1

Se dispara el correo indeseado… pero usted puede defenderse

Cambiar la forma en que se maneja el correo electrónico podría reducir la cantidad de propaganda recibida.

Estamos viviendo una oleada (más bien un tsunami) de correo indeseado. Después de una reducción en la tasa de crecimiento a finales de 2005, el volumen de propaganda postal o spam en la Internet comenzó a crecer como la espuma en 2006. IronPort, una de las principales compañías de tecnología contra el correo indeseado, dice que en octubre de 2006 fueron enviados 63.000 millones de mensajes indeseados, más del doble del número despachado en octubre de 2005.

Los expertos atribuyen el aumento global en el correo indeseado a innovaciones tecnológicas en la manera en que se envía la propaganda postal. El software antispam sirve para rechazar el correo de servidores donde se sabe que se origina el correo indeseado, pero los remitentes de spam están mejorando su capacidad para establecer redes robots (o botnets), compuestas por PC conectadas a banda ancha que, sin el conocimiento de sus propietarios, son utilizadas para enviar correo indeseado. Las PC que se conectan directamente a un módem de cable o a un módem de DSL son particularmente vulnerables.

¿Cómo evitar que su PC sea raptada para una botnet? Asegúrese de tener un buen cortafuego y un navegador seguro (los usuarios de Internet Explorer deben mejorarlo al IE 7, que tiene mejores defensas, o probar un navegador alterno como Firefox; vea Privacidad de este mes para más información sobre la seguridad del navegador). Si usted tiene una red en su hogar, su enrutador debe protegerle de los intrusos; verifique su documentación para confirmar que está aprovechando las funciones de cortafuego incluidas en casi todos los enrutadores.

Las botnets no son nada nuevo, pero los remitentes de spam son expertos en distribuirlas y esconderlas. El último software de botnet, en cuyas redes puede verse enredado con sólo visitar una página de la Web o pulsando un mensaje de correo indeseado, se mantiene sigiloso transmitiendo solamente un volumen pequeño de correo indeseado. El software que filtra el correo indeseado tiene dificultades para distinguir el correo generado por robots de los mensajes legítimos enviados por la misma computadora.

Para combatir el correo indeseado

Por muy desesperada que parezca la situación, hay algunas buenas noticias que informar. Los ISP y portales de correo importantes están mejorando los filtros de correo indeseado casi tan rápido como los remitentes de spam introducen nuevas técnicas. “En términos generales, la experiencia de los usuarios continúa mejorando”, informa Richi Jennings, un analista de seguridad de correo electrónico que trabaja para Ferris Research.

Desafortunadamente, otras medidas ambiciosas contra el correo indeseado no han sido muy eficaces. Las autoridades federales han encausado a un puñado de negocios bajo la ley CAN-SPAM (Control del asalto de la pornografía y la publicidad no solicitada), promulgada hace tres años. Pero esa ley no tiene jurisdicción sobre los remitentes de spam que radican en el extranjero y sus disposiciones son cada vez menos respetadas. Después de analizar 10.000 mensajes comerciales de correo electrónico seleccionados al azar, MX Logic encontró que menos del 1 por ciento cumplía con las estipulaciones de la ley de que tales mensajes incluyan la dirección postal verdadera del remitente y una forma de darse de baja de los envíos futuros.

Todavía está por verse si las tecnologías de autenticación de remitente, como la Sender ID de Microsoft y la DomainKeys de Yahoo, tendrán éxito en la lucha contra el correo indeseado. La autenticación del remitente funciona así: su banco registra la dirección IP de los servidores de correo de la institución; si usted recibe un correo electrónico que dice venir de su banco pero no se origina en ninguna de las direcciones registradas, el servicio de correo borrará el mensaje o, por lo menos, le pondrá sobre aviso.

Para fines de 2006, según Craig Spiezle, director de planificación y estrategia de seguridad en línea de Microsoft, casi el 40 por ciento de todo el correo legítimo recibido por los usuarios de Hotmail será autenticado por Sender ID. Pero el sistema solamente funciona si en él participan los principales sitios que suelen ser blanco del “phishing”. Otra deficiencia de la autenticación del remitente es que algunos de los sitios que registran sus direcciones realmente son sitios de phishing. Por ejemplo, un sitio de phishing que utiliza como nombre de dominio una versión mal deletreada del nombre de un banco podría publicar la información del servidor de correo de la institución y Sender ID dejaría pasar el correo del sitio malicioso. Vea por usted mismo cómo funciona la autenticación del remitente reenviando su correo a una cuenta de Hotmail (para probar la tecnología Sender ID) o a una cuenta de Yahoo (para probar la de DomainKeys).

Mientras tanto, los usuarios de AOL y Yahoo tendrán ayuda para identificar el correo indeseado mediante la asociación de cada compañía con una firma llamada GoodMail, que ofrece a los remitentes “legítimos” un servicio llamado “correo electrónico acreditado”.

Richard Gingras, funcionario administrativo de GoodMail, dice que la compañía solamente acepta clientes que no tienen en su pasado un historial de remitir correo indeseado. El correo de los clientes de GoodMail es encaminado a través de los servidores de GoodMail, que insertan un vale criptográfico único en cada mensaje. Los servicios de correo electrónico asociados reconocen el vale cuando reciben el mensaje y el correo aparece en la bandeja de entrada del usuario con un icono especial y palabras como Correo certificado de AOL. Gingras dice que el servicio resuelve un efecto secundario del phishing: temerosas del robo de identidad, las personas simplemente borran todo el correo que dice venir de una institución financiera.

GoodMail cobra a sus clientes 0,25 centavos por mensaje y comparte esa renta con sus servicios de correo electrónico asociados. Los críticos dicen que el plan simplemente les da a los remitentes de propaganda en masa, que tienen capacidad financiera, acceso fácil a las bandejas de entrada de las personas cuyos servicios de correo usan GoodMail (y obtienen utilidades de éste). Sin embargo, Gingras dice que GoodMail rechaza a tres de cada cuatro clientes porque su historial de correo indeseado no es suficientemente limpio para satisfacer las normas de su firma.

Si no ha notado mucho correo indeseado en su buzón recientemente, es probable que tenga que agradecércelo a su servicio de correo electrónico. Jennings, de Ferris Research, dice que si más del 10 por ciento del correo que usted recibe en su bandeja de entrada es ilegítimo, es probable que encuentre un servicio mejor.

Yo lo hice, para lo cual establecí el reenvío automático de todo mi correo electrónico personal a Google Gmail. Por suerte, mi compañía facilita el reenvío del correo mediante sus herramientas de administración de correo electrónico basadas en la Web. Casi todos los ISP que ofrecen correo electrónico basado en POP3 o IMAP tendrán herramientas similares (por ejemplo, encontré las herramientas de EarthLink buscando “reenviar correo electrónico” en su sistema de Ayuda).

Gmail limpió otros 30 mensajes al día del correo reenviado, y dejó solamente un puñado de mensajes rezagados; en una semana sólo encontré un falso positivo en su carpeta de correo indeseado (si usted cambia de servicio, tome la precaución de comprobar en la carpeta de correo indeseado del nuevo servicio si hay falsos positivos durante las dos primeras semanas).

Yo no he probado otros servicios importantes de correo electrónico, pero Jennings dice que todos se esmeran en mantener limpias las bandejas de entrada de los consumidores, y están mejor equipados para esa labor que cualquier software de escritorio. “No tiene mucho sentido que los consumidores ejecuten software para filtrar el correo indeseado en su escritorio”, apunta Jennings, “[porque] todavía tienen que bajar el correo indeseado”. No obstante, para los usuarios que están aferrados a Outlook pero necesitan ayuda para filtrar el correo indeseado, en el pasado hemos recomendado Cloudmark Desktop (http://www.pcwla.com/buscar/07037301) y Sunbelt Software IHateSpam (bájelos en http://www.pcwla.com/buscar/07037302).

En medio de la oleada actual de correo indeseado, todavía son válidas las advertencias usuales para leer el correo electrónico sin mucho riesgo. En caso de duda, no abra ese mensaje electrónico, especialmente si incluye algún anexo. No haga clic en vínculos que prometen llevarle al sitio donde usted tiene una cuenta; en lugar de ello, escriba el URL de la institución en el campo de dirección de su navegador. Y considere usar una cuenta gratuita de correo electrónico para sus transacciones de comercio electrónico.

Para evitar los peores efectos de esta tormenta de mensajes indeseados, poner en práctica los métodos seguros de manejar el correo electrónico debe ofrecerle la mejor protección.

Internet Explorer 7: todavía no es lo suficientemente seguro

El Internet Explorer 7 de Microsoft ofrece mejoras de seguridad importantes sobre su predecesor tan merecidamente criticado. Pero el nuevo IE todavía no hace lo suficiente para proteger a los usuarios.

En el IE 7 Microsoft ha cerrado algunas de las áreas problemáticas del IE 6. Por ejemplo, el navegador permitirá que un sitio Web le moleste una sola vez para pedirle que instale un control ActiveX (algunos usuarios aprobarán la instalación sólo para librarse de las ventanas emergentes).

Pero los ataques de guiones o secuencias de mandos maliciosos siguen siendo un problema grave. Algunos sitios Web malintencionados usan el código de guiones (como JavaScript) para aprovecharse de los agujeros en la seguridad. Así pueden hacer instalaciones furtivas de programas espías o de caballos de Troya. IE 7 tiene un grupo de características diseñadas para impedir estos desmanes, incluso una ventana emergente que advierte al usuario cuando un sitio trata de usar los guiones. Pero las nuevas características no van suficientemente lejos.

El accesorio NoScript de Firefox (que puede bajarse gratis desde NoScript.net) proporciona una solución elegante al problema de los guiones maliciosos. Una vez instalado, NoScript impide el funcionamiento de los guiones en cualquier sitio Web que usted visita hasta que las apruebe para ese sitio particular. El poder controlar los guiones sitio por sitio con un solo pulso del ratón le da una enorme ventaja de seguridad.

Pero en vez de los controles quirúrgicos de NoScript, el IE 7 todavía usa la misma maza cubierta de lodo que utilizaba IE 6. Al igual que NoScript, IE le permite bloquear los guiones para todos los sitios en la Zona de Internet, tras lo cual usted puede permitir los guiones para un sitio particular, pero llegar al cuadro de diálogo requiere por lo menos seis pulsos de ratón y luego hay que escribir el URL en la lista de Sitios de confianza. Es una complicación que la mayoría de los usuarios preferiría no tener.

Microsoft anuncia el Filtro de phishing de IE 7 como una importante nueva característica de seguridad, pero una prueba reciente del filtro de IE 7 realizada por los investigadores de la Universidad Carnegie Mellon (CMU) encontró que el Filtro de phishing detectó, en el mejor de los casos, el 68 por ciento de los URL de phishing que los investigadores probaron (entérese de otros hallazgos del estudio en find.pcworld.com/56083). Su mejor opción es instalar una barra de herramientas antiphishing como una red de seguridad. En la prueba de CMU, SpoofGuard (http://www.pcwla.com/buscar/07037303) identificó el 91 por ciento de los sitios de phishing. La barra de herramientas gratuita de EarthLink (http://www.pcwla.com/buscar/07037304) quedó segunda, con una exactitud del 83 por ciento.

Nada de esto significa que usted no deba actualizarse al IE 7. El nuevo navegador es más seguro que el IE 6 y dada la estrecha integración que tiene con Windows, esa protección adicional es crítica.

-Andrew Brandt

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *