IronPort Systems Inc., líder en seguridad de portales de Internet, dio a
conocer una nueva investigación de la industria que refleja un aumento en
el uso de “imágenes spam”, la cual es una nueva técnica avanzada que han
adoptado los spammers para evitar ser detectados.
Las imágenes spam pasan desapercibidas por las soluciones tradicionales de
escaneo de contenido y no presentan ningún tipo de texto que pueda analizarse,
por el contrario, incluyen archivos .gif o .jpeg. Estas imágenes incluyen los
mensajes spam en forma de texto y gráficos como si fueran correos de HTML, lo
que dificulta que la máquina reconozca el texto. Este tipo de spam ha aumentado
de manera sorprendente, de menos de 1 por ciento en junio de 2005 a más de 12
por ciento en junio de 2006.
Esto representa más de cinco mil millones de mensajes con imágenes spam
enviados diariamente, 78 por ciento de los cuales pasan desapercibidos por los
filtros de spam de primera y segunda generación. El estudio se realizó
utilizando de la red SenderBase, la cual representa el 25 por ciento de la
información del tráfico mundial de correo electrónico proveniente de más de
100,000 ISPs, universidades y empresas alrededor del mundo.
El spam es más inteligente
"A través del procesamiento de miles de millones de mensajes de correo
electrónico, IronPort es capaz de identificar anomalías en el email”, señaló Tom
Gillis, Vicepresidente Senior de Mercadotecnia Global de IronPort. “A través de
la táctica de imágenes spam, los spammers están utilizando métodos sofisticados
para hacer que las imágenes presenten cambios imperceptibles en cada uno de los
ataques de spam, estos cambios no son detectados por los usuarios finales y son
totalmente invisibles para los filtros comerciales. Es como tratar de
diferenciar copos de nieve durante una tormenta, existen miles de millones de
ellos pero ninguno es idéntico a otro”.
La tecnología antispam tradicional se basa en el análisis de las palabras de los
mensajes y utiliza una variedad de complejos mecanismos de clasificación,
intentando determinar si se trata de mensajes spam o no. Si el mensaje contiene
las palabras “Viagra,” “herbal” y “free”, entonces se trata de un correo spam.
El problema con este método es que es muy fácil para los spammers disfrazar las
palabras para evadir dichos filtros, y estos a su vez, eliminan periódicamente
mensajes legítimos, lo cual resulta inaceptable para la mayoría de los usuarios.
Los análisis comerciales disponibles han mejorado los filtros de contenido, pues
revisan los patrones de datos de cualquier mensaje que parezca spam y filtran
los mensajes que coinciden con determinadas características. Los principales
filtros antispam se basan en el análisis de contenido utilizando diversos
métodos.
El spam es más veloz
Otra técnica utilizada por los spammers es el aumento significativo en la
velocidad de los ataques sorpresa. Actualmente, más del 80 por ciento del spam
proviene de PCs “zombis” (computadoras infectadas), generalmente se trata de una
red de banda ancha secuestrada por spammers. Los spammers se mueven a través de
las redes zombis cada determinado tiempo, cambiando constantemente las
direcciones IP de donde se originan los ataques de spam. Asimismo, el spam que
envían contiene ‘Web links’ o URLs que varían dentro de la misma frecuencia. En
junio de 2005 la vigencia promedio de un dominio publicado en un mensaje “spam”
era de 48 horas, tiempo suficiente para que las “listas negras” estáticas del
URL identificaran y bloquearan los mensajes que contenían los Web links falsos.
Sólo un año después, la duración promedio de un URL spam ha disminuido a menos
de 4 horas. Esto significa que cuando las listas tradicionales de bloqueo
identifican y registran un URL peligroso, el mensaje spam ya llegó a sus
víctimas y el spammer puede continuar enviando spam desde un dominio nuevo.
El spam crece
A finales de 2005 el volumen de spam seguía creciendo, pero la tasa de
crecimiento empezó a disminuir (del 100+ por ciento que se había registrado y
mantenido por dos años). Sin embargo, este respiro fue breve. Durante los
últimos seis meses, el volumen de spam ha aumentado de manera impresionante. De
abril a junio de 2006, en sólo dos meses, el volumen de spam ha aumentado 40 por
ciento a nivel mundial. Asimismo, los spammers están precisando mejor la
intensidad de sus ataques. Cuando los spammers más sofisticados lanzan una nueva
ola de imágenes spam al azar, generalmente se enfocan en un área geográfica, un
ISP o incluso una empresa en específico. Más del 25 por ciento de los clientes
‘Global 2000’ de IronPort han sufrido uno de estos ataques específicos de spam.
Cuando esto sucede, es posible que hasta el 50 por ciento del spam que ingresa a
la empresa sea de imágenes spam. Si el filtro que protege a dicha empresa no
está equipado para detectar y bloquear estos ataques tan sofisticados, el spam
satura a los usuarios finales todo el tiempo que dura el ataque, ocasionando
severas interrupciones en la comunicación y una gran pérdida de productividad.
Los spammers también están explotando el sistema de registro de dominios,
registrando dominios por cortos periodos de tiempo y dejando que expiren antes
de pagar la cuota correspondiente. En abril se registraron más de 35 millones de
dominios, de los cuales 32 millones expiraron cinco días después. Esto elimina
prácticamente el costo de registro de dominios para los spammers, sobrepasando
la capacidad de las listas negras tradicionales de URLs que no pueden
actualizarse con la rapidez necesaria y seguir el ritmo del surgimiento de
nuevos dominios. A continuación presentamos un resumen de estas tendencias:
Parámetro Junio de 2005 Junio de 2006 Cambio
Incidencia de imágenes spam 1% 12% 12 veces mayor
Duración del URL Spam 48 horas 4 horas 12 veces más rápido
Volumen de Spam 30 mil millones 55 mil millones 83% más alto
|