Cómo combatir el spam: Enfoques desde las políticas, enfoques técnicos y enfoques desde la industria Debido a la carga a la que somete al sistema, el spam afecta a todos los actores involucrados con Internet, entre ellos los operadores de redes, los ISP, las empresas y, al nivel más básico, la propia infraestructura. Es por ello que combatir el spam requiere de un enfoque multilateral. INTRODUCCIÓN El spam continúa siendo un problema importante para los usuarios y operadores de Internet, aun con los esfuerzos de los operadores de redes, proveedores de software y proveedores de servicios de Internet (ISP) por filtrar el correo electrónico y bloquear más eficientemente el spam antes de que éste llegue a los buzones de los usuarios finales. Sin embargo, estimaciones recientes preparadas por una organización confiable [ 1, 2 ] indican que el spam representa entre el 70% y el 80% del tráfico de correo electrónico a nivel mundial. Esto significa que el spam puede crear una carga importante para los operadores de redes, a la vez que los problemas asociados con el spam pueden amplificarse en los países en vías de desarrollo, donde grandes volúmenes de spam entrante y saliente pueden consumir una parte importante del banda limitado y costoso ancho de disponible en dichas regiones[ 3 ]. Qué es el spam? A pesar de que este problema existe desde la década de 1990, no existe una única definición aceptada de lo que es el spam. El término es ampliamente conocido y de uso extendido. Típicamente el concepto incluye a las comunicaciones electrónicas no deseadas, por lo general de naturaleza comercial y cada vez más probables fuentes de malware. Es probable que los intentos por llegar a una definición de spam estática en el tiempo sean inútiles, debido a que la naturaleza del problema cambia a la misma velocidad con que cambian las aplicaciones y la tecnología de Internet. Por ejemplo, las personas y organizaciones interesadas están observando cómo el spam se propaga hacia las tecnologías móviles a través de mensajes SMS y MMS. Qué se está haciendo para combatir el spam? Debido a la carga a la que somete al sistema, el spam afecta a todos los actores involucrados con Internet, entre ellos los operadores de redes, los ISP, las empresas y, al nivel más básico, la propia infraestructura. Es por ello que combatir el spam requiere de un enfoque multilateral. Las soluciones concretas que permitirán luchar contra las causas y los efectos del spam requieren del esfuerzo coordinado de todos los actores interesados tanto del sector público como del sector privado, incluyendo pero sin limitarse a: Los legisladores y las agencias reguladoras, incluidos los reguladores de telecomunicaciones, las agencias de protección al consumidor y otras como, por ejemplo, los funcionarios a cargo de la protección de la privacidad y los datos; Las fuerzas de seguridad y la justicia civil y criminal; Los ISP y otros proveedores de servicios de correo; Los grupos de operadores; Las organizaciones responsables por el desarrollo de estándares y mejores prácticas; Quienes se dedican al comercio electrónico; Las organizaciones que representan a los usuarios de Internet; y
Las entidades del sector privado dedicadas a abordar las cuestiones relacionadas con el spam, como por ejemplo quienes participan en el filtrado del spam o en la lucha contra el phishing. La cooperación de los diferentes grupos con responsabilidad operativa, cada uno de ellos dentro de su ámbito de competencia, es una fuente de conocimientos crítica para los gobiernos y demás involucrados en los esfuerzos antispam. Por ejemplo, comprender las tecnologías emergentes destinadas a frenar el spam es fundamental para evaluar el contexto y los posibles resultados de las legislaciones nacionales o de las negociaciones que se llevan a cabo en diferentes reuniones internacionales. A su vez, los usuarios de Internet y las empresas de comercio electrónico necesitan una definición clara de lo que está prohibido (spam) y de lo que no lo está (correo legítimo). El objetivo de este trabajo es ofrecer a los principales actores en la lucha contra el spam algunos consejos y ejemplos de los numerosos enfoques que se están adoptando. Aunque inevitablemente incompleta, esta información pone de manifiesto la diversidad de actores que participan en las diferentes iniciativas y pretende ser un punto de partida para cualquier persona que desee comprender el problema o involucrarse en la lucha contra el spam. MEDIDAS GUBERNAMENTALES CONTRA EL SPAM Diferentes gobiernos alrededor del mundo están implementando medidas para luchar contra el spam, aunque hay que decir que estos esfuerzos son más frecuentes en los países occidentales y desarrollados. Una fuente bastante exhaustiva aunque algo desactualizada que permite realizar un seguimiento de las leyes antispam es la que está disponible en http://spamlinks.net/legal-laws.htm. Enfoques nacionales: Son varios los países que han promulgado legislación específica relacionada con el spam o que han desarrollado medidas reglamentarias. A continuación presentamos algunos ejemplos clave. Ley de Spam y Códigos de Práctica de Australia (2003)[ 4 ]: Esta ley australiana abarca el correo electrónico, la mensajería instantánea y los mensajes SMS y MMS de carácter comercial. De acuerdo con la Ley de Spam, son ilegales los mensajes electrónicos comerciales no solicitados que contienen un enlace australiano si se originan o se encargan en Australia, o si se originan en el extranjero pero se envían a una dirección a la cual se accede desde Australia. La legislación establece multas de hasta 1,1 millones de dólares por día para el caso de los infractores corporativos reincidentes. Australia también ha desarrollado acuerdos de cooperación regional bilaterales para luchar contra el spam con diferentes países, entre ellos Corea, Taiwán, Tailandia, Reino Unido y Estados Unidos[ 5 ]. Ley Antispam de Canadá (2010)[ 6 ]: La legislación canadiense exige que los usuarios acepten voluntariamente recibir spam y define los requisitos legales básicos del correo electrónico comercial. Para apoyar el cumplimiento de la legislación, el Consejo de Radiodifusión y Telecomunicaciones Canadiense (CRTC), regulador de las telecomunicaciones y la radiodifusión, albergará el Centro de Notificación de Spam (SRC). Una vez que la legislación antispam canadiense (CASL) entre en vigor lo cual se espera ocurrirá en 2013 los consumidores, las empresas y otras organizaciones podrán denunciar al SRC los mensajes electrónicos comerciales enviados sin consentimiento a través del sitio fightspam.gc.ca. 2
Directiva de la Comisión Europea sobre la Privacidad y las Comunicaciones Electrónicas (2002)[ 7 ]: El artículo 13(1) exige a los Estados miembros prohibir el envío de comunicaciones comerciales no solicitadas por fax, por correo electrónico o por otros sistemas de mensajería electrónica tales como SMS y MMS a menos que se haya obtenido el consentimiento previo del destinatario (sistema de inclusión voluntaria u opt-in), con algunas excepciones. Los Estados miembros también pueden escoger entre un enfoque de inclusión voluntaria (opt-in) o un enfoque de autoexclusión (opt-out). Ley Antispam de Estados Unidos (CAN-SPAM ACT, 2003)[ 8 ]: Esta ley define las condiciones legales que rigen el spam y proporciona a los usuarios el derecho de optar por no recibir spam. Varios estados también han promulgado leyes que apuntan directa o indirectamente al spam[ 9 ], algunas de las cuales han sido reemplazadas por la ley CAN-SPAM. Otros ejemplos de enfoques legislativos nacionales incluyen la Ley de Control de Spam de Singapur[ 10 ], la Ley de Mensajes Electrónicos No Solicitados de Nueva Zelanda[ 11 ], la ley antispam de Japón[ 12 ]. Otros países también incluyen medidas relativas al spam como parte de una legislación más amplia sobre comercio electrónico o comunicaciones en general (ver, por ejemplo, una encuesta de Microsoft Corp. sobre las medidas en la región de Asia Pacífico[ 13 ]). Debido a que básicamente Internet no tiene fronteras y por lo tanto no es susceptible de ser tratada con exclusividad en las legislaciones nacionales, los gobiernos han encontrado que resulta eficiente unirse voluntariamente para desarrollar estrategias internacionales de lucha contra el spam. Además de medidas legislativas y reglamentarias, muchos gobiernos producen material educativo destinado a informar a sus ciudadanos sobre los pasos que pueden seguir para protegerse y proteger a sus equipos contra los efectos negativos del spam. Ejemplos de ellos se pueden encontrar en Australia[ 14 ], Canadá[ 15 ], Europa[ 16 ], Hong Kong[ 17 ], India[ 18 ] Malasia[ 19 ], Perú[ 20 ] Estados Unidos[ 21 ] así como en muchos otros países Enfoques internacionales: Debido a que básicamente Internet no tiene fronteras y por lo tanto no es susceptible de ser tratada con exclusividad en las legislaciones nacionales, los gobiernos han encontrado que resulta eficiente unirse voluntariamente para desarrollar estrategias internacionales de lucha contra el spam. A continuación presentamos son algunos ejemplos. Herramientas Antispam de la OCDE (2004)[ 22 ]: Los 34 países miembros de este foro no vinculante elaboraron un conjunto de herramientas que consiste en un manual de reglamentaciones que da seguimiento a los enfoques y mejores prácticas existentes, un análisis de los acuerdos de autorregulación que se han intentado, un centro de recursos que recoge métodos técnicos de autoprotección centrados en el usuario, así como un inventario de todas las asociaciones existentes. Este recurso se desarrolló conjuntamente y en cooperación con lo siguiente: Principios de APEC para la Acción contra el Spam (2005)[ 23 ]: Esta declaración de los Ministros de Comunicación de las 21 economías de la región de Asia Pacífico se acompañó con un programa de acciones y un conjunto de principios para la acción contra el spam. Al igual que las herramientas de la OECD, su implementación es de carácter voluntario. Esta declaración fue precedida por una cantidad significativa de actividad a nivel técnico y de políticas en diferentes países y ha dado lugar a cierta coherencia en los enfoques adoptados por los gobiernos de la región. Fuera de los países miembros de APEC, otros países de la región han firmado el Acuerdo Multilateral Antispam de Seúl-Melbourne [ 24 ] 3
La Unión Africana, junto con la Comisión Económica de la ONU para África, están preparando el Proyecto de Convención sobre Ciberlegislación en África (2012)[ 25 ][ 26 ]. De ser aceptada en 2012, esta convención abarcaría cuatro áreas principales: las transacciones electrónicas, la ciberseguridad, la protección de los datos personales y la lucha contra el ciberdelito. Su objetivo es armonizar la ciberlegislación en toda la región. Plan de Acción de la Cumbre Mundial sobre la Sociedad de la Información de Túnez (2005)[ 27 ]: Negociada entre los años 2002 y 2005, esta declaración de los líderes mundiales hace un llamamiento a todas las partes interesadas a adoptar un enfoque multidimensional para contrarrestar el spam, el cual incluye, entre otras cosas, la educación de los consumidores y de las empresas; una legislación, autoridades y herramientas adecuadas; el desarrollo continuo de medidas técnicas y de autorregulación; mejores prácticas; y cooperación internacional. Unión Internacional de Telecomunicaciones de las Naciones Unidas (UIT)[ 28 ]: Con base en la Resolución 50 de la Asamblea Mundial de Normalización de las Telecomunicaciones de 2004 [ 29 ], la UIT ha comenzado a trabajar en sus grupos de estudio, llevando a cabo investigaciones y actividades de intercambio de información para contribuir a los esfuerzos gubernamentales para frenar el spam. De acuerdo con su mandato de desarrollar las telecomunicaciones, la UIT también ha proporcionado valiosos recursos sobre cómo lidiar con el spam y otras amenazas relacionadas[ 30 ]. También ha trabajado con el programa InfoDev del Banco Mundial para desarrollar un componente de las herramientas de reglamentación de las TIC que se ocupe del problema del spam[ 31 ]. ENFOQUES MULTISECTORIALES PARA ENFRENTAR EL SPAM Plan de Acción de Londres[ 32 ]: El Plan de Acción de Londres es un plan voluntario que ha sido firmado por 26 gobiernos y aproximadamente 30 participantes de la industria. Está diseñado para promover la cooperación internacional en materia de spam y resolver los problemas relacionados con el correo no deseado. Como una manera de expandir la red de entidades dedicadas a la cooperación para la lucha contra el spam, el Plan de Acción está abierto a la participación de otros gobiernos y organismos públicos interesados y también a la de representantes apropiados del sector privado. Comunidad técnica de Internet: La comunidad técnica de Internet ha realizado diferentes esfuerzos en su intento por combatir el problema del spam. Algunos ejemplos incluyen los siguientes: Grupo Especial sobre Ingeniería de Internet (IETF)[ 33 ]: El IETF es una gran comunidad abierta e internacional de diseñadores y operadores de redes, fabricantes de equipos e investigadores interesados en la evolución de la arquitectura de Internet y su buen funcionamiento. Es una comunidad abierta a la participación de cualquier persona interesada. La comunidad IETF está trabajando en el desarrollo de recomendaciones para ayudar a lidiar con el spam ejemplos de ello son la RFC 2502 (Recomendaciones antispam para servidores de correo SMTP)[ 34 ] y la RFC 6561 (Recomendaciones para el trato de bots en redes de ISP)[ 35 ] y para proveer información sobre los métodos utilizados por ciertos proveedores en particular, como por ejemplo la RFC 6108 (Diseño del sistema de notificación web de Comcast)[ 36 ]. El IETF también ha desarrollado diferentes enfoques técnicos para ayudar en la lucha contra el spam. Uno de ellos, DomainKeys Identified Mail (DKIM), es un método para validar la identidad del nombre de dominio asociado con un mensaje mediante autenticación criptográfica. El protocolo 4
DKIM y su y funcionamiento están documentados en diferentes especificaciones del IETF (RFC 4686, RFC 4871, RFC 5617, RFC 5585, RFC 6376, entre otras). Otro protocolo, complementario del DKIM, es el llamado Sender Policy Framework (SPF) un sistema de validación de correo electrónico diseñado para evitar el spam mediante la detección de la falsificación del origen o spoofing del correo electrónico, una vulnerabilidad habitual, mediante la verificación de las direcciones IP del remitente (RFC4408, experimental). Además, el IETF mantiene activo un grupo de discusión sobre spam que promueve el intercambio de información sobre el tema. El Grupo de Trabajo sobre Investigación de Internet mantiene un Grupo de Investigación Antispam (ASRG) [ 37 ] que investiga herramientas y técnicas para mitigar el envío y los efectos del spam. Su atención se concentra en los enfoques que se pueden definir, desplegar y utilizar en el corto plazo y se ocupa de las características que subyacen al spam. Registros Regionales de Internet (RIRs): Las organizaciones regionales de la comunidad técnica de Internet también apoyan listas de correo e intercambios de información cara a cara, como por ejemplo el grupo de discusión antispam de AfriNIC, un grupo de larga trayectoria al servicio de la comunidad africana. En LACNIC (RIR que atiende la región de América Latina), ARIN (América del Norte y el Caribe), APNIC (región Asia Pacífico) y RIPE (Europa y Oriente Medio) también tienen lugar discusiones similares. Además, apoyado por la Internet Society, LACNIC lidera un proyecto regional que coordina los Equipos de Respuesta a Incidentes Informáticos, los cuales tienen al spam como una de sus principales áreas de trabajo[ 38 ]. En algunos países, la sociedad civil y los grupos de consumidores también participan activamente en los esfuerzos tendientes a educar a los usuarios sobre el spam y cómo protegerse a sí mismos y a sus computadoras. Organizaciones antispam lideradas por la industria: La industria de Internet está activamente organizada en una serie de asociaciones cuyo objetivo es combatir el spam. Los siguientes son dos ejemplos bien conocidos: M3AAWG (Messaging Malware Mobile Anti Abuse Working Group, antes conocido como MAAWG)[ 39 ]: Este es quizás el principal lugar donde la industria de la mensajería electrónica se reúne para luchar contra el spam, el malware, los ataques de denegación de servicio y otras formas de explotación en línea. M3AAWG representa a más de mil millones de buzones y a algunos de los mayores operadores de redes del mundo. Es la única organización que se ocupa del abuso en la mensajería tratando sistemáticamente todos los aspectos del problema, incluida la tecnología, la colaboración de la industria y las políticas públicas. M3AAWG aprovecha el conocimiento y las experiencia de su membresía global para abordar el abuso en las redes existentes y en los nuevos servicios emergentes, incluidos los móviles. También trabaja en educar a los formuladores de políticas sobre los aspectos técnicos y operativos relacionados con el abuso en línea y la mensajería. Spamhaus Project[ 40 ]: Spamhaus Project es una organización internacional sin fines de lucro cuya misión es rastrear las operaciones y fuentes de spam vía Internet para proveer a las redes de Internet protección antispam confiable y en tiempo real, para trabajar con las fuerzas de seguridad con el objetivo de identificar y perseguir a las bandas de spam alrededor del mundo, y para ejercer presión sobre los gobiernos a fin de que implementen una legislación antispam efectiva. Spamhaus mantiene una serie de bases de datos de bloqueo de spam en tiempo real (DNSBLs) encargadas de mantener un registro de la gran mayoría del spam enviado a través de Internet. Además de generar datos que permitan filtrar el spam y publicar listas de bloqueo en tiempo real, Spamhaus publica el Registro de Operaciones de Spam Conocidas (ROKSO), una base de datos que recopila información y pruebas sobre spammers profesionales y bandas de spam conocidos alrededor del mundo. 5
Organizaciones de usuarios finales: En algunos países, la sociedad civil y los grupos de consumidores también participan activamente en los esfuerzos tendientes a educar a los usuarios sobre el spam y cómo protegerse a sí mismos y a las computadoras. Además de los ejemplos siguientes, spamlinks.net mantiene una lista de sitios antispam internacionales [ 41 ]. Coalición Contra el Correo Electrónico Comercial No Solicitado[ 42 ]: CAUCE es una organización de voluntarios en defensa de los usuarios de Internet. CAUCE ha avanzado más allá de su misión original de abogar por leyes antispam y ha adoptado una postura más amplia de defensa de los intereses de todos los usuarios en las áreas de la privacidad y el abuso en Internet en todas sus formas. Media Smarts[ 43 ]: Esta organización canadiense sin fines de lucro ha publicado recomendaciones dirigidas a los usuarios, especialmente a niños, adolescentes, padres y profesores. Por ejemplo, una de sus publicaciones (Cyber Security: Spam, Scams, Frauds and Identity Theft) contiene recomendaciones prácticas para protegerse uno mismo. El Proyecto Norteamericano sobre Protección al Consumidor en Comercio Electrónico (NACPEC)[ 44 ]: NACPEC es una organización sin fines de lucro con sede en México cuyo trabajo se concentra en seis áreas relevantes sobre protección al consumidor electrónico: (i) aspectos regulatorios generales, (ii) jurisdicción, (iii) resolución de controversias en línea; (iv) spam; (v) spyware; y (vi) robo de identidad. Anti-Spam Brasil[ 45 ]: Antispam.br es un sitio web informativo que mantiene el Comité Gestor de Internet en Brasil [46]. Es una fuente de materiales de referencia sobre spam imparcial y centrada en aspectos técnicos. Este sitio se ha comprometido a informar tanto a los usuarios finales como a los administradores de redes sobre el spam, sus consecuencias y cómo protegerse y luchar contra este problema. 1 http://www.maawg.org/email_metrics_report 2 http://www.symanteccloud.com/globalthreats/charts/spam_monthly 3 http://www.ictregulationtoolkit.org/en/section.2081.html 4 http://www.acma.gov.au/web/standard..pc/pc=pc_310321 5 http://www.acma.gov.au/web/standard/pc=pc_310349 6 http://lois-laws.justice.gc.ca/eng/annualstatutes/2010_23/fulltext.html 7 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:02002l0058-20091219:en:not 8 http://www.ftc.gov/os/caselist/0723041/canspam.pdf 9 http://www.law.cornell.edu/wex/inbox/state_anti-spam_laws 10 http://www.parliament.gov.sg/sites/default/files/070006.pdf 11 http://www.dia.govt.nz/services-anti-spam-index 12 http://www.mofo.com/pubs/xpqpublicationdetail.aspx?xpst=pubdetail&pub=7794 13 http://download.microsoft.com/documents/australia/asiapacific_legislative_analysis.pdf 14 http://www.acma.gov.au/web/standard/pc=pc_310294 15 http://fightspam.gc.ca/ 6 bp-combatingspam-201210-es
16 http://ec.europa.eu/information_society/policy/ecomm/todays_framework/privacy_protect ion/spam/index_en.htm 17 http://www.antispam.gov.hk/ 18 http://www.cert-in.org.in/securepc/index.html 19 http://www.skmm.gov.my/faqs/spam/about-spam.aspx 20 http://aplicaciones.indecopi.gob.pe/antispam/ley-antispam-peruana.html 21 http://onguardonline.gov/spam 22 http://www.oecd.org/internet/interneteconomy/oecdlaunchesantispamtoolkitandinvitespubliccontributions.htm 23 http://www.apec.org/meeting-papers/ministerial-statements/telecommunications-and- Information/2005_tel/annex_e.aspx 24 http://www.acma.gov.au/webwr/_assets/main/lib100234/seoul-melbourne_moujuly_2009.pdf 25 http://www.uneca.org/istd/cyberleg/dc.asp 26 http://www.au.int/pages/infosoc/pages/cyber-security 27 http://www.itu.int/wsis/outcome/vb/ 28 http://www.itu.int/osg/spu/spam/ 29 http://www.itu.int/itu-t/wtsa/resolutions04/res50e.pdf 30 http://www.itu.int/itu-d/cyb/cybersecurity/spam.html 31 http://www.ictregulationtoolkit.org/en/section.3088.html 32 http://londonactionplan.org/ 33 http://www.ietf.org/ 34 http://datatracker.ietf.org/doc/rfc2502/ 35 http://datatracker.ietf.org/doc/rfc6561/ 36 http://datatracker.ietf.org/doc/rfc6108/ 37 http://irtf.org/asrg 38 http://www.proyectoamparo.net/ 39 http://www.maawg.org/ 40 http://www.spamhaus.org/ 41 http://spamlinks.net/antispam-int.htm 42 http://www.cauce.org/cauce/about.html 43 http://mediasmarts.ca/ 44 http://www.nacpec.org/en/ 45 http://www.antispam.br/ 7