Si las acciones se centrasen en las 50 redes infectadas más importantes, se podrían eliminar la mitad de las máquinas comprometidas.
Convencer a los proveedores de servicios de Internet para que localizasen los ordenadores infectados en sus redes podría eliminar una gran parte de los ordenadores zombis responsables de enviar spam e iniciar otros tipos de amenazas por internet, según un nuevo análisis.
Los investigadores analizaron más de 63 mil millones de mensajes no solicitados de correo electrónico enviados a través de un período de cuatro años y encontraron más de 138 millones de direcciones únicas de internet relacionadas con el envío de spam. Normalmente este tipo de máquinas han sido secuestradas por hackers y son encerradas dentro de una vasta red perteneciente a un sistema de control remoto conocido como 'botnet'.
Al correlacionar las direcciones de protocolo de internet de estas máquinas envía-spam con las redes mantenidas por los proveedores de servicios de internet, los investigadores descubrieron que alrededor de dos tercios de ellas estaban localizadas en redes gestionadas por los 200 PSIs más grandes de 40 países. Las 50 mayores redes responsables representaban más de la mitad de todas las direcciones IP comprometidas. Si estos PSIs cerrasen, o bloqueasen, las máquinas maliciosas en sus redes, se podría reducir el spam en todo el mundo a la mitad.
"Esos 50 proveedores de internet no son los únicos con fama dudosa de los que oímos hablar", afirma Michel van Eeten, profesor de administración pública en la Universidad Tecnológica de Delft en los Países Bajos, y uno de los autores de un documento sobre la investigación, que será presentado el próximo mes en el Taller sobre la Economía de la Seguridad de la Información, en la Universidad de Harvard. "Son con las que tratamos todos los días, y por tanto son más accesibles y están más al alcance del gobierno".
La investigación sugiere que un paquete de regulaciones diseñadas para forzar a que los PSIs tomasen medidas para reducir el número de sistemas comprometidos, tendría un impacto dramático sobre las botnets de los criminales cibernéticos".
El proveedor nacional de servicios de internet de Turquía, Turk Telecom, acaba de bloquear a sus usuarios y les ha impedido que envíen correos si no es a través de sus propios servidores. Como resultado, casi cuatro millones de direcciones IP con signos de infección se vieron imposibilitadas para enviar correos no deseado, afirma David Rand, otro miembro del equipo de investigación y director de tecnología de la empresa de antivirus Trend Micro. Una serie de reglamentos que hiciesen que otros proveedores de servicios de internet tomasen medidas similares podrían ayudar a limpiar las principales redes, señala Rand. "El objetivo es crear algún tipo de legislación que obligue a los proveedores de internet a por lo menos notificar a sus clientes", afirma.
Las políticas nacionales parecen tener un impacto sobre las poblaciones de botnets. Los países que se han unido al Plan de Acción de Londres—una iniciativa internacional para coordinar acciones anti-spam y contra la delincuencia cibernética—o que han firmado el Convenio del Consejo de Europa sobre la Ciberdelincuencia, poseen menos infecciones provocadas por botnets, según afirman los investigadores.
Aunque existe una relación entre el tamaño de un PSI y el número de equipos infectados conectados a internet a través de la red del proveedor, algunos proveedores poseen 100 veces más infecciones que otros del mismo tamaño. Y mientras que algunos PSIs están abordando el problema, la mayoría no logran abarcar la magnitud de la cuestión, asegura van Delft desde la Universidad Delft. Un gran PSI recientemente eliminó 1.000 sistemas infectados al mes de su red, aunque probablemente existían entre 40.000 y 200.000 ordenadores infectados conectados a la red. "No hay forma de que los consumidores lleguen a evaluar cualquiera de las afirmaciones procedentes de un determinado proveedor de internet en cuanto a su preocupación por el tema de la seguridad", afirma van Eeten.
Los investigadores esperan que esto cambie gracias al desarrollo de indicadores métricos que muestren el grado de actividad de un PSI para detectar y mitigar la captura de los sistemas, y están trabajando con el gobierno holandés para desarrollar este tipo de mediciones.
Exigir que los PSIs protegiesen los equipos de sus clientes tendría un impacto económico desigual, según señalan los expertos. El bloqueo a la conexión de red de aquellos consumidores cuyo ordenador estuviese comprometido podría dar lugar a una costosa avalancha de llamadas pidiendo soporte, según explica José Nazario, investigador senior de la empresa de seguridad de redes Arbor Networks.
Sin embargo, los proveedores de servicios de internet se están tomando más en serio la amenaza. Los proveedores en Australia, por ejemplo, han firmado un acuerdo para notificar a los consumidores si su PC se ve comprometido por software malicioso, y para posiblemente reducir su ancho de banda. En los Países Bajos, 14 proveedores de internet han acordado intercambiar información relacionada con cuestiones de seguridad, para así notificar a los usuarios si su sistema pareciese estar comprometido, y para también bloquear el tráfico de los sistemas infectados, lo que esencialmente pondría en cuarentena a los usuarios.
Aunque la investigación sugiere que si las acciones se centrasen en las docenas de proveedores de red con las mayores poblaciones de botnets conectadas a sus redes, Rand desde Trend Micro insiste en que todo el problema tiene que abordarse de manera más integral. "Todo el mundo tiene que tratar el problema de forma simultánea", señala Rand. "Podríamos arreglar los principales 50 proveedores de internet de este año y, el próximo año, descubriremos que tenemos que tratar con 500".