Evolución del SPAM

Evolución del spam

El principio

El spam (publicidad masiva no solicitada vía correo electrónico) hizo su primera aparición a mediados de los noventa, es decir, inmediatamente después de que la suficiente cantidad de personas empezó a usar el correo electrónico. En 1997, se empezó a considerar que el spam era un problema, y la primera Lista Negra en Tiempo Real (Real-Time Black List, RBL), apareció el mismo año.

Las técnicas de los spammers han evolucionado en respuesta a la aparición de cada vez más y mejores filtros. Tan pronto como las compañías de seguridad desarrollan filtros efectivos, los spammers cambian sus tácticas para eludirlos. Y esto lleva a un círculo vicioso, en el que los spammers reinvierten sus ganancias en el desarrollo de nuevas técnicas de evasión de los filtros de spam. La situación crea un torbellino fuera de control.

Desarrollo de las técnicas de los spammers

Publicidad directa

Al principio, el spam era enviado directamente a los usuarios. Es más, los spammers ni siquiera necesitaban falsificar la información del remitente. Este tipo primitivo de spam era fácil de bloquear: si se incluía a un remitente o una dirección IP específica, se estaba a salvo. Como respuesta, los spammers empezaron a suplantar las direcciones de los remitentes y otra información técnica.
Retransmisión abierta (Open Relay)

A mediados de los noventa, todos los servidores de correo electrónico ofrecían servicios de retransmisión abierta (Open Relay). El spam y otros problemas de seguridad llevaron a los administradores a reconfigurar los servidores postales en todo el mundo. No obstante, el proceso avanzaba con lentitud y no todos los propietarios de servidores postales o sus administradores estaban dispuestos a colaborar. Una vez que este proceso tomo su rumbo, los analistas de seguridad empezaron a escanear Internet en busca de servidores postales con el servicio de retransmisión abierto.Las listas negras de DNS obtenidas se pusieron a disposición del público, haciendo posible que los administradores responsables de la seguridad bloqueen el correo entrante desde esos servidores. A pesar de todo, los servidores con servicio de retransmisión abierta se siguen usando para hacer envíos masivos de correo.

Banco de módems (Modem Pool)

En el momento en que enviar spam por servidores de retransmisión abierta se hace menos eficiente, los spammers empiezan a usar conexiones dial-up. Con esto, se explotan la forma en que algunos proveedores de Internet estructuran sus servicios de acceso telefónico y utilizan los defectos del sistema:

* Como regla, los servidores postales de los proveedores de Internet remiten el correo generado por los clientes.
* Las conexiones por dialup se realizan usando direcciones IP dinámicas. Por eso, los spammers usan una nueva dirección IP para cada sesión de envíos.

Como respuesta a la explotación de los spammers, los proveedores de Internet empezaron a limitar la cantidad de mensajes que un usuario podía enviar en una sesión. Las listas de direcciones de dialup sospechosas y los filtros que bloqueaban el correo llegado desde esas direcciones aparecieron en Internet.
Servidores proxy

El nuevo siglo llegó con los spammers usando conexiones a Internet de alta velocidad y explotando las vulnerabilidades del hardware. Las conexiones por cable y por ADSL permitieron a los spammers hacer envíos masivos baratos y rápidos. En adición, los spammers poco tardaron en descubrir que muchos modems ADSL tenían servidores socks o proxy de HTTP incorporados. Ambos son utilidades simples que dividen un canal de Internet entre varios ordenadores. La característica que tienen es que cualquier persona, desde cualquier parte del mundo puede obtener acceso a estos servidores, porque no tienen ningún tipo de protección. En otras palabras, los usuarios maliciosos pueden usar las conexiones ADSL de otras personas para hacer lo que les venga en gana, incluso enviar spam. Asimismo, el spam aparecerá como si hubiese sido enviado desde la dirección IP de la víctima. Desde que millones de personas en todo el mundo tienen estas conexiones, los spammers harán su agosto hasta que los fabricantes de harware cierren las brechas de seguridad en sus dispositivos.
Redes zombi o "bot"

En 2003 y 2004, los spammers efectuaron la mayor parte de sus envíos masivos desde equipos pertenecientes a usuarios que no sospechaban nada. Los spammers usaban programas maliciosos para instalar troyanos en los equipos de las víctimas, dejándolos abiertos al uso remoto. Los métodos usados para penetrar en los equipos de las víctimas incluyen:

* Los droppers y descargadores de troyanos se incorporan al software pirata que es distribuido vía redes de intercambio de archivos P2P (Kazaa, eDonkey, etc).
* Vulnerabilidades en MS Windows y aplicaciones populares como Internet Explorer y Outlook.
* Gusanos de correo electrónico

Quienquiera que posea la parte "cliente" que controla el troyano, puede controlar el equipo o red infectados. Las redes de este tipo reciben el nombre de redes bot y son objeto de comercio e4ntre los spammers.

Los analistas estiman que hay troyanos instalados en millones de equipos en todo el mundo. Los troyanos modernos son tan sofisticados que pueden descargar nuevas versiones de sí mismos, descargar y ejecutar órdenes desde sitios web específicos o canales de IRC, enviar spam, realizar ataques DDoS y mucho más.

Desarrollo de las técnicas de los spammers

Análisis de contenidos

El funcionamiento de muchos filtros antispam se basan en el análisis del contenido de los mensajes: el encabezado, el texto y los datos adjuntos. Hoy en día, los spammers gastan grandes recursos en desarrollar contenidos que evadan los filtros de contenido.

Texto simple y HTML

En sus orígenes, el spam era simple: mensajes idénticos eran enviados a todos los destinatarios de una lista de correo. Esos mensajes de correo electrónico eran ridículamente fáciles de filtrar, gracias a la abundancia de textos idénticos.
Mensajes personalizados

Después, los spammers empezaron a incluir en los mensajes un saludo basado en la dirección del destinatario. Como cada mensaje contenía un saludo personal, los filtros que bloqueaban mensajes idénticos no detectaban este tipo de spam. Entonces, los expertos en seguridad diseñaron filtros que identificaban los renglones idénticos, que podían ser agregados a las reglas de filtración. También se desarrollaron técnicas de lógica difusa (fuzzy logic), que detectaban textos levemente modificados y tecnologías estadísticas de filtración tales como los filtros Bayes.

Renglones de texto aleatorio y texto invisible

Ahora, para evadir los filtros, los spammers ponen renglones de texto similares a los de la correspondencia de negocios legítima o renglones de texto aleatorio al principio o al final de los mensajes. Otro método para evadir los filtros es incluir texto invisible en los mensajes en formato HTML: el texto es demasiado pequeño para ser visto, o el color de las letras es igual que el del fondo.

Ambos métodos tienen bastante éxito contra los filtros de contenido y estadísticos. Los analistas respondieron desarrollando motores de búsqueda que escaneaban los mensajes en busca de textos típicos, que también realizaban un análisis detallado del HTML y del contenido. Muchas soluciones antispam podían detectar tales trucos sin ni siquiera analizar en detalle el contenido de mensajes individuales.
Gráficos

Es muy difícil detectar el spam que se envía en formato gráfico. Los analistas están desarrollando métodos de extraer y analizar el texto contendido en los archivos gráficos.

Textos parafraseados

Un anuncio puede ser parafraseado miles de veces, haciendo que cada mensaje individual aparente ser legítimo. Como resultado, los filtros antispam tienen que ser configurados usando un gran número de muestras antes de que estos mensajes sean detectados como spam.
Resumen

En la actualidad, los spammers suelen usar los tres métodos recién descritos en una variedad de combinaciones. Muchos programas antispam son incapaces de detectarlos. Mientras el envío de spam siga siendo rentable, los usuarios de programas antispam de baja calidad continuarán con su buzón lleno de publicidad.

Fuente viruslist.com