Combatir el spam con spam

spamInteresante la iniciativa del Departamento de Justicia de los Estados Unidos: para probar las reacciones de su personal ante el spam y el phishing, decidieron enviar ellos mismos una oleada de mensajes de este tipo para detectar quienes los respondían, advertirlos sobre el peligro de lo que habían hecho, y formarlos posteriormente en el uso de Internet en general y en los peligros y consecuencias de este tipo de timos. La actuación permitió identificar a personas que podían no solamente estar en peligro de ser timadas o estafadas, sino también susceptibles de comprometer la seguridad corporativa aceptando correos que podían potencialmente contener troyanos, virus o peligros similares.

Ahora, una entrada en Slashdot se plantea la extensión del modelo: dado que el esquema del spam se basa en una mínima tasa de eficiencia cifrada en torno a un 0.00001%, ¿qué ocurriría si las agencias gubernamentales de cada país emitieran una oleada de mensajes de spam y phishing, y contactasen posteriormente a las personas que hubiesen respondido, para advertirlos y facilitarles formación en el tema que evitase que volviesen a caer en esquemas de ese tipo? La idea recuerda las campañas de concienciación que periódicamente desarrollan los gobiernos en determinados temas, pero se realizaría con un coste verdaderamente mínimo. ¿Le interesa al Gobierno comprometerse para reducir este tipo de delitos en la red, o prefiere seguir invirtiendo para convencer a los usuarios de que determinadas cosas que no son delito sí que lo son?

¿Cuántos puntos porcentuales podría reducirse la tasa de respuesta mediante esta metodología? ¿Sería posible desequilibrar las cuentas de los spammers, apoyadas en esas tasas de respuesta mínimas, hasta el punto de convertir su actividad en no rentable gracias a la educación? ¿O éstos evolucionarían y conseguirian generar modelos más atractivos y con esquemas diferentes en los que cayese una nueva generación de incautos? ¿Cuál es el riesgo real de intentar una actuación semejante?

33 comentarios

  • #001
    kiki - 3 Febrero 2009 - 08:47

    El spam es la versión digital del tocomocho y de otros timos reales. La situación es que verdaderamente quien es engañado realmente pretende engañar, es decir, quedarse con pasta por la cara. O sea que tan cabrón es el spamer nigeriano como el que intenta pillar la pasta del nigeriano.
    A mi personalmente me parecería una aberración que con dinero público se planteara este tipo de campañas.
    Las cartas nigerianas son más que nada divertidas. La regla es que nadie da duros a peseta, y mucho menos gratis.

    Fdo:
    Dr Rovando Nzuri
    Chief of International Bank of Trade
    Nigeria (Lagos) ;)

  • #002
    Pedro Herrero - 3 Febrero 2009 - 09:06

    No me termina de convencer la idea…
    A parte de que todo lo que sea recibir spam es para pensarselo dos veces. No creo que debiera ser competencia del gobierno. La administracion publica tiene la fea costumbre de hacer lo facil dificil, y sobre todo caro. Y ahora estamos como para tirarlo. Ademas en el entorno empresarial tu jefe puede sentarte en su despacho delante de ti y reprocharte que caigas en el spam. pero… como te aseguras de que tu accion tiene efectividad con un ciudadano??

    El spam tiene dificil solucion, y cualquier intento de acabar con él, bienvenido. Pero el gobierno cuanto mas lejos mejor.

  • #003
    gijon_county - 3 Febrero 2009 - 09:22

    El esquema ideológico que propone Sr. Dans, me parece de lo más acertado. Pero no solo para este tema, sino para todas aquellas asignaturas pendientes, que grandes porcentajes de la población, dejan repetidamente, año tras año, para “más tarde”. Soy de la teoría de que si las cosas se hacen bien desde un principio, hacerlas correctamente siempre, es muy sencillo. Pero también pienso que nunca es tarde para hacer borrón y cuenta nueva. Una cuenta que debe ser el conocimiento adquirido, y la naturalidad que se ganará en adelante. Mejor informar que aleccionar. Eso siempre.

  • #004
    Jaume - 3 Febrero 2009 - 09:46

    Yo creía que enviar spam era delito. El envío de correo comercial no solicitado es spam. Luego la campaña contra el spam no debería ser spam puro y duro. Estoy a favor de hacer una campaña contra el spam, pero no de hacerlo mandando spam.
    Sobre todo porque el spam molesta. Molesta a los administradores de sistemas, a los ISP y a los usuarios. Molesta ocupando ancho de banda, tiempo de proceso de CPUs, tiempo del personal supervisando los servicios antispam y solucionando incidencias y creando filtros y añadiendo remitentes a listas negras.

  • #005
    Xavier - 3 Febrero 2009 - 09:51

    En mi opinión solo generaría más spam, puede que sea importante realizar campañas de sensibilización y de información a los usuarios, la idea de enviar spam y que los que lo abran son los usuarios a los que se debe dirigir es original, pero es matar moscas a cañonazos. Para poder reproducir el esquema de los spammers se tienen que violar un buen numero de leyes y molestar a un 99,99999% de la población que no le hace caso y que recibirá mensajes para ver si es un ciudadano concienciado. Definitivamente una mala idea, en mi opinión.

  • #006
    Salvador Jesús Romero - 3 Febrero 2009 - 10:36

    Si a mi el gobierno…

    1. …me mandara spam,…
    2. …me pusiera a prueba con la arrogancia infinita (desde mi juicio es así) que describe en su propuesta…
    3. … y luego tratara de educarme, de forma tan paternalista, basándose encima en un sentimiento de culpa que previamente han generado mediante una trampa;

    Pues entonces ocurriría que:
    1. Me colmaría de ira.
    2. Me plantearía quienes son esos señores para comportarse así conmigo.
    3. Saldría a la calle a hacer la revolución contra el estado opresor.

    Y yo soy ningún activista, salvo de Star Wars.

    Saludos.

  • #007
    JV - 3 Febrero 2009 - 11:19

    Que manía de ver monstruos donde no los hay. La iniciativa de la que se habla es una medida de seguridad del Departamento de Justicia de EEUU dentro de sus propios sistemas, donde tiene no sólo el derecho si no la obligación de mantener altos niveles de seguridad. Es una iniciativa inteligente cuyo fin es descubrir donde están los fallos de seguridad, que habitualmente están el propio usuario y no en los sistemas informáticos.

    Para los que no lo sepan, Telefónica avisa a sus clientes si están emitiendo spam desde sus conexiones. Lamentablemente, lo hacen de forma chapucera y maleducada. Pero la idea no es mala. Hay millones de ordenadores zombies en el mundo, millones de personas que abren cualquier archivo sin tener ni un antivirus instalado, que difunden datos personales de forma insegura. Y lo hacen, no porque sean tontos o porque el estado sea fascista y intente imponer un pensamiento único. Lo hacen porque nadie nace sabido. La educación es un fuerza liberadora. La ignorancia sí es verdaderamente opresiva.

  • #008
    Idoia - 3 Febrero 2009 - 11:23

    Esto yo lo he visto internamente en alguna empresa, envian un archivo y comprueban qué empleados tienen hábitos peligrosos. Lamentablemente en este país, muchas veces la gente sólo reconoce algo cuando se le pilla infragante. Coincido con los que dicen que en este tema la educación es importantisima.

  • #009
    yzan - 3 Febrero 2009 - 11:24

    #6 -> el gobierno no, pero la empresa privada sí… que el coste de la seguridad es altísimo

  • #010
    Gorki - 3 Febrero 2009 - 11:47

    No me parece suficiente. Pongamos que la iniciativa del gobierno tiene éxito y convence al 90% de quien ahora contesta para que no lo hagan. Les bastará a los spammer, si hoy mandan 100.000 correos, mandar 1.000.000, para recibir las misma cantidad de respuestas. Por lo tanto incluso puede que esta medida sea contraproducente..

    Vuelvo a mi idea de siempre, ¿Cual es el motivo de mandar SPAM? – Recibir algun pedido
    ¿Y si el gobierno localiza quien manda el spam y monta un aparato en que se anuncia con SPAM recibe 100.000 pedidos falsos dificiles de diferenciar de los auténticos?, ¿no sería más útil para eliminar el SPAM?.

    Por ejemplo, yo en este momento tengo un troyano en mi ordenador que me conecta periódicamente con ciertas paginas web de empresas tan prestigiosas como Zara y tan desconocidas, como muchoviaje.com, marketplaceguru, zonealarm, etc. ¿Qué pasaría si estas compañías recibieran desde 10.000 IP diferentes 10000 pedidos variados, todos falsos e indistinguibles de los 40 válidos que hoy reciben. ¿No quitarían su publicidad por este medio?

    Sinceramente creo que este camino es mas eficaz para acabar con el SPAM y el malawere. No hay peor cuña, que la de la misma madera. .

  • #011
    javi - 3 Febrero 2009 - 14:28

    Siempre he dicho que para terminar con el Spam, phising, etc… la solución sería que la Telefonica (y sus homologas) repartiesen un papelito a sus clientes con varios consejos.

    Si hiciesen esto al darse de alta o cada cierto tiempo, y la gente escuchase esos varios consejso…..

  • #012
    Edgard - 3 Febrero 2009 - 14:53

    Coincido con #7. No tiene nada que ver con spamear a los ciudadanos aunque la entrada de slashdot así lo ha propuesto. Hacerlo a nivel “institucional” dirigido a ciudadanos está totalmente fuera de lugar. Al igual que el DoJ lo ha puesto en práctica entre sus empleados yo también me planteé (de hecho tengo el correo todavía en borrador y un link a una página trampa) hacer algo similar aunque focalizado en “phishing” (a ver cuantos usuarios facilitan sus credenciales de acceso a los sistemas bajo un aparente correo por parte de Soporte Usuarios o un jefe superior o ?????). Quizás recupere de nuevo esta idea …….

  • #013
    Jorge Díaz Bes - 3 Febrero 2009 - 15:33

    Me parece una herramienta útil para ser usada en el entorno corporativo, pero sin embargo, como usuario particular, cuantos menos mensajes de spam lleguen a mi correo mejor. La educación es mejor darla en las escuelas.

  • #014
    kiki - 3 Febrero 2009 - 15:58

    Con la que está cayendo solo faltaba que los gobiernos dedicarán recursos de funcionarios caros para educar a la gente con el tema del spam. Suena rarrro rarro parece una idea de Steve Urkel.

  • #015
    PPA - 3 Febrero 2009 - 16:28

    #6, Salvador. El spam se basa en que hay gente que contesta. Si tú contestas a correos de ese tipo estás colaborando con el spam, aunque no lo sepas y lo hagas sin maldad. Por otro lado, el spam afecta a toda la sociedad. Luego, por tu ignorancia, estás perjudicando a toda la sociedad contestando correos de ese tipo. La sociedad, como perjudicada, tiene entonces derecho a educarte para que tengas más cuidado. Y el representante de la sociedad es el Estado (lo del Gobierno de Enrique no sé a qué viene). De ahí viene el derecho del Estado a decirte lo que tienes que hacer. Si no te gusta, te recomiendo que te vayas a una isla desierta. Lo que no puede ser es que tú tengas todos los derechos incluso aunque perjudiques al resto y el resto no tenga el derecho a decirte que haces mal.

  • #016
    escéptico - 3 Febrero 2009 - 16:37

    Totalmente de acuerdo con el #7

  • #017
    nomecentro - 3 Febrero 2009 - 16:37

    El objetivo del capo-spammer es conseguir dinero, no pedidos a tiendas reales y estables. Creí lo que me contaron sobre las jugosas informaciones sobre investigaciones post-fraude de Visa y MasterCard a disposición de partes privadas. Es un éxito la difusión de la imagen del spam como una maldición del fatum consecuencia de haber pecado: Si usas software ilegal has abierto la puerta y te paseas por el wildside. ¿Por qué algunas publicaciones llegan más lejos que los servicios del estado al identificar botnets?

  • #018
    Jaluro - 3 Febrero 2009 - 17:20

    Muy interesante el artículo. Por supuesto, mi opinión es que la Administración está al servicio del ciudadano y todo lo que suponga un beneficio para éste debe plantearse como posible acción a realizar por parte del entramado administrativo.

    Personalmente creo que sería una gran idea ese modelo de formar a un creciente número de internautas cuya ingeniudad no parece disminuir a pesar de que cada día salen nuevos casos de fraude en Internet.

    Por otra parte, los delincuentes siempre se han mostrado más astutos, al menos en un primer momento (antes de ser atrapados), que la policía y probablemente mejorarían el spam o encontrarían nuevos métodos que burlasen esta nueva educación. En cualquier caso ese no puede ser motivo para no intentar formar a la gente.

    Por ello, sí a “Combatir el Spam con Spam”.

    Ciao

  • #019
    Alpino - 3 Febrero 2009 - 18:26

    Interesante teoría…si consigues convencer a la administración eres un fiera…

  • #020
    Harpo Habla - 3 Febrero 2009 - 20:30

    A mí me parece una idea coj.., buenísima. Estoy harto de recibir hoax desde todos lados, muchos de ellos desde correos de administraciones públicas. Lo curiosos es que si intentas informar a la gente con datos, con pruebas, con enlaces a las páginas donde se desmitifica a los hoax… lo mínimo será que no te hagan ni caso y al poco te manden otro mensaje del mismo tipo “por si acaso”, pero la mayoría de las veces, encima se enfadarán porque además del “por si acaso”, encima lo hacen “con buena intención” y “si no quieres, no los abras”, no les cabe en la cabeza que a tí no te gusta que tu correo esté por ahí dando vueltas por la red y que no te hace ilusión que te llenen la bandeja de entrada de basura.

    Totalmente de acuerdo con PPA#15, me parece un razonamiento totalmente lógico.

  • #021
    PPA - 3 Febrero 2009 - 21:38

    Por otro lado, la iniciativa probablemente causaría más problemas de los que resolvería. En el momento en que la Administración se dedica a escribir a la gente, sería muy fácil hacer phishing haciéndose pasar por la Administración, para decirle a los usuarios (que no saben de esto) lo que tienen que hacer… es decir, visitar sitios chungos. Es decir, simplemente estaríamos creando un nuevo vector de ataque de phishing, peor el remedio que la enfermedad.

  • #022
    rednoise - 3 Febrero 2009 - 21:53

    A mi me recuerda mas a la forma en que las defensas del cuerpo humano se inmunizan contra una enfermedad.

    Nota: De biologia se lo del colegio y lo de “Erase una vez la vida” xD

  • #023
    Emilio - 3 Febrero 2009 - 23:25

    La idea es buena, pero es extensible mucho más allá del spam. En materia de Seguridad, el punto más débil siempre es el usuario, ¿Qué ocurriría si a estos usuarios les ocurren desagradables sorpresas?, siempre en un entorno controlado, cómo en este caso del spam.

    Lo que ocurriría es que el usuario, habría experimentado en su propia carne las consecuencias de su falta de conciencia o descuido, y esa, junto con una formación posterior acorde a sus necesidades, sería la mejor campaña de concienciación que se le podría ofrecer.

    Saludos

  • #024
    zanalyst - 4 Febrero 2009 - 01:30

    No está mal que los gobiernos se preocupen por este tipo de cuestiones, pero como las mafias que ganan dinero con los CPCs de google, los spamers evolucionarán, por lo que de la efectividad de la medida dudo bastante

  • #025
    Jos - 4 Febrero 2009 - 10:14

    Me parece una táctica redundante, ineficaz y lesiva de la propiedad ajena (los servidores y equipos de red que utiliza el SPAM).

    Tecnológicamente: un derroche, además del SPAM hay que soportar en nuestros equipos el pseudoSPAM oficial, no es lo mismo todos los trabajadores de una organización que todos los ciudadanos

    Jurídicamente : no sé si es viable, por el tema de los datos, la protección de la intimidad, etc….

    Éticamente: un peligro, este método puede llevar a la Administración Pública a prestar más atención al efectismo que a la efectividad. En la Administración pública tan importante es el fin como el medio

  • #026
    Salvador Jesús Romero - 4 Febrero 2009 - 10:29

    @15 PPE

    No me molestaría que el estado tome iniciativas, sino las formas.
    Si se hace dentro de una administración o empresa, me parece bien, pero una medida indiscriminada de este tipo por parte del estado me parece una falta de respeto al ciudadano, además de contraproducente, como tú mismo señalas.

    Los consejos hay que ofrecerlos con respeto, para conseguir el bien del que los recibe y de los demás. Molestarte, buscando la posibilidad de hacer sentirse a una persona culpable o indefensa (cuando sólo es ignorante), para luego decirle de forma condescendiente como tenía que haber actuado, es una manipulación y no tiene nada que ver con el respeto. Es más, es muy ofensivo.

    No hay ningún conflicto entre los derechos de los que tienen que ser defendidos con los derechos de los que tienen que ser tratados como personas respetables. De hecho ambos son el mismo grupo. Se trata de buscar una fórmula correcta para ambas facetas, y ésta no la es.

    Lo de que me vaya a una isla desierta no lo he encajado muy bien.

    @7. De acuerdo contigo, por supuesto. Sólo comentabamos lo que propone Enrique, que el estado haga lo mismo no con los funcionarios de una organización, sino con todos los ciudadanos.

  • #027
    PPA - 4 Febrero 2009 - 19:08

    Salvador, lo de la isla desierta te lo he dicho porque te he encajado, no sé si injusta o injustamente, en ese grupo que sostiene que “papá Estado” es un ente que no tiene ningún derecho a meterse en nuestras vidas, cuando resulta que “papá Estado”… somos todos, y por supuesto que tenemos derecho, como sociedad, a meternos en la vida de los individuos que no respetan a la sociedad o que la perjudican. Por desgracia está bastante de moda eso de “yo tengo todas las libertades del mundo (por ejemplo a contestar al spam) y que nadie me diga nada sobre mis obligaciones (por ejemplo, la de no contestar al spam)”, lo cual me parece profundamente antisocial y digno, por tanto, de irse a una isla desierta. Por ejemplo hay gente por aquí que insiste en que tiene derecho a tener su ordenador hasta el culo de spyware y mierdas varias, pasando por completo de que ese spyware se está utilizando para perjudicar a otras personas. En fin, si no estás en ese grupo, siento haberme equivocado. Si lo estás, mantengo cada una de mis palabras.

    Por otro lado, no entiendo lo de “las formas”. De realizarse a cabo una campaña así (insisto, me parece que sería desafortunadísimo desde el punto de vista práctico porque simplemente daríamos más opciones de phishing), se enviarían correos de parte de vaya-a-saber-quien, no de parte de la Administración (si no vaya mierda de montaje). Los que habitualmente no contestamos, seguiríamos sin hacerlo (y por tanto no hay problema en las formas, es un simple correo más) y los que contestasen se merecen todo el paternalismo y condescendencia del mundo por ser tan panolis (o tan maleducados y antisociales). Pero si sirve para educar, y se hace desde ese punto de vista (y no desde la bronca o la ridiculización) no entiendo dónde está la falta de respeto, salvo para la gente que tiene el punto de vista de que haga lo que haga el Estado está mal hecho (que hay muchos).

  • #028
    Nico Granelli - 5 Febrero 2009 - 13:53

    El spam no tiene una tasa de eficiencia del 0.00001%, tengo entendido que es muchísimo más alta.

    Es lógico pensar que si fuera ese el número, nadie mandaría spam, simplemente por la relación costo/beneficio.

    Como casi todas las cosas importantes, se van a solucionar si se ataca la cuestión económica. El Spam va a dejar de existir cuando deje de ser negocio, cuando realmente se llegue al 0.00001% de efectividad.

  • #029
    Albert - 5 Febrero 2009 - 14:47

    #28 De acuerdo. Siempre he estado seguro que esas cifras son falsas. No sé donde leí también que eran necesarios, creo recordar, 12 millones de mails spam para que uno fuera abierto. Ni hablar. Yo mismo por pura curiosidad de ver cómo van evolucionando los spammers (poquito, dicho sea de paso) abro alguno de vez en cuando (en un entorno seguro, obvio). Así que solo yo estoy abriendo los correos relativos a cientos de millones… No, no están bien esos datos.

  • #030
    Daniel - 6 Febrero 2009 - 12:25

    Eso me hace pensar una cosa. ¿Y si la polícia le diera por robar coches? Y una semana después llamasen al dueño para decirle que No aparque en ese barrio, que es peligroso, O mejor aun, vendiesen drogas y luego informasen a sus clientes de lo malo que es drogarse, jajaja. ¿No sería lo mismo?

  • #031
    Hat - 18 Febrero 2009 - 18:33

    Un tanto arriesgado, aunque tiene su gracia. También pudieron pasárselo bien dependiendo de la temática del spam…. Criminalizar a los herejes que consumen sustancias para la lívido :)

  • #032
    Elite Digital Review - 24 Julio 2009 - 16:58

    Así que solo yo estoy abriendo los correos relativos a cientos de millones…

  • #033
    Elite Digital Review - 24 Julio 2009 - 16:59

    Eso me hace pensar una cosa. ¿Y si la polícia le diera por robar coches? Y una semana después llamasen al dueño para decirle que No aparque en ese barrio, que es peligroso, O mejor aun, vendiesen drogas y luego informasen a sus clientes de lo malo que es drogarse, jajaja. ¿No sería lo mismo?

Dejar un Comentario

Los comentarios están cerrados