Diez años de spam

EVOLUCIÓN Y SITUACIÓN ACTUAL

El crecimiento del spam en estos últimos años ha sido enorme. A mediados del año 2001 el 8% del total de correo que circulaba en la red Internet era considerado spam. Un año más tarde, en 2002, la cifra crecía hasta el 36%. En 2003 ya rondaba el 50%, lo cual se tradujo en unos 15.000 millones de mensajes spam. En abril de 2004, los cálculos oscilan en el rango del 75-80%, y se prevén unos 35.000 millones de mensajes spam a lo largo del año. En este mes, algunos proveedores de servicios Internet (en adelante, PSI) lo evalúan en torno al 90%.

Se puede deducir la magnitud del perjuicio económico que ocasiona este fenómeno si recordamos que el correo electrónico es un servicio donde prácticamente todo el coste económico del proceso recae en quien lo recibe. Una gran parte de este coste repercute en el PSI que recibe y almacena cada mensaje hasta que el usuario lo lee. También afecta económicamente al usuario final, el cual asume el coste de la descarga de estos mensajes hasta su equipo y, por otra parte, dedica su tiempo a eliminar el spam. News.com calcula en 20.000 millones de dólares el perjuicio económico ocasionado en las empresas, sólo en América, durante el año 2003. Aunque el spam no es perjudicial para todos: la lucha contra el spam ha pasado a ser un negocio (se prevén unos 1.000 millones de dólares en 2004, un 50% más que 2003, según la firma de investigación de mercado Radicati).

No es sólo un perjuicio económico. Una parte del spam se refiere a contenidos pornográficos; y el 17% de éstos, según un estudio de la Comisión Federal de Comercio de EE.UU. durante el año pasado, contienen directamente imágenes con desnudos. La posesión de estos contenidos es incluso ilegal en ciertos países y supuestos. Son mensajes que no distinguen si su receptor es menor de edad. Cualquier persona puede sentirse moralmente afectada por estos contenidos, o simplemente por las incómodas situaciones que pueden producirse mientras lee el correo recibido en un sitio más o menos público, como pueda ser su lugar de trabajo o una terminal de aeropuerto.

También daña el propio servicio de correo electrónico. En los últimos meses parece haberse superado el nivel de spam con el que los usuarios están dispuestos a lidiar para seguir considerando útil este servicio. Según una encuesta de Pew Internet y la American Life Foundation un 28% de los usuarios manifestaban estar reduciendo el uso del correo electrónico debido a la presencia de spam. Radicati prevé unos 142.000 millones de spam en 2008 si no se toman medidas. Probablemente el correo electrónico deje de ser un servicio útil si se alcanzan tales condiciones.

Vistos los elevados niveles de crecimiento y sus consecuencias, urge encontrar una solución.

COMBATE TECNOLÓGICO

Los PSI han sido uno de los primeros elementos de la cadena de distribución de correo en buscar soluciones. Con su mentalidad de empresa, resulta ineficiente dedicar una parte cada vez mayor de sus recursos a un tipo de correo que no produce ningún beneficio y que, además, provoca en sus clientes una mala imagen del servicio que se ofrece. Como respuesta han incorporado progresivamente ciertas barreras tecnológicas que les permitan reducir el nivel de spam que perciben sus usuarios; de hecho, una protección más eficaz ante el spam que su competencia se ha convertido en la actualidad en un valor añadido de los PSI de cara a sus clientes. Pero las barreras utilizadas no pueden ser demasiado agresivas, pues clasificar erróneamente un mensaje como spam (un denominado falso positivo) puede provocar en un cliente el efecto contrario al deseado. Tampoco puede tratarse de técnicas que consuman excesivos recursos, dado el elevado tráfico de mensajes que gestionan estos sistemas.

La efectividad media que logran los PSI en su lucha contra el spam se estima actualmente en torno a un 50% de éxito. Pero la mitad de muchísimo sigue siendo mucho, y sigue alcanzando a sus clientes y consumiendo sus recursos. Pero las barreras tecnológicas pueden llegar a alcanzar mayor efectividad. Organizaciones de menor tamaño que los PSI, que gestionan su propio correo electrónico y cuentan con suficientes recursos técnicos y humanos, reportan valores cercanos al 90% de éxito en su lucha, tras aplicar diversas técnicas combinadas.

Podemos clasificar estas barreras tecnológicas disponibles en dos grandes categorías: filtrado, y sistemas de resolución inversa. Analicemos a grandes rasgos en qué se basan.

El filtrado permite a la estafeta receptora de un mensaje clasificarlo como spam en base a diferentes criterios. El criterio más habitual son las listas de palabras "tabú" (un mensaje con "viagra" es firme candidato a ser spam). Un segundo criterio decide en función de la máquina que nos envíe el correo: aparecen las listas negras (direcciones IP de equipos clasificados como remitentes de spam) o blancas (no-remitentes de spam). Ambos criterios son comúnmente utilizados por los PSI. Un tercer criterio, que proporciona buenos resultados, consiste en resumir cada correo electrónico recibido en un valor único (una especie de ADN del email); así, detectar un mismo valor muchas veces en diferentes máquinas refleja un envío masivo del mismo mensaje. Un cuarto criterio se basa en la predicción que realizan ciertos sistemas probabilísticos (Bayes) en base a los patrones "aprendidos" a partir de la estructura y contenido de mensajes buenos anteriores como malos (spam) recibidos, indican con cierta probabilidad si un correo nuevo parece ser spam.

Los sistemas basados en filtrado requieren de frecuentes actualizaciones pues los generadores de spam modifican continuamente sus estrategias para lograr esquivarlos: "v.i.a.g.r.a", inclusión de secuencias de palabras aleatorias en los mensajes, envío desde diferentes equipos, son ejemplos de ello. Si no se actualizan, su efectividad puede ser buena esta semana y mala dentro de un mes. Precisamente por su necesidad de actualización continua, estos criterios de filtrado mejoran su eficiencia cuando, en lugar de reducirse a un ámbito local (involucrando el conocimiento de una única organización), se convierten en sistemas distribuidos a través de la red (compartiendo conocimientos entre varias organizaciones; cuántas más, mejor). Es el caso de los sistemas Razor y DCC.

La segunda categoría de las barreras tecnológicas la forman los sistemas basados en la denominada resolución inversa. El objetivo es evitar que los generadores de spam se amparen en la posibilidad --existente en el sistema de correo utilizado en Internet-- de falsificar el remitente especificado en cada mensaje spam. Se basa en mantener identificado al equipo desde el cual se envía habitualmente los mensajes procedentes de cada organización. Así, si un mensaje "dice" ser remitido desde alguna organización pero realmente no se recibe desde el equipo identificado para aquélla, se deduce que debe ser un intento de falsificación: spam. Una variante de este sistema lleva algunos meses funcionando en AOL, el mayor PSI de EE.UU., y ha informado que, como resultado, se ha invertido la tendencia y el spam percibido por sus clientes se ha visto reducido por primera vez desde hace muchos años.

COMBATE LEGAL

El otro frente de combate del spam se basa en las leyes. Es decir, evitar el spam prohibiendo y persiguiendo legalmente su envío.

La Comisión Europea, en el año 2002, publicó una Directiva -2002/58/CE-- a cumplir antes de Noviembre de 2003 por todos los países miembros. En ella, muy resumidamente, se venía a definir qué se considera spam, y a prohibir su envío sin consentimiento previo del destinatario o relación comercial previa del remitente con el destinatario. En España, la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico) ha sido adaptada para incorporar sus directrices.

En enero de 2004 entró en vigor la primera ley de ámbito federal en EE.UU. relacionada con el spam -CAN-SPAM--, no exenta de polémica. Derogó leyes estatales existentes, mucho más restrictivas en la mayoría de casos. Opta por permitir el envío comercial no solicitado sin consentimiento previo, siempre que se dé la oportunidad al usuario de solicitar a posteriori su baja (aunque no precisa expresamente la forma de hacerlo, por lo que este proceso puede convertirse en un laberinto); también obliga a etiquetar expresamente, por ejemplo, el contenido pornográfico incluyendo una marca en el asunto del mensaje. Algunos consideran que esta norma ayudará a la lucha contra el spam. Otros la consideran blanda, y aducen que, cumpliendo sus condiciones, se está legalizando el envío de spam, y temen que se incremente el problema. No hay aún cifras fiables del grado de aplicación o incidencia de esta ley aunque, según algún PSI de EE.UU., el spam ha crecido un 6% desde enero, y apenas va etiquetado (un 4% se alcanzó en Abril y decreció hasta el 1% en Mayo).

PERSPECTIVAS DE FUTURO

¿Y qué sobre el futuro? Parece existir coincidencia en que la solución definitiva requiere una acción combinada legal-tecnológica.

La opción legal está en sus comienzos, como se ha indicado anteriormente. Pero resulta complicado seguir la traza de un envío de spam y localizar a sus generadores para aplicarles las leyes. De hecho, se está mostrando como una opción mucho más sencilla seguir el rastro del dinero que mueve el envío de spam; los recientes enjuiciamientos de generadores de spam en EE.UU. así lo demuestran. No hay que olvidar que tras el spam se oculta una mera cuestión económica: enviarlo es un negocio rentable.

En cuanto a la mejora de la opción tecnológica, las soluciones propuestas siguen dos líneas diferentes y que pueden ser complementarias: por un lado, aumentar el coste del envío de correo y, por otro, poder identificar fehacientemente al generador de spam.

Aumentar el coste que paga el remitente de spam, desde luego, desalentaría el envío masivo de correo electrónico. Recientemente, en Davos (Suiza), Bill Gates pronosticó que en dos años el spam sería un problema eliminado. ¿Su solución? Hacer pagar al que envía correo electrónico dedicando tiempo a resolver algún cálculo complejo que se le plantea. Pero esta solución penaliza las máquinas lentas frente a las rápidas y hace difícilmente sostenibles los grandes servicios de noticias o listas de correo. Y es esquivable para los remitentes de spam: por ejemplo, uno de los objetivos de los últimos ataques de gusanos de correo consiste en dejar tras de sí puertas abiertas en los equipos infectados para utilizarlas posteriormente para el envío de spam: de esta forma no consumen sus propios recursos ni son filtrados por listas negras. El tiempo dirá si Gates está en lo cierto (ha errado vaticinios anteriores: el auge del software libre -con Linux como estandarte--, o del buscador Google son pruebas de ello).

También el coste de envío del correo puede ser económico: estamos hablando del denominado sello digital (e-Postal). Esto es, pagar por un sello digital que permita enviar un mensaje de correo. El receptor no aceptaría mensajes sin sello. Admite una posible variante: que los sellos sólo se cobren realmente en los mensajes que sean rechazados expresamente por el destinatario y no en los aceptados. Pero surgen muchas dudas aún: ¿cómo se paga? ¿quién nos proporciona el sello? Si se trata de un único sistema centralizado, tendría demasiada carga pero podría estar controlado. Si son varios sistemas, ¿qué ocurre si algún remitente de spam se hace con uno? Resulta complicado aplicarlo a escala mundial. Por el momento, esta opción presenta debilidades que la hacen esquivable para los camaleónicos remitentes de spam. Pero aún cuando probablemente no resuelva el problema y limite en gran medida el uso del correo electrónico, parece claro que esta solución movería grandes cifras de negocio.

La línea alternativa de las soluciones tecnológicas busca intentar asegurar que quien envía un mensaje sea una persona física, o bien un usuario fehacientemente identificado. ¿Cómo? Para intentar asegurar que se trate de una persona física, se sugiere enviar al remitente de un mensaje un pequeño reto que no pueda ser resuelto por una máquina: alguna imagen donde debe localizar un icono o texto, etc. para así asegurar que no se trata de un sistema automático (como los generadores de spam). A primera vista parece una solución interesante pero, en la práctica, esta solución resulta esquivable para los remitentes de spam mediante sistemas de reconocimiento automático, etc. Además, listas de correo, servicios de noticias, y el resto de sistemas automáticos de envío de correo legítimo se ven gravemente afectados (y si se establece alguna excepción para estos sistemas, se está abriendo también la puerta para el spam).

La otra opción es intentar identificar fehacientemente al remitente de cada mensaje. Así, si envía spam, será posible aplicarle las leyes. Pero también surgen dudas similares a las existentes en el sello digital: cómo almacenar los certificados que se utilizan para identificar a los usuarios, el uso o no de autoridades de certificación, disponibilidad y número de las mismas, distribución de claves. En todas sus variantes hasta el momento se han encontrado vulnerabilidades que pueden utilizar los remitentes de spam para esquivar el sistema una vez establecido. Además, este método no identifica realmente al remitente, sino que sólo asegura que dispone de claves correctas, que no es exactamente lo mismo. Su aplicación a escala mundial tampoco es sencilla.

Como se puede apreciar no se ha encontrado aún una solución tecnológica satisfactoria. El pasado año se creó un grupo de desarrollo en el IETF (organismo que gobierna la parte técnica de las tecnologías y protocolos utilizados en la red Internet) destinado a buscar una solución al spam basada en una posible modificación de los propios protocolos y tecnologías que sustentan el correo electrónico actual. Tecnologías con más de tres décadas de vida y que fueron diseñadas en tiempos en que la red Internet era diferente. La primera tarea de este grupo: definir qué es spam y qué no lo es. Porque un mismo mensaje puede ser spam para un usuario, y una deseada oportunidad de trabajo para otro. A continuación, siempre con la premisa de que se requiere consentimiento previo por parte del usuario antes de recibir spam, estudiar cómo se puede erradicar este problema.

Por el momento parece que hay que conformarse con que las barreras tecnológicas existentes reduzcan el problema hasta donde sea posible. Porque utilizar el correo sin ninguna barrera tecnológica se encuentra ya al borde de lo insufrible. Pero resulta desalentador, tal y como opinan expertos en spam como Krawetz, que prácticamente todas las barreras tecnológicas mencionadas en este texto realmente limiten y perjudiquen más a los usuarios que envían correo legítimo que a aquéllos que envían spam. Es cierto que estas barreras tecnológicas, a pesar de sus molestias, pueden dar resultados óptimos durante un cierto tiempo. Pero sólo entretanto los remitentes de spam evolucionan sus sistemas (cuestión, en muchos casos, de semanas).

Para finalizar este análisis, sólo realizar un apunte: los remitentes de spam parecen haber extendido su objetivo a los sistemas públicos de mensajería instantánea -conocidos como Messenger en sus diversas versiones públicas--. Según reporta IMlogic Corp., el pasado año el porcentaje de spam respecto al total del volumen de tráfico de mensajes instantáneos fue prácticamente nulo, pero este año se estima ya en el 5%.