Spam, spam ¡spam!

¿Qué tienen de comer?, preguntan dos clientes sentados a la mesa de un restaurante inmundo. La camarera, desde la barra, enumera el menú con voz chillona: Bueno, pues tenemos huevos y beicon. Huevos, salchichas y beicon. Huevos y spam. Huevos, beicon y spam. Huevos, beicon, salchichas y spam. Spam, beicon, salchichas y spam. Spam, huevos, spam, spam, beicon y spam. Spam, spam, spam, huevos y spam. Spam, spam, spam, spam, spam, spam, alubias y spam. Spam, spam y spam. O langosta termidor aux crevettes con salsa mornay, paté de trufa, un huevo encima y ¡spam!

Este sketch, de los Monty Python (1970), no tenía nada que ver, aún, con los cientos, miles, millones de mensajes basura que circulan por Internet intentando abrirse camino hasta nuestras cuentas de correo electrónico. Se refería a una marca de magro de cerdo llamada Hormel Spiced Ham [jamón especiado Hormel], o Spam, que se hizo famosa en la II Guerra Mundial por ser el alimento básico de los soldados británicos durante el conflicto. Muchos años más tarde, a alguien se le ocurrió el símil, por lo pesado y molesto.

Las cifras son astronómicas. A medida que la Red ha ido conectando el mundo, el correo electrónico se ha convertido en el medio de comunicación con mayúsculas. Cada segundo se envían más de dos millones de e-mails ?193.200 millones al día?. La mayor parte, sin embargo, es spam, correo electrónico enviado de forma masiva, con fines comerciales o fraudulentos, y generalmente indeseado por sus destinatarios. MessageLabs, una de las empresas antispam de primer nivel (entre sus clientes se encuentran la OTAN, Citigroup y la Corona británica), asegura que el 74% de los mensajes que surcan la Red es basura. Hotmail, el proveedor de correo gratuito de Microsoft, uno de los mayores del mundo, eleva este porcentaje al 98%. Y para entender la magnitud del problema, basta un detalle: la policía detuvo en enero de este año a dos spammers coreanos de 20 y 26 años. Les acusaba de haber enviado 1.600 millones de mensajes spam. En cuatro meses.

Afortunadamente, no todo llega a su destinatario. Una parte es detectada y filtrada por los servidores o las empresas antispam. Pero al final de cada jornada se acaba colando una media de 78.000 millones de correos basura. El simple cálculo provoca dolor de cabeza: si cada persona emplea seis segundos en leer y borrar un mensaje, se desperdician casi 130 millones de horas diarias en esta molesta tarea. Los hay de todo tipo y para todos los gustos: los que anuncian Viagra, alargamientos de pene, relojes o que ofrecen empleo, los que te cuentan que hay un chico o una chica loco/a por tener una cita contigo, los que prometen hot babes (nenas calientes) o boys, dietas milagrosas, la solución a una hipoteca impagable.

Claro que los orígenes fueron mucho más humildes. Todo comenzó ocho años después del sketch de Monty Python, cuando Gary Thuerg, jefe comercial de Digital Equipment Corporation, tuvo una feliz idea. La sede de su compañía se encontraba en un viejo molino de la costa Este de EE UU, y pensó en la mejor forma de publicitar el último modelo de ordenador de su empresa al otro lado del país.

El 3 de mayo de 1978, un chispazo recorrió Arpanet, el primitivo sistema de computadores en Red al que hoy llamamos Internet. Thuerg acababa de enviar un inesperado e indeseado mensaje a unos 600 usuarios de la Red en California y alrededores, a través de un incipiente medio de comunicación, el correo electrónico. Todos desde una única dirección, la suya. "Os invitamos a venir a ver el Decsystem-2020 y a informaros del resto de la familia Decsystem-20", decía.

Aunque algunos destinatarios leyeron la publicidad con gusto, pues aquel modelo 2020 era uno de los primeros computadores con software específico para Arpanet, las reacciones en contra fueron inmediatas. "¡Ha sido una violación flagrante del uso de Arpanet!". "¡Un claro abuso!". Y tenían razón. Se trataba de una quiebra de la política oficial de uso aceptable, algo así como unos principios de ética online, que en aquella época limitaban la Red a materias educativas y de investigación.

Ha llovido mucho desde entonces. Sobre todo en 2003. Hasta esa fecha, los niveles de correo basura se mantenían por debajo del 30% del total. Los spammers eran esa gente molesta que enviaba un correo a 3.000 usuarios y poco más. "En los últimos cuatro años, sin embargo, la lucha contra el spam ha sido una auténtica carrera armamentística", asegura Mark Sunner, jefe de seguridad de MessageLabs. Y sitúa el punto de inflexión en enero de 2003. Primero, unos pocos; luego, cientos, miles, cientos de miles de usuarios de correo electrónico empezaron a recibir el mismo mensaje. Asunto: "Thank you!" o "My details!", e invitaba a abrir un archivo adjunto, que muchos descargaron. Se trataba del virus informático Sobig, capaz de instalarse en el disco duro del incauto sin que éste se diese cuenta. El programa recorría el PC buscando más direcciones y se autodisparaba hacia ellas. MessageLabs llegó a detectar un millón de mensajes en un solo día.

"Con el Sobig, por primera vez, los spammers se sirvieron de un virus informático para adueñarse de los ordenadores infectados", añade Sunner. Se trataba de un troyano, en honor al caballo de Troya: un programa que abre una puerta trasera del ordenador infectado, se cuela, sin que el dueño lo sepa, y convierte el PC en una marioneta, un zombi, listo para que su pastor, desde cualquier lugar del mundo, ordene al rebaño. Ese rebaño se denomina botnets (redes de robots), y los spammers a partir de entonces, empezaron a utilizarlos como plataformas para enviar sus correos basura, multiplicando su capacidad de bombardeo. Fue una epidemia ingobernable: el nivel de spam alcanzaba el 60% a finales de año, mientras Microsoft, en noviembre, ofrecía 250.000 dólares a quien diese una pista sobre el autor del estropicio. Nadie le ha encontrado y los niveles de spam han seguido aumentando a un ritmo del 10% anual.

El modus operandi había cambiado para siempre. Los spammers, hoy, no necesitan usar su propia cuenta de correo. Les basta con poner sus botnets a funcionar. Controlan los ordenadores a distancia, desde un cuadro de mandos similar al que vería el administrador de un chat. Y esto les permite, además, esconderse detrás de las direcciones IP -número que identifica a cada ordenador conectado a Internet- de los PC zombi a su servicio. Localizarles es una hazaña. Y no sirve de mucho. Robert Soloway, un estadounidense de 27 años apodado El Rey del Spam, fue detenido en mayo acusado de robo de identidad, lavado de dinero y fraude postal y electrónico; desde hacía cuatro años figuraba en la lista de los más buscados de la Red por la ingente cantidad de mensajes que enviaba a través de sus botnets. Las autoridades se frotaron las manos. Aseguraban que habían dado el gran golpe y que los niveles de spam se reducirían. ¿Alguien ha notado el cambio?

El 90% del correo basura surge de estas redes de robots, según los expertos. Y todo el mundo es susceptible de formar parte de ellas. La mayoría ni lo sabe, aunque se calcula que un 11% de los ordenadores mundiales está secuestrado. Hace poco, a los creadores del blog Security Fix, del periódico The Washington Post, les dio por preguntarse de dónde venía el spam. La sorpresa fue mayúscula cuando tras pasar un mes analizando mensajes y rastreando las direcciones IP desde las que se enviaron, descubrieron que la mayoría provenía de PC de grandes compañías: desde los equipos del Dow Jones salieron mensajes que proponían remedios para alargarse el pene; se enviaron anuncios de medicamentos desde un ordenador de la compañía de videojuegos Electronic Arts; hubo ofertas irresistibles para participar en operaciones de Bolsa fraudulentas desde, ¡ay!, Hewlett-Packard.

Estados Unidos, con todos esos ordenadores secuestrados funcionando a coro, lleva años ocupando el primer puesto de los países emisores de spam (más del 20% mundial, según Sophos). España ostenta el nada desdeñable 5º puesto. En Europa sólo le supera Francia, y entre ambos se reparten cerca del 11% del spam mundial. El dato no deja de sorprender, pues apenas existen spammers españoles. La clave reside en la cantidad de equipos infectados por troyanos de puerta trasera: un 4,4% -al menos 600.000 ordenadores-, según datos del Instituto Español de Tecnologías de la Comunicación (Inteco). Sólo Telefónica, el mayor proveedor español de conexión a Internet de banda ancha, recibe decenas de miles de notificaciones al mes de gente de todo el mundo que le recrimina: "Oiga, me están bombardeando con correo basura desde las IP que usted administra". Así lo cuenta Joaquín Castillejos, director general de TB-Security, una empresa que cubre los fallos de seguridad informática de las Administraciones Públicas españolas, incluido el Centro Nacional de Inteligencia. "No me gusta meter miedo. Es la realidad", añade junto a una anécdota ilustrativa: en enero de este año fueron detenidos dos holandeses veinteañeros que controlaban 1,5 millones de PC en todo el mundo; en seis meses habían obtenido 60.000 euros por alquilar sus servicios de spam.

"Por eso, esta batalla no se puede ganar. Existen demasiados incentivos para convertirse en spammer", comenta José Nazario. "A lo único que podemos aspirar es a encauzarla". Este bioquímico reconvertido en ingeniero de seguridad de Arbor Networks es una de las autoridades mundiales en redes de bots. Desde hace años, su trabajo consiste en seguirles la pista. Finge ser un ordenador infectado y va tirando del hilo hasta que da con el hacker que intenta mover al PC marioneta. Quizá por eso, Nazario se muestra pesimista: "Sólo la compraventa de direcciones de correo es un negocio de mucho dinero". Desde hace tiempo, los malos rastrean e-mails mediante scripts, unos programas sencillos que recorren la Red en busca de un simple detalle: @. Arroba que localizan, arroba que adhieren a sus listas. Y Nazario, viejo lobo de mar, jamás deja una a la vista. En su blog se lee simplemente: jose_at_monkey.org, que viene a ser lo mismo pero pasa inadvertida.

Luis Corrons, informático autodidacto de 31 años y director técnico de Panda Security, una de las empresas antispam españolas más potentes, pone otro ejemplo. Hace poco encontró una web rusa que anunciaba sus ofertas a granel: 100 dólares por cada millón de mensajes enviados; 1.500 dólares por 32 millones de e-mails. El cliente podía elegir de una lista de 192 millones de usuarios de correo electrónico. "Sin ser especialmente inteligente es posible ganar una millonada haciéndote spammer", dice Corrons.

La mayoría de proveedores de cuentas de correo [Hotmail, Yahoo!, Gmail] o de empresas antispam usan una táctica similar. Buscan, rastrean y bloquean cualquier mensaje sospechoso. Es una estrategia defensiva. Crean cuentas de correo llamadas honeypots [cántaros de miel], para atraer el mayor número de correos basura posible, con un doble propósito: desviar la atención de los spammers y analizar novedades y patrones de comportamiento.

Hotmail emplea 180.000 honeypots para afinar cada día mejor su puntería, según recogía un artículo de The New Yorker. Han de estar a la última, porque los spammers están a la última. Un ejemplo típico, pero real: primero intentarán enviar un mensaje anunciando "Viagra"; cuando los filtros de detección morfológica re¬chacen cualquier correo con esa palabra, probarán con "v1agra", realmente similar a la vista; luego "viagra@", "v1agr@", o "v i a g r a", y así indefinidamente. (En Estados Unidos llegaron a registrarse quejas de personas que aseguraban apellidarse Viagra -míster Viagra-; sus correos legítimos eran rechazados sistemáticamente).

Entonces, los spammers pasaron a enviar imágenes en las que había un texto escrito, más complicado de rastrear. Y agotada esta vía, la última moda consiste en mandar el spam con un archivo adjunto de los que uno se suele fiar: un documento de Word, un PDF, con encabezamientos dirigidos específicamente al destinatario. Los expertos lo llaman el spam polimórfico. Evolución, evolución, evolución.

Ya lo escribió Brad Templeton, gurú de Internet: "Los spammers usarán técnicas nuevas y más ruines. Quienes lo filtran afinarán su tecnología. Pero el problema del spam empeorará antes de que mejore".