues actúan de manera descentralizada y son más efectivos. Aun así, hay algunos proveedores con pocos escrúpulos que hacen la vista gorda al problema, o directamente viven de esta clase de actividades.

Un ejemplo lo tenemos en el antiguo ISP McColo Corp, ubicado en California, que el año pasado fue cerrado por las autoridades de EE UU. Tras el corte de sus líneas de comunicación, el spam descendió en torno a un 60%, pues desde muchos de sus servidores se controlaban las redes botnet que antes comentábamos.

No obstante, todavía queda por resolver la razón del spam. En casos muy contados y concretos, se lanza un ataque de correo basura contra una empresa o dominio, con el objetivo de saturar sus servicios de correo electrónico. Es un ciberataque como otro cualquiera.

Sin embargo, la práctica mayoría del correo basura solo tiene un objetivo comercial, publicitando cosas que difícilmente podrían colocarse en el mercado legal. Hablamos de medicamentos falsos, relojes o bolsos de dudosa procedencia, pastillas de Viagra, e incluso infinidad de timos de toda clase y condición, por ejemplo, el del nigeriano, robo de claves bancarias, etc.

Lo peor es que, transcurridos los años y visto que el spam no hace más que aumentar, lo que más sorprende es que esta clase de métodos realmente deben de funcionar. Es decir, hay mucha gente que «pica» al ver estos mensajes, porque, de lo contrario, habrían buscando otra forma de publicitar sus productos.

INTRO_Filtros_3

Formas de evitarlo
Al margen de conocer cómo se envía el correo basura y por qué, es importante indagar en las maneras que tienen los spammers de obtener nuestras direcciones y, con ello, saber qué podemos hacer para evitar en lo posible el spam.

La primera fuente de captura de direcciones es la propia Web. Nunca hay que publicar nuestro correo en una página, blog o foro. Si hubiera que hacerlo, es recomendable utilizar una del tipo pepe [email protected] o juan(quita-esto)@hotmail.com.

Es decir, cosas que un humano pueda leer e interpretar, pero que un robot pase por alto o capture erróneamente. La segunda manera que tienen los spammers de capturar nuestra dirección es a través de formularios de registro, robo de bases de datos y compra de listados a terceros.

Por ello, salvo que nos registremos en lugares de plena confianza, es importante no dar nunca nuestro correo habitual. Dependiendo del tipo de registros, podemos utilizar desde direcciones temporales de un solo uso (ideales para validar servicios), como por ejemplo www.mailinator.com, hasta cuentas permanentes en servicios como Hotmail, Gmail o Yahoo!, que nos permitan tener una dirección habitual para registros, newsletter y temas poco relevantes.

La tercera forma de obtener direcciones es directamente a través de ordenadores infectados con malware de algún tipo. Algunos de estos componentes, cuando infectan una máquina, capturan las libretas de direcciones de Outlook o las de remitentes y destinatarios que entran y salen del PC. El resultado, una forma muy eficaz de hacernos con direcciones reales.

Finalmente, existe la menos eficaz, pero en ocasiones muy utilizada, de enviar mensajes a una larga lista de probables usuarios existan o no en una organización. Así, si cogen el dominio midominio.com, los spammers pueden tirar de diccionario enviando a [email protected] o a nombres como [email protected] Si tenemos en cuenta que utilizando este formato envían miles de mensajes a una organización, seguro que con más de uno aciertan.

Eso sí, en todo los casos emplean direcciones de remitente distintas a las suyas y las devoluciones de los mensajes no llegarán a su servidor, sino al del supuesto destinatario. Esa es la razón de que en muchos correos basura aparezca como remitente el propio destinatario o algún conocido suyo y de la plaga de los NDR (Non Delivery Reports), es decir, los mensajes de devolución indicando que un mensaje (supuestamente) nuestro no se ha podido entregar al remitente.

INTRO_Filtros_2

La solución, los filtros
Mientras se encuentra otra forma de luchar contra el correo basura, la única manera de hacerle frente es usando filtros antispam en el servidor de correo, en nuestro ordenador o en ambos lugares. Muchos filtros de servidor filtran solo los mensajes más evidentes, quizá para evitar falsos positivos, dejando pasar parte del correo basura. Sea este nuestro caso o simplemente porque tenemos un alojamiento bajo nuestro dominio sin filtrado alguno en la parte del servidor, la última barrera son los filtros que monitorizan los e-mails que llegan hasta nuestro PC.

En general, las actuales suites de seguridad incluyen filtrado, aunque muchas veces su funcionamiento no es nada brillante. Para los que no tengan instalado un paquete o prefieran una gestión más eficaz del problema, a continuación analizamos nueve alternativas distintas: gratuitas, de pago único o de pago anual. Algunas se integrarán en nuestro cliente de correo y otras funcionarán como servicio proxy del puerto POP3 para filtrar todo antes de que llegue a nuestro buzón.

No obstante, el alma de la mayoría de las soluciones es el filtro bayesiano, un método que se basa en la comparación de lo bueno y lo malo. Si, por ejemplo, el mensaje contiene «viagra», el filtro podría asignar una puntuación de +10 y, si además contiene ciertas imágenes, direcciones o links, esta puntuación subirá. Al final, el filtro suma todas las puntuaciones (positivas o negativas) y arroja un baremo final. Si supera la puntuación que hemos estipulado para considerar a un mensaje como spam (p.ej. 15 puntos), dicho correo será retenido.

Lo bueno de esta clase de filtros es que son capaces de ir aprendiendo si el usuario les especifica cuál es para él un correo deseado o no.

Las pruebas del Laboratorio

Realizar pruebas fiables a los filtros antispam es una tarea bastante complicada por la variedad de mensajes basura que se mueven en Internet, al margen de lo rápido que los spammers cambian asuntos, estructuras y contenidos para intentar que sus correos no sean detectados por los filtros.

En nuestro caso, recurrimos a correo 100% real. Es decir, acudimos a una gran empresa con un filtro transparente dedicado que gestiona cada día entre 100.000 y 150.000 mensajes, de los cuales un 97-98% son spam. De la cuarentena almacenada para uno de los buzones que gestiona dicho filtro, tomamos al azar 100 mensajes de spam recibidos durante la 2º y 3º semana de mayo que habían sido retenidos por el filtro.

A continuación, liberamos dichos mensajes desde la cuarentena hacia uno de los servidores de correo del Laboratorio, una máquina dedicada e instalada en un ISP de primer orden. Realizamos una copia de seguridad de este buzón que fuimos restaurando tras cada producto, ya que, uno tras otro, fuimos descargando los mensajes en nuestra máquina de pruebas y comprobando la eficacia de detección de los filtros analizados.

Entre los 100 mensajes de correo basura, intercalamos algunos otros «buenos», con adjuntos, imágenes o texto. Así, comprobamos el comportamiento de los filtros ante posibles «falsos positivos», es decir, si clasifican correo bueno como malo. En todos los casos, utilizamos Outlook Express o MS Outlook 2003 sobre Windows XP, según la compatibilidad de cada filtro.

La opinión de PC Actual: No siempre lo gratuito es peor

Hoy día, es muy complicado juzgar un filtro antispam con las pruebas que hemos realizado, a pesar de que hemos utilizado mensajes con solo unas pocas semanas de vida. Sin embargo, los filtros antispam, gracias a sus características bayesianas, tienden a ser algo vivo. Es decir, aprenden de sus errores y aciertos, y su eficacia mejora mucho con el tiempo, a poco que el usuario se moleste en enseñarle y entrenarle con los mensajes buenos y malos.

En todo caso, lo que hemos podido constatar es que los filtros gratuitos no son precisamente peores que otros muchos de pago. La única excepción es K9 Anti­Spam, una aplicación que, como explicábamos en el análisis, tiene bastantes años a sus espaldas y, por tanto, se ha quedado algo anticuada para las amenazas actuales.

En cambio, SpamBayes y Spamihilator son dos magníficas soluciones, cada una en su estilo, que permiten eliminar el spam de manera bastante eficaz a coste cero. De hecho, aunque SpamBayes nos gusta bastante por su buena integración con Outlook, Spamihilator es una maravilla por la gran cantidad de opciones avanzadas que incluye y que harán las delicias de los usuarios más «manitas». De hecho, incorpora aspectos que la mayoría de las opciones de pago no contemplan o no permiten que el usuario ajuste.

La comunidad, clave
En la otra cara de la moneda, tenemos las aplicaciones de pago. Podríamos dividirlas en dos grupos: las que exigen un pago único por la licencia de uso y las que requieren un pago anual que ha de renovarse. Las primeras no dejan de ser filtros basados en técnicas bayesianas con más o menos opciones que tendremos que ir entrenando; mientras que las segundas, por lo general, utilizan los datos recogidos por la comunidad para mejorar los filtros de todos los suscriptores. De esta forma, como un antivirus, se actualizan regularmente para mejorar su efectividad sin que tengamos que preocuparnos por nada.

En el primer grupo, las de pago único, nos ha gustado mucho SpamBrave, aunque solo está disponible para Outlook Express y Windows Mail. MailWasher Pro, en cambio, ofrece compatibilidad con cualquier cliente de correo, multitud de opciones y una efectividad realmente buena.

A cambio, actúa como proxy POP3, por lo que su uso es un poco más pesado que la opción anterior. InBoxer, por su parte, aunque no está mal, resulta cara en comparación a los resultados que obtuvo en nuestras pruebas, aunque probablemente mejoraría mucho su efectividad con un poco de entrenamiento.

En el caso de las soluciones de suscripción anual, nos quedamos con SPAMfighter Pro. Una solución que podemos disfrutar en su versión gratuita con algunas limitaciones, pero que nos sorprendió por su efectividad, rapidez de clasificación y perfecta integración con clientes como el MS Outlook.

Por detrás estaría SpamExperts Desktop, que, aunque ofreció un funcionamiento razonablemente bueno, no nos pareció lo suficiente potente como para justificar su pago anual. Algo parecido le sucede a VadeRetro Desktop: aunque cumple bien su cometido, resulta realmente caro en comparación al resto de productos de suscripción anual analizados.

Lo mejor: sin entrenamiento

Nos ha sorprendido el ratio de efectividad que han demostrado los filtros analizados sin entrenamiento previo, que se ha movido entre el 90 y el 100% de detección de nuestro spam de pruebas. Una efectividad que, además, podemos mejorar con solo entrenar un poco los filtros.

Lo peor: algo incómodas

Aunque permiten filtrar los mensajes antes de llegar al cliente de correo, las soluciones que actúan como proxy POP3, pese a resultar interesantes en ciertos entornos, son más incómodas, lentas y poco prácticas.