¿CÓMO ES EL SPAM DE HOY EN DÍA?

Lo que significa que son principalmente texto “plain vanilla” o mensajes HTML simples, promocionando distintos bienes y servicios como los de las siguientes imágenes:

“El spam basado en texto es el tipo más prolífico de la familia del spam, debido a su sencillez, tamaño reducido y su extrema versatilidad.”

Andra Miloiu

Analista de Spam de BitDefender

El cuerpo del mensaje varía desde unas pocas palabras a varias frases o párrafos y, a menudo incluyen enlaces a sitios web de venta de productos o de alojamiento de los servicios anunciados.

Debido a que los filtros de spam pueden adiestrarse para bloquear mensajes que contienen palabras específicas que probablemente aparezcan en el asunto o en el cuerpo, una de las técnicas que los spammers emplean es alterar con errores, sustituir o añadir caracteres. Aunque los filtros de spam no pueden detectar algunos de ellos, debido a su inusual patrón, nosotros, como humanos, podemos reconocer fácilmente las palabras cifradas, como se muestra en las siguientes imágenes:

Para engañar a los filtros de spam basados en contenido(16), a veces se combinan el mismo cuerpo y asunto, parcialmente alterados y conectados a través de scripts automáticos.

“Si consideramos los ataques Anatrim (olas de spam anunciando píldoras dietéticas en el 2007), que utilizaba solamente 40 tipos de asuntos diferentes y 3000 sujetos de título de e-mail (el primero párrafo centrado), el spammer obtenía con facilidad 120,000 combinaciones individualesz, utilizando solo dos características como método de variación. Imagine que ocurre cuando el cuerpo también varía.”

Cătălin Coşoi

Investigador Antispam de BitDefender

Esto produce un rango virtual infinito de mensajes únicos, en lugar de solo uno, basados en patrones con una distribución mundial. Por ejemplo, supongamos que un spammer tiene varias fuentes de texto (aunque sean legítimas), como fuente para la creación de asuntos y cuerpos de los mensajes. Crea un script el cual elige una frase de la fuente, otra frase de otra fuente y así sucesivamente. Si el spammer además añade otro script para codificar las palabras, reformular o sustituir (con sinónimos), en relación con los bots y el uso de botnets mencionados anteriormente, el efecto puede ser literalmente devastador(17).

(16) Como los filtros de palabras clave, filtros Heurísticos, filtros de aprendizaje estadístico, redes de patrones de reconocimiento neuronal y así sucesivamente.

(17) Para obtener más información sobre esta técnica, por favor consulte el completo artículo de mi colega Alexandru Cătălin Coşoi, “Un falso positivo salva red neuronal. Los seguidores de las olas Anatrim”, en la página web personal de Alexandru Cătălin Coşoi, visitada por última vez el 09 de Junio de 2008, http://www.catalincosoi.com/documents/COSOI_ACAnatrimAT.pdf.

Pero también literalmente perturbadora. Por un lado, cuando los métodos de detección por filtros se hace más sofisticados en el reconocimiento de palabras comunes, los spammers comienzan a utilizar vocabulario raro, obsoleto incluso en ocasiones metafórico, más difícil de reconocer y clasificar como perteneciente a mensajes spam. Por otra parte y, en estrecha relación con los scripts automáticos explicados anteriormente, los spammers comienzan a añadir pasajes y citas de autores clásicos como Shakespeare o Dickens, que han extraido de sitios web que ofrecen contenido literario, como Project Gutenberg™(18).

Pero el texto no es el único medio de distribución del spam. Los spammers han centrado su atención en el spam con imágenes también. Desde simples imágenes .gif o .jpeg adjuntas al mensaje e-mail, a imágenes automáticamente ofuscadas y digitalmente alteradas y también contenido gráfico animado, como se muestra en las capturas de pantalla a continuación:

(18) Para una cobertura en profundidad del spam, la cual también es una lectura interesante, por favor consulte los siguientes artículos:

David Kestenbaum, “Spam se vuelve literal”, publicado el 08 de Agosto de 2006, en National Public Radio, visitado por última vez el 20 de Junio de 2008, http://www.npr.org/templates/story/story.php?storyId=5624749y Eva Wiseman, “Introducción a la Spoesia”, publicado el 07 de Marzo de 2006, en The Guardian, visitado por última vez el 20 de Junio de 2008, http://www.guardian.co.uk/technology/2006/mar/07/news.bookscomment.

Para bibliografía sobre spam o basada en spam y tendencias contemporáneas y que se asemejan a algunos de las técnicas de los movimientos avant-garde de principios del siglo XX, como los textos cortados pertenecientes al Dadaísmo de Tristan Tzara y el siguiente movimiento surrealista, por favor consulte la edición electrónica de Morton Hurley, Antología de la poesía Spam, visitado por última vez el 20 de Junio de 2008, http://poemsmadefromspam.blogspot.com/; para una edición impresa consulte Vértice 1925 , visitado por última vez el 20 de Junio del 2008, http://vertice1925.blogspot.com/.

Además, otro punto de vista sobre la Spoesía o la poesía Spam, Ben Myers, “Spoesía por favor”, publicado el 26 de Julio de 2007, en The Guardian Blogs Books, visitado por última vez el 20 de Junio de 2008,http://blogs.guardian.co.uk/books/2007/07/spoetry_please.html.

Debido a que la mayoría de los filtros de spam ya tienen un módulo OCR19 que es capaz de analizar y leer el texto incrustado en una imagen, los spammers suelen alterar los gráficos adjuntos. El método de alteración más común consiste en:

• Añadir píxeles al azar
• Codificar los caracteres y las posiciones y tamaño del texto, en relación con diferentes tipos de fuentes (decorativas)
• Añadir diferentes colores a diferentes caracteres o partes del texto
• Incluir contenido legítimo en la imagen spam, como logos de compañías
• Utilizar bordes, fondos y otro tipo de elementos de “ruido” para obstruir el proceso OCR, pero no un descifrado humano
• Introducir varias imágenes desplazables, encapsuladas en los archivos .gif o .png adjuntos(20)

El spam con imágenes tiene un mayor potencial dañino que el clásico spam de texto, por una serie de razones. En primer lugar, permite a los spammers detectar que direcciones de e-mail son válidas y/o activas, haciéndoles saber que direcciones bloquean la muestra de imágenes. En segundo lugar, cuando uno permite mostrar la imagen de spam, comunica al spammer que puede “alimentarlo” con más spam. En tercer lugar, porque obliga al usuario a desplegar más recursos para abrirlos y leerlos (si un mensaje de texto simple no pasa de unos pocos Kb, una imagen puede ser considerablemente mayor y esto requiere más ancho de banda, memoría RAM adicional, etc.).

Al combinar imágenes y texto en forma de mensajes HTML, el e-mail spam puede ser aún más engañoso. Sobre todo cuando los spammers utilizan logos, marcas comerciales y otros elementos gráficos y de formato para falsificar la apariencia de una compañía específica la cual no tiene nada que ver con el spam. Por lo general, este tipo de mensajes spam están en estrecha relación con el fraude electrónico o la estafa, como el phishing(21). Por ejemplo, en la captura de pantalla, el mensaje de spam parece ser enviado por eBay®. El e-mail solicita al destinatario que verifique y actualice la información de su cuenta, accediendo mediante el enlace proporcionado. Sin embargo, si observa con detenimiento la barra de estado del cliente de correo, probablemente notará el sitio web real encubierto tras esa falsa dirección de eBay. Lo más probable es que este mensaje llegue a miles de destinatarios en el mundo. Quizás algunos de ellos no sean clientes del sitio web de subastas electrónicas y detecten inmediatamente el intento de fraude tras este spam. El resto de destinatarios, aquellos que realmente son clientes de eBay y que no tengan en cuenta tales detalles, es muy probable que ofrezcan en bandeja de plata el nombre de usuario y contraseña de su cuenta, así como otra información personal, como dirección e-mail, número de móvil, direcciones de hogar y facturación, número de la seguridad social y tarjetas de crédito, etc.

(19) Es el acrónimo para el reconocimiento óptico de caracteres.

(20) Para obtener más información sobre los métodos de ofuscación de la imagen, por favor consulte el artículo de Alexandru Cătălin Coşoi, “¿El medio o el mensaje? Luchando contra el spam de imágenes”, publicado el 01 de Diciembre de 2006, en Virus Bulleting, visitado por última vez el 09 de Junio de 2008, http://www.virusbtn.com/spambulletin/archive/2006/12/sb200612-image-spam. También está disponible una copia de este artículo descargable en PDF en la página de libros blancos de tecnología de BitDefender, visitada por última vez el 09 de Junio de 2008, http://www.bitdefender.com/files/Main/file/BitDefender_DealingWithImageSpam_VBDec06.pdf.

(21) El phishing debe entenderse como un tipo de actividad ilegal tratando de obtener información personal y confidencial, como nombres de usuario, contraseñas, números de seguridad social y tarjetas de crédito, etc. Por medio de engaño como falsos e-mail que dicen pertenecer a una empresa legítima.

Para evitar la creación automática de cuentas, los propveedores de e-mail apelan a un método que actualmente comparten con los spammers de imágenes. CAPTCHA™ (acrónimo de Prueba de Turing Completamente Automatizada Para Diferenciar Ordenadores de Seres Humanos) se refiere a la muestra de un código alfanumérico revuelto dentro de una imagen alterada. Para completar la creación de una cuenta e-mail, debe proporcionar el código ofuscado. Si bien, es visible para el ser humano, el contenido está distorsionado e ilegible para una máquina.

“El spam e-mail es, probablemente, uno de los medios más prolíficos para los phishers. Muchos clientes online pueden ser engañados por mensajes ilegítimos para acceder a sitios web falsos y enviar información personal sensible. Sin mostrar mucha atención a los detalles, puede convertirse en una de las 50,000 víctimas mensuales de robo de identidad.”

Vlad Vâlceanu

Jefe del Laboratorio de Investigación Antispam de BitDefender

Además de estas técnicas, los spammers también emplean adjuntos en el e-mail como spam, ya sea como un simple medio para publicitar sus productos o como un método para propagar malware(22).

El formato de documento portátil PDF, representa otra tendencia en los adjuntos de e-mail utilizados como spam. Esto se debe a que los archivos PDF son un estándar común para documentos, especialmente cuando se trata de negocios y realmente queremos comprobar este tipo de archivos, para prevenir vistas o la pérdida de información importante.

(22) Malware es otro término acuñado, derivado de abreviar malicioso y software y se refiere al código o aplicación escrito y distribuido, que se infiltra y/o daña un sistema informático sin el consentimiento del propietario. El malware incluye virus, gusanos, troyanos, rootkits, spyware, adware y otros tipos de software malicioso y no solicitado.