Un grupo de investigadores se ha gastado 5.000 dólares (3.724 euros) en la compra de cuentas de Twitter de spammers, en un intento por aprender cómo ser más listos que ellos.
Un proyecto de investigación en el que un grupo de académicos ha comprado más de 120.000 cuentas de Twitter fraudulentas ha demostrado lo fácil que lo tienen los spammers para evadir los controles de la empresa, y quizá se haya descubierto una nueva forma de vencer el spam de las redes sociales. Parte ejercicio de investigación y parte operación encubierta, el proyecto ha generado datos que se están utilizando para entrenar software con el que evitar automáticamente que los spammers creen cuentas.
Hoy día la mayoría de las iniciativas antispam en Twitter y otras empresas de redes sociales se centran en el bloqueo de las cuentas solo después de que hayan comenzado a enviar spam. Los spammers suelen utilizar robots de software para llenar los formularios en las páginas de registro de las cuentas, y después utilizan las cuentas para enviar anuncios no solicitados en masa. A menudo, estos mensajes contienen enlaces con los que ganar dinero a través de tácticas engañosas como la instalación de software malicioso en el ordenador del usuario.
En los 10 meses anteriores a abril de 2013, los investigadores del Instituto Internacional de Ciencias de la Computación, de la Universidad de California, Berkeley (EE.UU.), y la Universidad George Mason se gastaron algo más de 5.000 dólares (3.724 euros) en cuentas de Twitter, capturando 121.027 con una facilidad sorprendente. Twitter dio a los investigadores permiso para comprar las cuentas y ayudó con el estudio, que fue presentado en el Simposio de Seguridad Usenix en Washington DC (EE.UU.) la semana pasada.
"Existe un mercado activo para la venta de cuentas de Twitter fraudulentas", señala Chris Grier, investigador de Berkeley y el Instituto Internacional de Ciencias de la Computación. Algunas provinieron de tiendas en línea que hacen que la compra de cuentas al por mayor sea algo tan sencillo como comprar algo en Amazon. Otras fueron compradas en transacciones de persona a persona negociadas en los foros donde los spammers hacen negocios.
Los precios variaban, pero por lo general 1.000 cuentas costaban alrededor de 40 dólares (30 euros), señala Grier, lo que sugiere que el mercado de cuentas de Twitter a granel está bien establecido. Muchas cuentas habían sido registradas meses antes, y el 'preenvejecimiento' es considerado como un punto a favor durante la venta, tal vez porque esas cuentas se bloquean con menor rapidez que las nuevas cuando se utilizan para enviar spam.
La compra de las cuentas permitió a los investigadores examinar los datos registrados por Twitter acerca de la forma en que se habían creado, revelando detalles sobre una sofisticada cadena de suministro que puede evitar los controles normales para el registro de cuentas al por mayor. Entre los trucos usados por los spammers está la creación de cuentas a través de conexiones redirigidas alrededor del planeta (los investigadores registraron más de 160 países diferentes) para evitar picos sospechosos en registros desde determinados lugares. La mayoría de las cuentas fraudulentas fueron creadas con la ayuda de cuentas de correo electrónico de Hotmail o Yahoo.
"Los vendedores son capaces de resolver captchas con bastante éxito", señala Grier, refiriéndose al proceso de traducción de una palabra borrosa utilizado para evitar que los robots de software rellenen formularios en línea. Aunque se sabía que era técnicamente viable resolver estos puzles utilizando métodos automatizados o crowdsourcing, pocos estudios han sido capaces de evaluar en qué grado se ven afectados los spammers al tener que hacerlo. Parece ser, asegura, que "no ha afectado al coste en absoluto".
Utilizando los datos que Twitter proporcionó con las cuentas compradas, Grier y sus colegas entrenaron un software para marcar aquellas cuentas que hubieran sido creadas de manera sospechosa. En el sistema se incluyeron características tales como el tiempo de las inscripciones, los nombres de las cuentas y las características del navegador y el ordenador utilizados, junto con algunas claves secretas que Twitter no estaba dispuesta a revelar. Tras usar el nuevo sistema para escanear todas las cuentas de Twitter registradas en los últimos 12 meses se descubrió que varios millones se habían registrado de esa forma (los investigadores no quieren dar la cifra exacta). Las ventas de estas cuentas pueden haber generado entre 127.000 y 459.000 dólares (94.600 y 341.900 euros).
"Twitter quiere tomar lo que hemos desarrollado e integrarlo en el proceso de registro", afirmó Grier. Otras redes sociales podrían utilizar un enfoque similar. Las mismas personas que venden cuentas de Twitter también venden cuentas de Google, Facebook y LinkedIn.
Para evitar que un sistema de bloqueo de registro se quede obsoleto a medida que los spammers ajustan sus tácticas en respuesta, las empresas tendrían que empezar a comprar [cuentas] de los spammers, tal y como hicieron Grier y sus colegas. "Esa es la parte más difícil para ellos", afirmó Grier, puesto que la forma en que funcionan los equipos antispam existentes en Twitter y otras compañías es muy distinta.
Guofei Gu, profesor asistente en la Universidad A&M de Texas (EE.UU.), y que ha hecho su propia investigación sobre el spam de Twitter, señala que tiene sentido bloquear a los spammers cuando intentan registrar cuentas. La investigación revela nuevos datos sobre la sofisticación de las técnicas de los spammers, añade.
Sin embargo, Gu señala que los spammers pueden cambiar fácilmente su comportamiento para evitar las claves identificativas que han descubierto los investigadores. "Los spammers sin duda aprenderán y evadirán el enfoque propuesto una vez que conozcan las estrategias", señala. Su sugerencia para seguir combatiéndolo es aprender más acerca de cómo funcionan los spammers, identificar qué técnicas evasivas les resultan más costosas a la hora de crear nuevas cuentas.
Sin embargo, en general Gu cree que el volumen de spam en Twitter se ha reducido, aunque los spammers que quedan son sigilosos. "Nos hemos dado cuenta de que hacen un spamming más específico", afirma. "Esto hace que sea un poco más difícil atraparlos".