Un grupo de investigadores acaban de arrojar nueva luz sobre los métodos que utilizan los spammers (aquellos que se dedican a enviar correos basura) para recolectar direcciones de mail de la web y transmiten los mensajes en masa a través de varios ordenadores. Afirman que los descubrimientos podrían servir como munición adicional en la lucha contra las campañas de correos basura.

El problema de los mensajes de correo electrónico no deseados, o spam, sigue sacando de quicio a los usuarios de ordenador y profesionales de seguridad. En la actualidad, más del 90 por ciento de los correos que atraviesan internet parecen ser spam, según una información publicada en junio por la firma de seguridad de correos electrónicos MessageLabs.

En un estudio cuya presentación está prevista para esta semana en la Conferencia sobre E-mail y Anti-Spam, en Mountain View, California, un grupo de investigadores de la Universidad de Indiana analizó la forma en que los spammers obtienen las direcciones de correo en primer lugar. Los investigadores utilizaron una variedad de técnicas para correlacionar los programas que seleccionan las direcciones de correo de las páginas web y el spam resultante. “Básicamente estamos intentando averiguar cómo consiguen los spammers las direcciones de correo—las direcciones de la gente que acaban siendo sus víctimas,” afirma Craig Shue, estudiante graduado en la Universidad de Indiana y que actualmente trabaja en el Laboratorio Nacional Oak Ridge.

Durante el estudio se expusieron 22.230 direcciones de correo electrónico únicas en la web durante un periodo de cinco meses, y se supervisó el spam que llegaba a dichas direcciones. Los investigadores descubrieron que las direcciones de correo incluidas en comentarios publicados en páginas web tenían muchas más probabilidades de resultar en spam. Mientras que sólo cuatro direcciones de correo de las enviadas a 70 páginas web durante el registro acabaron resultando en spam, la mitad de las direcciones de correo que se publicaron en sitios populares acabaron víctimas del correo basura.

Los investigadores también configuraron una web en su propio dominio y esperaron a que las páginas fueran analizadas. Cada visitante de la página encontraría un correo electrónico distinto, una estrategia con la que los investigadores esperaban hacerse una idea de la frecuencia con que estos robots de análisis automático estaban operados por spammers. “Damos una dirección de correo única a cada visitante que viene a nuestra página,” afirma Shue. “Si nos llega un mail a esa dirección, sabemos que el robot le dio la dirección a un spammer.”

Los investigadores también descubrieron que los programas que analizan la web a la búsqueda de direcciones de correo—apodados en inglés como spamming crawlers, o programas de análisis destinados al correo basura—poseen características que deberían ayudar a detectarlos más fácilmente. Por ejemplo, las partes de una red desde la que operan estos programas suelen ser un buen indicador de si es un programa legítimo o no, como las que utilizan Google u otros motores de búsqueda, frente a los spamming crawlers. “Puede que sea posible bloquear una pequeña cantidad de números de red asociados con los programas de análisis destinados al correo basura, para así evitar la recolección de direcciones de correo en un sitio determinado,” señalan en su escrito los investigadores de la Universidad de Indiana.

Muchos usuarios se protegen por sí solos de la recolecta de direcciones mediante el uso de técnicas de confusión simples—como por ejemplo utilizar “-at-“ para reemplazar el símbolo de “@” en todos las direcciones de correo. Los investigadores descubrieron que estos métodos lograron frustrar las técnicas de spam actuales de forma sorprendente. Además, descubrieron que tras enviar una dirección de correo a una web legítima pocas veces se acaba recibiendo spam. “Si te registras con organizaciones acreditadas, no tendrás problemas,” señala Shue. “Si visitas sitios con menos reputación, acabarás recibiendo spam.”

En un estudio distinto y que se presentará en la misma conferencia, unos investigadores de la Universidad Federal de Minas Gerais (UFMG), en Brasil, junto al Centro de Información de Red de Brasil, muestra que los spammers tienden a combinar distintas técnicas para enmascarar el origen de sus mensajes basura. Aunque muchos grupos de spam utilizan botnets para que la fuente de los mensajes permanezca en el anonimato, un elevado número utiliza cadenas de máquinas comprometidas en serie, según informa Pedro Calais Guerra, estudiante de doctorado en la UFMG.

“El factor principal para que el spammer tenga éxito en términos de ocultación de su identidad en la red reside en expandir su actividad lo máximo posible,” afirma Guerra, quien cree que el estudio de su equipo podría utilizarse para identificar qué mensajes deberían ser bloqueados y así ayudar en la lucha contra el spam. “Creemos que puede tener un impacto en el diseño de listas negras.”

Guerra y otros cinco investigadores hicieron un seguimiento de unos servidores especiales, conocidos como honeypots, que recolectan 525 millones de mensajes basura enviados desde más de 216.000 direcciones de internet durante un periodo de 15 meses. Descubrieron, por ejemplo, que casi 95.000 máquinas de las utilizadas por los spammers eran ordenadores de usuarios que se dedicaban a reenviar los mensajes, en vez de ser servidores de correo, un tercio de los cuales tenían sede en Estados Unidos y un cuarto en Taiwan.

Las cadenas de ordenadores utilizadas por los spammers para mantener anónimo el origen del spam se clasifican en dos categorías: proxys abiertos y relays abiertos. Los proxys abiertos son servidores bajo control que envían los datos a otros ordenadores de la red, escondiendo la dirección del remitente; los relays abiertos reciben mensajes de otros dominios, y pasan el mensaje al siguiente servidor. Los investigadores descubrieron que los spammers normalmente utilizan cada relay abierto sólo para reenviar los correos durante un corto periodo de tiempo, para evitar que el servidor de correos acabe engrosando una lista negra.

“En nuestro estudio demostramos que los spammers envían grandes volumenes de spam a los proxys abiertos, y los volumenes bajos los envían a los relays,” afirma Guerra desde la UFMG.