Incidentes de Seguridad año 2006
Incidentes de Seguridad Enero 2006-Diciembre 2006
Este documento se encuentra disponible también en formato PDF

El SPAM durante el 2006

next up previous contents
Siguiente: Vulnerabilidades y Tendencias Subir: Estadísticas Anterior: Algunos datos más   Índice General

El SPAM durante el 2006

En los problemas de seguridad empieza a tener más peso la componente delictiva y de Ingeniería Social que la tecnológica. Siempre que una nueva tecnología global ha aparecido, los responsables del malware han buscado la forma de aprovecharla con fines dañinos y/o criminales, y este año 2006 posiblemente haya sido donde mas se ha notado, siendo el phishing el problema socialmente más impactante. Los problemas de seguridad en el correo electrónico durante el 2006 han sido proporcionales al crecimiento exponencial de PCs comprometidos (zombies) y botnets. Esto ha facilitado la posibilidad de hacer distribuciones masivas por correo electrónico provocando un aumento de los usos ilegales bajo el nombre de spam como: troyanos, phishing, spyware, extorsiones etc.

La propia tecnología del correo electrónico y sus protocolos asociados deriva el problema de la seguridad al eslabón mas débil de la cadena: el usuario. Los usuarios son numerosos, generalmente muy vulnerables y pocas veces parcheados, y por tanto hacia cuyo bolsillo se han dirigido muchos de los ataques. Considero que el correo electrónico (spam) está llegando al punto de inflexión para que empiece a remitir el impacto del spam. La presión de las técnicas antispam, la futura aprobación durante el año 2007 por parte del IETF de nuevos estándares de autenticación del emisor como DKIM y SPF, la distribución de un Windows más seguro o el movimiento de usuarios hacia otros sistemas operativos como Linux y Mac, provocaran que los criminales se muevan y aprovechen otras tecnologías a medida que se vayan estabilizando, convergiendo y sean de uso extendido como por ejemplo las plataformas de 64-bit, malware en vídeos, los teléfonos móviles o sobre todo la tecnología VoIP.

Según los datos recogidos en 2006 por SAnet (Red de Sensores AntiSPam) en RedIRIS, se ha considero spam al 60% de las conexiones SMTP con destino a direcciones IP de la Comunidad RedIRIS. Este tráfico SMTP, gestionado por los servidores de correo, se ha incrementado notablemente a pesar de las medidas antispam implementadas en los últimos años. Un porcentaje muy alto de este tráfico (50-60%) es tráfico oscuro que suele ser procesado por los servidores. Este tráfico es ocasionado por conexiones procedentes de IPs comprometidas con algún tipo de malware que implementa capacidad de instalar su propio motor SMTP, lo cual se emplea para difundir spam, virus, ataques de diccionario (Directory Harvest Attacks) , denegación de Servicio (DoS) o mensajes a destinatarios no existentes. La mayor parte de las soluciones de seguridad en el correo electrónico no tienen en cuenta este tráfico indeseado a través del puerto 25 que es aceptado, analizado y rechazado con la consiguiente usurpación de los recursos necesarios para su procesamiento.

Uno de los hechos mas sintomáticos ha sido la tendencia a la baja de los virus y sus epidemias que tanto daño provocaron en el pasado, con un incremento de malware mas peligroso.

En 2006 RedIRIS, con el objetivo de mejorar el servicio de correo electrónico, comenzó dos iniciativas que se desplegarán a lo largo del 2007. Estas iniciativas son: Spanish Whitelisting y unas Recomendaciones Comunes de Tráfico SMTP entrante. Ambas iniciativas pretende ser exportadas al resto de operadores españoles para mejorar el intercambio de tráfico SMTP. La Whitelisting pretende evitar el bloqueo de determinadas IPs incluidas en la whitelisting. En este listado están todas las Estafetas de la Comunidad RedIRIS, así como las de muchos IPS españoles. Más información disponible aquí.

La otra iniciativa pretende adoptar medidas comunes por parte de la Comunidad RedIRIS para abordar el grave problema del spam. El objetivo de estas recomendaciones es definir un marco común consensuado para toda la Comunidad RedIRIS. Estas Recomendaciones fueron aprobadas en la Reunión IRIS-MAIL/25 (Noviembre 2006, Granada) y están pensadas como pautas a seguir por los Servicios de Correo Electrónico de instituciones de la comunidad académica española. Más información disponible aquí.


next up previous contents
Siguiente: Vulnerabilidades y Tendencias Subir: Estadísticas Anterior: Algunos datos más   Índice General
IRIS-CERT 2007-02-05