Grupos de Internet se organizan contra el envío masivo de correo basura o 'spam'

"Todo el sistema de correo de Internet está bajo un bombardeo constante, un ataque de Denegación de Servicio en toda regla". La frase es del presidente de The World, Barry Schein, un pionero proveedor norteamericano, durante la primera Conferencia sobre el spam, celebrada en enero en Cambridge.

Desde 1978, cuando DEC envió el primer correo comercial no solicitado a ArpaNet, el volumen del correo basura o spam ha crecido hasta ser la principal queja de los internautas. Y un problema de seguridad mayor que los virus: saturación de redes, abuso de servicios, fraudes, daños a la privacidad de los internautas...

A finales de enero, el registrador de dominios británicos tuvo que suspender ocho horas su servicio Whois, de identificación de dueños de dominios, por el ataque de unos spammers que querían robar su base de datos.

En un comunicado, Nominet UK afirmaba: "Alguien muy persistente ha intentado conseguir una copia detallada del registro .uk. El ataque consiste en hacer preguntas sistemáticamente al servidor Whois, desde cientos de servidores". La misma treta se ha usado contra Hotmail y otros proveedores de correo gratuito.

En los Estados Unidos, la Federal Trade Commission ha empezado a investigar a spammers. Algunas compañías han ganado juicios contra éstos, como America Online. Aunque la mayoría de estados norteamericanos tiene legislación antispam, el Senado ultima el borrador de una ley federal que obligará a consignar ADV (abreviatura de advertising, publicidad) en los envíos comerciales, después de dar su aprobación la Direct Marketing Association, que hasta ahora se negaba.

En Europa, la legislación es más estricta: una directiva de 2002 mantiene el correo basura fuera de la ley: sólo se puede enviar a personas que lo consientan (sistema "opt-in"). Lo mismo dice la española Ley de Servicios de la Sociedad de la Información.

La Asociación de Usuarios de Internet (AUI) acaba de poner en marcha la I Campaña contra el Correo no Solicitado, con la colaboración de grandes compañías como Telefónica o Wanadoo, e instituciones como el Ministerio de Ciencia y Tecnología.

En su web, la asociación AUI ofrece consejos, una completa guía de denuncia y una idea: que la Administración facilite cuentas de correo gratuitas sometidas a controles de calidad.

Un reciente estudio de la Asociación de Internautas concluye: "A pesar de la LSSI, el problema del spam dista mucho de estar resuelto en España, porque el 75% viene de fuera de la Unión Europeal".

"180.000 e-mails de España, 650.000 del resto del mundo, 15.000.000 de Estados Unidos. Incluye el mejor programa de envío de publicidad, con instrucciones para que no lo detecte su servidor. Costo total: 100 dólares", anuncian los vendedores de estos directorios, en un típico spam.

Rob West, autor del Spamdemic Map, que documenta gráficamente los saltos entre bases de datos que siguen las direcciones de correo, asegura: "Se han convertido en divisa de un juego financiero que mueve rápidamente bases de datos con información de consumidores".

Primero, se recolectan las direcciones en páginas web y foros públicos. Después, se venden a compañías de mercadotecnia, que pagan un tanto (desde unos céntimos a un euro) por cada nombre. Estas listas pueden venderse después a compañías legítimas, que creen estar comprando direcciones de consumidores que han dado su consentimiento.

El spam ilegal se envía desde direcciones falsas, robando el ancho de banda de proveedores que tienen inadvertidamente abierto el puerto de envío de su servidor de correo. Las redes inalámbricas, en su mayoría desprotegidas, son también usadas por los spammers.

Listas blancas

Recientemente, Scott Fahlman, conocido por haber usado el primer emoticón, proponía cobrar por recibir spam, aunque para ello se necesitarían nuevos programas. Una idea parecida, que ya está en uso pero sin dinero, es el filtrado inverso o listas blancas: el servidor de correo no deja entrar ningún mensaje que no esté en una lista aprobada por el usuario. Si alguien nuevo envía una carta, se le responde con instrucciones para entrar en la lista blanca.

Pero el arma más frecuente, al nivel de los grandes sistemas, son las listas negras, que bloquean la entrada a mensajes de proveedores que envían spam. En España, la red académica RedIRIS está haciendo pruebas piloto con un sistema propio de lista negra, la Plataforma Unificada AntiSpam (PUAS), que permite a la comunidad rechazar correo basura de forma unida y con una política común. Algunos técnicos de proveedores españoles han mostrado, en el foro Abuso en el Correo Electrónico, su disposición a crear una plataforma parecida.

"Lo más importante de PUAS es que, a diferencia de otras listas negras, aquí es la comunidad académica quien bloquea las direcciones que han enviado spam y quien decide las penalizaciones temporales: primero, 2 horas; si vuelve a reincidir, un día, y así sucesivamente. Los usuarios envían el spam que reciben a la central de RedIRIS, que analiza cabeceras y contabiliza: número de denuncias, número de universidades afectadas y veces que ya ha estado en la base de datos. El resultado final se refleja en el servidor que chequea el correo entrante de cualquier Universidad", explica su promotor, Jesús Sanz de las Heras.

En el último año, han crecido las críticas contra las listas negras: Philip Jacob, en su estudio The Spam Problem, denuncia que bloquean de forma demasiado general, lo que afecta a usuarios legítimos del proveedor denunciado: "Un buen número de spam se envía a través de servidores inseguros de Asia y Suramérica, por lo que se filtran. Algunos administradores están cerrando completamente el correo que viene de Corea o China. Y esto sólo lleva a la discriminación. Es antidemocrático que una compañía no pueda comunicarse a través de su ISP con otra".

Por eso, se tiende a nuevas herramientas, como los escáneres de contenido, que filtran a partir de lo que dice el mensaje, o los Sistemas de Notificación Distribuida, donde los usuarios envían los spam recibidos a una base de datos central. Aunque son muy fiables, no sirven para los webmails ni para los proveedores: sólo funcionan en el cliente de correo del usuario.

De esta segunda generación de programas se habló en la primera Conferencia sobre el Spam, celebrada en el Massachusetts Institute of Technology (MIT). Legendarios hackers como Eric S. Raymond o John Draper estuvieron allí. También Matt Sergeant, codesarrollador del popular programa libre SpamAssassin.

Aunque hay otros que prefieren la venganza directa: recientemente, el norteamericano Alan Ralsky denunciaba una conspiración para cubrirlo de correo basura: "Me han apuntado a todas las campañas publicitarias y listas de correo que existen". Ralsky se ha hecho rico enviando miles de millones de spam al día, según una nota aparecida en el weblog Slashdot, que desató la ira de los lectores. Alguien posteó entonces las direcciones de correo y física de Ralsky y el rey del spam fue espameado.