¿Cuál es el origen del spam o correo basura? ¿Cómo podemos evitarlo?

Como ha ocurrido con prácticamente todo aquello surgido en internet, el spam ha ido evolucionado de manera progresiva al igual que lo hacía nuestra forma de interactuar con este nuevo entorno. El spam comenzó, de la misma forma que el correo electrónico, como un experimento. Los sistemas de correo electrónico se configuraron inicialmente para dos ordenadores que se encontraban en la misma habitación, luego para un grupo de amigos que vivía en el mismo piso, más tarde pasó a “invadir” el campus de las universidades y, finalmente, lo que todos conocemos hoy en día, para toda la red. En esencia, las normas sociales y la presión de los primeros usuarios fueron lo único necesario para mantener “limpio” este sistema. Todos se conocían y las transgresiones por violar las normas de la comunidad eran rápidas y severas. Cuando Gary Thuerek envió el primer mensaje de spam promocionando un nuevo sistema informático a los usuarios de ARPAnet,un medio para enviar datos militares y conectar principales grupos de investigación a través de los Estados Unidos,en 1978, la reacción fue instantánea y pasaron años antes de que ocurriera otro evento parecido. No obstante, este incidente terminó sucediendo y fue el origen de lo que hoy conocemos como spam.

Origen y evolución

Ese “ataque” se produjo por las abogadas especializadas en gestionar la solicitud de la “Green Card Lottery”, Laurence Canter y Martha Siegel, quienes, en 1994, fingiendo no estar al tanto de las normas culturales, hicieron publicaciones masivas anunciando sus servicios en cientos de grupos de discusión, este acto sería conocido como el primer spam comercial de la historia de internet.

Simultáneamente, otras personas en la red se dieron cuenta rápidamente de que el correo electrónico se había desarrollado sin ningún tipo de seguridad y utilizaron estas fallas para enviar correo no deseado de forma fácil y rápida.

A principios de la década de 1990, era un desafío obtener una dirección de correo electrónico y, por lo tanto, cuando se enviaba spam, la fuente se identificaba rápidamentey se bloqueaba en los distintos sitios de recepción de mensajes. No obstante, los “spammers” pronto descubrieron que podían falsificar direcciones y dominios, por lo que comenzaron a bloquearse las IP. Asimismo, descubrieron que podían retransmitir sus mensajes a través de servidores de correo de terceros que facilitaban el intercambio de correos electrónicos, momento en el que nació la era del spam del “open relay” o “relé abierto”, que permitía que los mensajes de cualquier remitente se enviarana cualquier destinatariosin necesidad de autenticación.

Los dominios estuvieron más disponibles en la década de 1990 y una gran cantidad de ellos se utilizaron con el único propósito de enviar spam, razón por la que la industria de internet comenzó a bloquear dominios completos. La primera gran demanda en cuanto a spam se refiere ocurrió en 1996, cuando importantes empresas, como AOL, Microsoft y Earthlink, llevaron a los tribunales al “”spammer”, Sanford Wallace.

Como los “relés abiertos” se cerraron sistemáticamente a principios de la década de 2000, los piratas informáticos desarrollaron “malware” con la intención de infiltrarse en varios ordenadores personales para formar grandes redes de “bots”.

Así como originalmente la carga de spam era relativamente benigna, con mensajes que incitaban a la compra de bienes o servicios legítimos, las cosas cambiaron rápidamente y los correos electrónicos pasaron a tratar temas de venta de drogas, pornografía, estafas o fraudes, productos falsificados, sitios web de citas falsos, etc.

El “phishing” originalmente era bastante sencillo, buscaba robar las credenciales de inicio de sesión de correo electrónico de los usuarios para que el “spammer” pudiera usarlas para enviar más spam. Poco después, las cuentas financieras de las personas se convirtieron en un objetivo popular para el “phishing”. A medida que avanzaban las cosas durante los primeros años del siglo XXI, los “phishers” centraron su atención en objetivos de mayor valor, las cuentas bancarias de las pequeñas y medianas empresas (PYME).

El último paso en este tipo de delincuencia lo hemos visto mucho más recientemente, los ataques a objetivos de valor extremadamente alto, como el gran minorista estadounidense “Target Inc.”. Los “phishers” encontraron una “puerta trasera” para ingresar al sistema de Target a través de su proveedor de control de calefacción y ventilación. A partir de ahí, el “malware” pudo filtrar el acceso a los sistemas financieros y, en poco tiempo, robaron 140.000.000 de tarjetas de crédito y débito del minorista.

Una motivación cada vez mayor para el spam es distribuir “malware”, ya sea incluyendo un programa o documento infectado directamente en el spam, o mediante un enlace a un sitio web con contenido infectado. Un claro ejemplo de ello fue el ciberataque sufrido por el Servicio Público de Empleo Estatal (SEPE) el pasado 9 de marzo de 2021, que colapsó el sistema durante semanas. En ese momento, un software malicioso apodado “Ryuk” atacó las bases de datos del servicio de empleo, cifrando archivos y bloqueando ordenadores con el objetivo de obtener dinero a cambio de devolver el funcionamiento normal al sistema.

¿Cómo funciona el engaño?

Los correos electrónicos generalmente contienen titulares y contenido engañoso para alentar a las víctimas a abrirlos, por ejemplo, simulando incluir un recibo de un pedido de gran valor que la víctima nunca hizo. Otro de los usos más comunes del spam es el “phishing”, que consiste en hacerse pasar por una entidad confiablepara robar las credenciales de la víctima. En el spam de “phishing” el ciberdelincuente a menudo se hace pasar por bancos o proveedores de servicios de internet o de correo, y les dice a las víctimas que confirmen o actualicen sus cuentas. Los enlaces suministrados en el correo electrónico conducen a un sitio web que se parece a la página de inicio de sesión de la organización real, por lo que la víctima ingresará sus credenciales y estas serán enviadas automáticamente al “phisher”.

Por último, el “spear phishing” lleva este tipo de ciberataque un paso más allá. En él, los delincuentes se dirigen específicamente a organizaciones o individuos que tienen acceso a activos de alto valor. Por ejemplo, determinar quién es el personal financiero en una empresa determinada puede permitir el acceso a cuentas bancarias. De manera similar, el personal técnico específico puede tener credenciales de inicio de sesión en la infraestructura de la organización que pueden verse comprometidas con un ataque de phishing especialmente diseñado para ello.

Un problema que no se limita a internet

El spam ha sido siempre un problema que ha afectado a varios medios diferentes, e invariablemente surge cada vez que un medio permite que las personas envíen muchos mensajes sin ningún tipo de cargo. Un claro ejemplo de ello fue un servicio de telegrafía de tarifa plana en la década de 1800 cerró debido al spam que surgió en el código Morse que utilizaba. En internet, el spam ha afectado a Usenet (el sistema de tablón de anuncios compartido), el correo electrónico, la mensajería instantánea, los blogs y sus comentarios, y las redes sociales, incluidas Facebook, Twitter e Instagram. También ha aparecido en telefonía VoIP, mensajes instantáneos (AOL Instant Message, también conocido como AIM, Apple iMessage, etcétera) y SMS.