Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Prólogo.......................................................................................................................... 7
5
6. Certificaciones de buenas prácticas en el correo electrónico. RACE...... 77
6.1. Rediris (Red académica de investigación nacional)...................................... 77
6.2. Red Avanzada de Calidad en el correo Electrónico (RACEv2)................... 78
6.3. Criterios técnicos RACEv2...................................................................................... 78
6.4. Sistema de evaluación............................................................................................ 80
8. Conclusiones.............................................................................................................. 91
6
Prólogo Mi historia con el Spam
7
Hasta que a alguien se le ocurrió crear Spam, esos
molestos correos no deseados que roban nuestro
tiempo y el de nuestras organizaciones. Esos co-
rreos basura que crecen respecto al correo limpio
agravando el problema cada vez más.
Dídac Lee
Presidente SPAMINA
8
1. El ‘Spam’ en cifras: El correo electrónico se ha consolidado como
impacto y criticidad uno de los pilares fundamentales de la Sociedad
de la Información. Al igual que otros muchos
servicios a través de Internet, su utilización casi
universal ha sido aprovechada como vehículo
masivo de diversas formas de ataques informáti-
cos, a menudo basados en técnicas de ingeniería
social. Dentro del abanico de usos indebidos lla-
ma especialmente la atención el auge que está
adquiriendo el fenómeno de la recepción de co-
rreo no deseado o Spam, con fines generalmente
ilegítimos.
9
1.1. Situación del ‘Spam’ Todas las fuentes consultadas coinciden en el in-
en el panorama cremento de estos correos en los últimos años.
mundial Los datos correspondientes al primer semestre
de 2006 señalan que el porcentaje de Spam fue
de un 54%, culminando dicho año con valores del
59%; en los informes mensuales de enero y febre-
ro de 2007, el nivel de Spam ascendió desde un
60% a un 80% aproximadamente2.
80%
40%
30%
20%
10%
0%
2. Symantec (http://investor.symantec.com)
publica informes sobre el estado del Spam a
nivel mundial a partir de las respuestas pro-
porcionadas por sus productos antispam.
Es el mismo caso de MessageLabs (http://
www.messagelabs.com/)
10
1.1.1. Zonas y países La mayoría del Spam se origina en los Estados
emisores de ‘Spam’ Unidos. Aunque el porcentaje de mensajes de co-
rreo enviados desde Europa con respecto al total
es bastante menor que el de EE.UU., el índice de
Spam es bastante próximo, de lo que se deduce
que el ratio de Spam generado desde Europa so-
bre el total de mensajes enviados alcanza unas
cifras importantes.
EEUU 22,5%
Corea del Sur 6,5%
China 6,0%
Polonia 4,9%
Rusia 4,7%
Brasil 3,8%
Alemania 3,5%
Francia 3,5%
Turquía 3,1%
Italia 2,7%
España 2,7%
India 2,6%
3. Sophos: http://esp.sophos.com/
11
Atendiendo algunos informes que recopilan4 esta-
dísticas de diversas fuentes5, se basan en la clasifi-
cación de los propios clientes de correo y obtienen
como principales resultados a nivel mundial:
5. http://www.jupiterresearch.com/bin/item.
pl/home
http://www.emarketer.com/
http://www.gartner.com/
http://www.mailshell.com/
http://www.harrisinteractive.com/
http://www.ferris.com/
12
1.1.2. Países receptores En países como España, Suecia, Francia o Italia,
de ataques ‘Spam’ que hasta el año 2005 no presentaban cifras signi-
ficativas de Spam, comenzaron a partir de enton-
ces a reportar valores elevados, en torno al 40,1%,
40,9%, 49,8% y 57,4% respectivamente, siendo la
lengua predominante el inglés, que completa en-
tre el 70,0% y el 80,0% del total; sin embargo, se
incrementa el Spam en chino, particularmente el
que tiene como objetivo Hong Kong.
4% 3%
4%
5% 25%
13%
Financiero
Comercial
Salud
Internet
Ocio
23% 23%
Estafas
Adulto
Fraude de empresas
13
1.1.4. Escritura y El Spam en formato de correo TEXT sigue siendo
tamaño del ‘Spam’ el formato más utilizado (aproximadamente el
50,0% del total), junto con el Spam HTML, con un
40,0%, en gran medida por la sencillez de su crea-
ción. Otros nuevos formatos de Spam, aquellos
relacionados con el envío de archivos adjuntos en
formato .pdf o .zip, por el momento representan
tan solo un 0,5% del total del volumen de Spam.
Es de esperar que esta tipología crezca en los
próximos años. Esto significa que el peso de los
mensajes no es muy grande. Aproximadamente
un 40% de los mensajes Spam no sobrepasan los
5 KB. Los spammers prefieren enviar mensajes con
menos de 10 KB porque cuanto más corto sea el
texto más rápidamente llega a los usuarios6.
84,6%
15
trónico del usuario. Esto se debe a que, según las
políticas de filtrado que los administradores impo-
nen, se puede filtrar todo el Spam o sólo una par-
te en función de unos parámetros seleccionados
previamente. En cualquier caso, es posible que no
se desee filtrar el correo entrante para que no se
pierda ningún mensaje legítimo y se produzca un
caso de falso positivo.
67,1%
32,9%
5%
6%
21%
7%
EEUU
7%
Rep. Pop. China
Corea del Sur
Rusia 8%
Argentina 14%
España
Turquía 8%
Colombia
12%
Chile
12%
Francia
17
1.3. Impacto económico Como en la mayoría de las evaluaciones de impacto
y social del ‘Spam’ de otros fenómenos, como por ejemplo el malware7,
en las empresas los análisis sobre las consecuencias del Spam en las
organizaciones se realizan sobre los efectos deriva-
dos del mismo. En muchas ocasiones, es más común
que estos efectos sean tratados en términos pura-
mente cualitativos y no necesariamente económicos,
como pérdidas en tiempo, desconfianza en el servi-
cio, consumos de ancho de banda y de capacidad
de almacenamiento, necesidad de un tiempo de
recuperación y reestablecimiento del servicio, etcé-
tera. No obstante, en el próximo epígrafe se tratará
de aportar algunas cifras que pueden ser indicativas
del impacto económico y que permitirán extraer
ciertas conclusiones.
18
Y finalmente, se ha de definir el número de traba-
jadores afectados, esto es, aquellos que no sólo
utilizan el ordenador en su puesto de trabajo, sino
que además hacen uso frecuente del correo elec-
trónico como herramienta de trabajo. Todo ello
determina que, en los cálculos sobre impacto
económico, se hable siempre de estimaciones
basadas en predicciones estadísticas.
Ei – Representa a un empleado.
dT – Días de trabajo, por año, de un empleado Ei
nCORREO nCORREO – Números de empleados que usan el
dT * ( ∑t , *cEii ,h )
correo.
E
i i d , spam tEi,d,spam – Tiempo promedio, en horas y por
días, que el empleado Ei invierte en gestionar el
i =1 spam de su buzón.
cEi,h – Promedio del coste horario del empleado Ei
23
Una de las conclusiones más interesantes que se-
ñalan los estudios realizados por el Observatorio
de INTECO12 es la pérdida de confianza de los
trabajadores en el filtro antispam de la organi-
zación en la que trabajan y, por tanto, en su ser-
vicio de correo electrónico, debido a la posibili-
dad de que la aplicación pueda provocar, como
efecto colateral, la aparición de falsos positivos.
24
2. ¿Cómo trabaja un spammer?
25
Hoy en día el objetivo principal, y prácticamente
único, de los spammers sigue siendo el económi-
co, aunque han diversificado las posibles fuentes
de ingresos relacionadas con el negocio. Separe-
mos los beneficios económicos del Spam en dos
grandes grupos: los spammers y las empresas que
alquilan a los spammers.
Spammers:
26
los spammers para sus fines sin ser ellos mis-
mos los que mandan el Spam.
28
keting que utiliza Internet para propagar su
mensaje y como tal intenta:
30
como para que el destinatario tenga curiosi-
dad para seguir el link (p. ej.: ¿eres tú el de la
foto?).
Figura 1: Cuerpo
de estándares del MIME
correo electrónico. R FC s 2 0 4 5 /2 0 4 9
For m a to
R FC 2 8 2 2
Pr otoc olo S MT P
R FC 2 8 2 1
33
2.2.2.1. Codificaciones Las codificaciones numéricas con las que el ser-
numéricas de vidor reporta el resultado de cada transacción al
resultados cliente se dividen en 4 familias, que se distinguen
por el tercer dígito de la codificación:
35
2.2.2.3. Extensiones El protocolo SMTP acepta extensiones, cuyo uso
a SMTP debe ser negociado entre cliente y servidor.
36
2.2.3. El formato del La RFC 2822 posiblemente sea la referencia más im-
correo electrónico portante para las buenas prácticas de correo elec-
trónico. Define con un alto nivel de detalle técnico
las condiciones que debe cumplir un mensaje bien
formado, a fin de garantizar la interoperabilidad
entre diferentes servidores y clientes de correo elec-
trónico. Los siguientes puntos están cubiertos por el
estándar:
38
trear instancias de los mensajes, así como tam-
bién crear hilos de discusión: Identificador de
mensaje (Message Id), Mensaje al que se respon-
de (In Reply To), Hilo de discusión (References).
39
• Lista de direcciones con identificador de
grupo: de manera similar al caso anterior,
pero con un identificador de grupo. El iden-
tificador se pone adelante, y se separa de la
lista de direcciones con dos puntos(:). Por úl-
timo, el grupo se termina con punto y coma
(;). Por ejemplo:
To: Oficina:jperez@spamina.com,
pfern@spamina.com
• Lista vacía con identificador de grupo: es un
caso particular de la sintaxis explicada en el
punto anterior, donde no se pone ninguna
dirección en el grupo. Se suele utilizar para
indicar el nombre del grupo sin revelar las
direcciones, que se ponen en el campo de
copia oculta. Por ejemplo:
To: Destinatarios no revelados:;
Bcc: jperez@spamina.com,
pfern@spamina.com
Hol a , C
e s t e e s un me ns a j e pa r a de mos t r a r l a c odi f i c a c i on U
RF C 2 8 2 2 e l t e x t o de l c ue r po e s l i br e , s i e mpr e que E
r e s pe t e l a l ongi t ud ma x i ma de l i ne a y s e ut i l i c e n R
c ar ac t er es AS CI I uni c a me nt e . P
O
40
2.2.4. MIME El estándar MIME (Multipurpose Internet Mail Ex-
tensions) fue creado con el objetivo extender la
especificación de formato descrita en la RFC 2822
a fin de permitir transmitir contenido arbitrario,
sin perder la compatibilidad y utilizando la misma
infraestructura definida por esa RFC. MIME está
especificado en 4 RFCs diferentes, que se descri-
birán a continuación.
2.2.4.1. Cuerpos MIME La RFC 2045 define la sintaxis que debe tener un
cuerpo de mensaje RFC 2822 a fin de ser compa-
tible con el estándar MIME:
41
2.2.4.2. Codificaciones La RFC 2045 define tres dominios y dos codifi-
y dominios caciones que se pueden especificar en el enca-
bezado Content-Transfer-Encoding. Cuando se
especifica directamente el dominio, se indica im-
plícitamente que no se aplica ninguna codifica-
ción. Los dominios son los siguientes:
42
humano sin necesidad de decodificarlo, y en
general se prefiere para codificar texto y otra
información naturalmente dividida en líneas.
Figura 4: n a t iv o ( is o - 8 8 5 9 - 1 )
Codificación quoted- L a s pi r á mi de s t i e ne n muc hos a ños de a nt i güe da d
printable y base64 q u o t e d - p r in t a b le
L a s pi r =E 1 mi de s t i e ne n muc hos a =F 1 os de a nt i g=F Ce da d
bas e64
T GF z I HBpc uF t a WRl c y B0 a WVuZW4 gbXVj a G9 z I GHx b3 MgZGUgYW5 0
a Wf 8 ZWRhZAo=
43
La RFC 2046 define los siguientes tipos principales:
45
4. Parallel: similar al mixed, pero con diferente se-
mántica. En este caso, el orden de las partes no
es relevante, y de ser posible, deben ser mostra-
das en paralelo o al mismo tiempo.
46
Figura 5: Ejemplo S ubj e c t : E j e mpl o de s i nt a x i s de c ue r pos MI ME
de mensaje en MI ME - Ve r s i on: 1 . 0
Cont e nt - T y pe : mul t i pa r t / mi x e d;
formato MIME. bounda r y =" s e pa r a dor de pa r t e s MI ME "
E s t e e s un me ns a j e e n f or ma t o MI ME .
- - s e pa r a dor de pa r t e s MI ME
Cont e nt - T y pe : t e x t / pl a i n; c ha r s e t =I S O- 8 8 5 9 - 1 5
Cont e nt - T r a ns f e r - E nc odi ng: quot e d- pr i nt a bl e
E s t e e s un t e x t o que ut i l i z a l a c odi f i c a c i =F 3 n i s o- 8 8 5 9 - 1 5 =
, pa r a pe r mi t i r
e l us o de l E ur o ( =A4 ) y e l C=E 9 nt i mo ( =A2 ) . A c ont i nua c i =
=F 3 n s e e nc ue nt r a n a dj unt a s dos pe que =F 1 a s i m=E 1 ge ne s .
- - s e pa r a dor de pa r t e s MI ME
Cont e nt - T y pe : i ma ge / png; na me =” i ma ge n1 . png”
Cont e nt - T r a ns f e r - E nc odi ng: ba s e 6 4
Cont e nt - Di s pos i t i on: i nl i ne ; f i l e na me =" i ma ge n1 . png"
2.2.4.5. Extensiones Si bien las RFC 2045 y 2046 describen una forma en
MIME para la cual se pueden transmitir cuerpos con información
encabezados representada arbitrariamente a través de las vías dis-
puestas por la RFC 2822, el problema sigue existiendo
para los encabezados, cuyo contenido debe atenerse
estrictamente a contener únicamente caracteres ASCII.
Esto introduce una dificultad a la hora de utilizar los
encabezados destinados a ser leídos por el hombre,
cuando el idioma utilizado por éste no puede escri-
birse correctamente utilizando únicamente caracteres
ASCII. El idioma español está incluido dentro de este
conjunto.
48
Subject: Citas del
=?ISO-8859-1?Q?Pr=F3ximo_a=F1o?= 2009
50
2.3.2. Arquitectura SMTP Antiguamente los servidores de SMTP aceptaban
y relays abiertos correo de cualquier origen, y dirigido a cualquier
destino. Naturalmente, con el avance del Spam
esta práctica se volvió peligrosa, porque permite
a los spammers la utilización de un servidor SMTP
de un tercero para enviar correo, sin tener que fal-
sear su identidad como se menciona más arriba.
A fin de definir correctamente lo que actualmen-
te se considera relay abierto, se definirán primero
los conceptos de tipo de remitente y tipo de des-
tinatario desde el punto de vista de un servidor
SMTP.
52
2.3.2.2. Tipos de Desde el punto de vista del servidor SMTP existen
destinatario tres tipos de destinatarios:
53
La figura 6 muestra la forma correcta en que de-
bería estar configurado un SMTP a fin de evitar
convertirse en relay abierto.
C a be c e r a MIME
Lo que ve e l us ua r io
C ódigo HT ML
V IA G R A
Lo que ve e l us ua r io
57
2.3.5.2. Saturación La saturación es una técnica que se utiliza para
atacar listas negras y redes bayesianas (explica-
das más abajo). Consiste en generar contenido
aleatorio en el cuerpo del mensaje junto con el
correo ofensivo, o direcciones de correo aleato-
rias en el encabezado From.
58
3. Políticas contra La problemática del Spam se centra en un conflicto
el ‘Spam’ de intereses encontrados. El spammer por su lado
intenta hacer un negocio generando un mecanis-
mo de publicidad muy económico y efectivo, pero
muy cuestionable desde el punto de vista ético.
Por otro lado, el usuario final pierde concentración
y productividad al tener que revisar una enorme
cantidad de correo para buscar lo que realmente
le resulta importante, generando una pérdida per-
sonal y, en algunos casos, corporativa.
3.2. Técnicas reactivas Son todas aquellas técnicas que buscan identificar un
correo Spam una vez que el mismo ha entrado en los
servidores de correo. Normalmente buscan identificar
el Spam por su contenido, ya sea sobre, encabezados,
o cuerpo. Después de identificarlo se procede a su
clasificación, para luego llevar a cabo una acción (por
ejemplo se puede optar por eliminar el Spam, o poner-
lo en una sección de cuarentena, separado del correo
válido).
19. Debe considerarse que más del 90% de Entre las técnicas reactivas utilizadas actualmente se
los correos transmitidos hoy en día por Inter-
net son Spam.
pueden mencionar:
60
• Listas blancas y negras: son mecanismos me-
diante los cuales un usuario, un administrador
o algún sistema automático sencillo genera lis-
tas de remitentes o de servidores en los que se
confía (lista blanca) y a los que se rechaza (lista
negra). De esta manera se puede aceptar a quie-
nes están en la lista blanca, y rechazar a quienes
están en la lista negra. Un punto importante a te-
ner en cuenta con respecto a las listas es que son
muy efectivas cuando la identidad del remitente
o del servidor puede ser fehacientemente de-
mostrada. Esto lamentablemente no es cierto en
la mayoría de los casos. Para pasar una lista blan-
ca, un spammer debería impersonar a alguien
que se encuentre en la misma. Esto requiere un
esfuerzo que normalmente el spammer no está
dispuesto a hacer. En ese sentido, la lista blanca
es efectiva para permitir paso a los remitentes de
confianza. Por otro lado, la lista negra suele ser
poco efectiva para evitar el Spam, porque basta
con que el spammer utilice una identidad falsa y
aleatoria para pasar la lista negra y a su vez ge-
nerar una saturación (explicada más arriba). Por
lo tanto, solo se debe usar la lista negra cuando
el spammer puede ser identificado, algo que en la
práctica rara vez ocurre.
61
2. El correo está en html: es más probable que un
Spam esté codificado en html.
3.3. Técnicas proactivas Las técnicas proactivas son todas aquellas destinadas
a evitar que el correo Spam ni siquiera se transmita.
Se basan en intentar identificar al spammer en vez de
al correo Spam. En general, las técnicas proactivas son
muy efectivas, pero poseen el inconveniente de que
en caso de error no existe manera de que el usuario
acceda al correo rechazado, por lo tanto requieren un
monitoreo constante e intervención por parte de los
administradores de los sistemas de correo a fin de evi-
tar pérdida de información potencialmente valiosa.
62
sin duda es DNSRBL (DNS Realtime Block Lists),
que utiliza el servicio DNS para publicar las di-
recciones IP de servidores que generan Spam,
poseen Relays abiertos, no obedecen correcta-
mente los estándares, trabajan en rangos de IP
dinámicas, etc. Consultando estas listas los ser-
vidores de correo pueden optar por rechazar las
conexiones provenientes de estos servidores.
64
La figura 9 muestra gráficamente el algoritmo de
greylisting.
Figura 9: Algoritmo
de greylisting
65
4. Futuras amenazas y soluciones
68
comunidad y especialmente para las instituciones
participantes en la Red de Sensores.
69
5. Ofrecer de forma individualizada (y preser-
vando la confidencialidad) informes sobre la
evolución temporal o tendencia del Spam en-
caminado por una organización concreta, para
estudiar la eficacia de las medidas adoptadas.
Adicionalmente permitir la comparativa de una
organización colaboradora, con el total de su
sector o de su región geográfica.
71
la organización que tiene asignada la dirección
IP. Esta información es mantenida por los Regis-
tros Regionales de Internet.
Figura 11:
Vista Web de
gráfica y tablas
detalladas de
estadísticas.
74
Las páginas con información detallada contienen
información agregada:
5.6. Futuro y evolución La evolución lógica de este proyecto una vez que ha
sido puesto en producción pasa por los siguientes
puntos principales:
76
6. Certificaciones de buenas prácticas
en el correo electrónico. RACE
6.1. Rediris (Red RedIRIS cuenta con unas 250 instituciones afiliadas,
académica de principalmente Universidades y Organismos Públi-
investigación cos de Investigación, que llegan a formar parte de
nacional) esta comunidad mediante la firma de un acuerdo
de afiliación.
77
6.2. Red Avanzada de RACE es un servicio de RedIRIS creado para conseguir
Calidad en el correo mejorar la calidad de los servidores de correo insta-
Electrónico (RACEv2) lados en la comunidad RedIRIS. RACE por un lado
define una relación de criterios y normas acerca de
la correcta configuración de los servidores de correo
electrónico y por otro lleva acabo actividades de au-
ditorías para comprobar el cumplimiento de dichos
criterios. Se prevé la disponibilidad de una aplicación
web (evaluador) que automatice las tareas de vali-
dación de cada criterio para las organizaciones que
deseen ser auditadas.
6.3. Criterios técnicos RACEv2 han clasificado los criterios (y por ende sus
RACEv2 recomendaciones asociadas) según su ámbito de
aplicación:
• Sincronización NTP
• Alta disponibilidad
• Autenticación centralizada
• Acceso externo cifrado
• Servicio SUBMISSION
• Cifrado MTAi-MTAi
• Cifrado MTA-MTA
• Estadísticas
79
Cada uno de estos criterios dispone de una pun-
tuación que permitirá disponer de una baremación
cuantitativa tal como se describe en el siguiente
apartado. Todos los criterios son revisados periódica-
mente por un comité para adecuarlos a la evolución
tecnológico del entorno SMTP.
80
7. La ley de Servicios de la Sociedad de la Información
y Comercio Electrónico: regulación del envío de
comunicaciones comerciales electrónicas o ‘Spam’
81
• Contenido comercial. El uso de esta técnica es
una práctica muy extendida en el ámbito comer-
cial, pero no se requiere que la comunicación ne-
cesariamente ofrezca algún producto o servicio
concreto. De hecho, cada vez más pueden iden-
tificarse envíos no solicitados de índole política,
religiosa o difamatoria.
Normativa aplicable
84
En concreto, para el supuesto de la autorización, ésta
deberá tener las siguientes condiciones:
90
8. Conclusiones Los spammers cuentan con recursos, tanto econó-
micos como de conocimiento, más que suficientes
para seguir inundando Internet con sus correos e in-
tentando llegar a los potenciales clientes. Intentan
ataques rápidos que pueden alargarse en el tiempo
dependiendo de su efectividad, mutando cuando
el porcentaje de penetración no es suficientemente
bueno. Mediante el uso de botnets la capacidad de
procesamiento de la que disponen es prácticamen-
te ilimitada y su coste es mínimo.
91
máximo los ataques de los spammers y que ga-
rantice las actualizaciones necesarias para ello.
92